Waarschuwing voor personeel dat met AI bezig is: 'Kans op datalek is groot'

In dit artikel:

Medewerkers van de gemeente Eindhoven hebben in een steekproef aangetoond dat in één maand meer dan duizend documenten met persoonsgegevens naar externe AI‑tools waren geüpload. De gemeente heeft dit gemeld bij de Autoriteit Persoonsgegevens, het gebruik van openbare AI‑modellen voor personeel geblokkeerd en OpenAI gevraagd de gegevens te verwijderen. OpenAI heeft volgens de gemeente nog niet bevestigd dat dat is gebeurd; er zijn ook geen aanwijzingen dat gemeentebestanden naar privé‑omgevingen zijn gestuurd.

Het voorval illustreert het groeiende probleem van 'shadow AI': werknemers gebruiken generatieve modellen zoals ChatGPT, Gemini of Claude om werk te versnellen — van verwijsbrieven en dossiersamenvattingen tot interviewverwerking — maar doen dat vaak zonder duidelijke richtlijnen of kennis van privacyinstellingen. Ethisch hacker Jan van der Put wijst erop dat juist organisaties zonder heldere regels het meeste risico lopen, omdat medewerkers dan onbedoeld persoons- of bedrijfsgevoelige informatie invoeren.

Ook buiten de publieke sector zijn er voorbeelden: bij Amazon werden interne documenten teruggevonden in ChatGPT, waardoor het bedrijf ook het AI‑gebruik intern aan banden legde. AI‑onderzoeker Remco van der Schoot legt uit dat ingevoerde data gebruikt kunnen worden om modellen te trainen en daardoor mogelijk publiek toegankelijk worden.

Deskundigen pleiten niet voor een totaalverbod op AI, maar voor actieve beleidsvorming: organisaties moeten gebruik faciliteren én monitoren, zodat medewerkers veilig kunnen werken en datalekken kunnen worden voorkomen. Het incident bij Eindhoven onderstreept de noodzaak van duidelijke regels, technische controls en bewustwording rond het gebruik van generatieve AI op de werkvloer.