De gemeente Eindhoven heeft recent een datalek gemeld bij de Autoriteit Persoonsgegevens, omdat medewerkers persoonsgegevens hebben gedeeld met ChatGPT. Een goed idee? Nee.
Het recente incident bij de gemeente Eindhoven laat zien dat het uploaden van interne documenten (zoals Jeugdwet-stukken, interne verslagen en cv’s) naar openbare AI-websites een datalek kan veroorzaken, waarbij onduidelijkheid bestaat over de omvang en de betrokkenen. De gemeente heeft hierop onmiddellijk besloten openbare AI-toepassingen (vermoedelijk: gratis en via het internet toegankelijke AI-diensten) te blokkeren en alleen een intern afgeschermd AI-hulpmiddel toe te staan.
Waarom is het delen van persoonsgegevens met een AI-toepassing een ‘ding’?
De taalmodellen van generatieve AI leren van ingevoerde gegevens. Dat betekent dat, tenzij een AI-toepassing expliciet privacyvriendelijk is ingesteld, alle ingevoerde gegevens onderdeel kunnen worden van het taalmodel. Je verliest daarmee de controle over deze gegevens en weet niet meer wie er toegang toe krijgt. Daarnaast worden deze gegevens vaak verwerkt in landen waar de bescherming van persoonsgegevens lager ligt dan binnen de Europese Unie.
Maar hoe pak je dit aan als organisatie?
1. Stel een beleid op voor het gebruik en de inzet van AI binnen je organisatie.
2. Stel duidelijke regels vast voor medewerkers en communiceer de verwachtingen: wat mag wel, waar moet men op letten en wat mag absoluut niet?
Onderdelen van zo’n beleid kunnen zijn:
* Deel geen vertrouwelijke bedrijfsgegevens en persoonsgegevens met openbare AI-tools.
* Gebruik uitsluitend goedgekeurde AI-oplossingen.
* Gratis AI-toepassingen zijn nooit echt gratis: alle ingevoerde gegevens kunnen onderdeel worden van het taalmodel. Het gebruik van gratis AI-toepassingen is daarom verboden (uitzonderingen alleen mogelijk na goedkeuring).
* Intern gebruik van AI is alleen toegestaan na het volgen van een training.
* Controleer altijd de uitkomsten van AI voordat je deze gebruikt.
3. Controleer je webfiltering. Stem met de IT-afdeling af hoe webverkeer wordt afgehandeld, bijvoorbeeld via een webserver, domain controller, firewall of een systeem zoals Windows Defender dat tussen het bedrijfsnetwerk en het internet staat. Op deze hardware of in deze software kan worden ingesteld dat bepaalde domeinen worden geblokkeerd. Zo kan de IT-afdeling voorkomen dat medewerkers gebruikmaken van gratis AI-toepassingen. Vaak kunnen ook gok-, porno- en andere ongewenste websites worden geblokkeerd. Hiermee voorkom je dat datalekken zoals bij de gemeente Eindhoven ontstaan.
4. Controleer je gedragscode en informatiebeveiligingsbeleid. De meeste organisaties beschikken over een gedragscode (voor het gebruik van e-mail en internet) en/of een informatiebeveiligingsbeleid. Hierin moeten ook het AI-beleid en de bijbehorende regels worden opgenomen. Daarnaast moet met werknemers worden afgesproken welke consequenties overtredingen hebben.
ISO 27001:2022 schrijft in Annex A.6.4 voor dat er een disciplinaire procedure moet zijn bij overtreding van informatiebeveiligingsregels. Bij een eerste overtreding dient een passende maatregel te worden toegepast (bijvoorbeeld een schriftelijke waarschuwing). Bij herhaling kan een zwaardere maatregel volgen, tot en met ontslag op staande voet. Beschik je nog niet over een informatiebeveiligingsbeleid, gedragscode of disciplinaire procedure, dan is het tijd om deze op te stellen.
Hulp nodig?
Heb je hulp nodig bij het opstellen van een AI-beleid of bij het invoeren van AI-gedragsregels? Of ondersteuning bij een data protection impact assessment (DPIA) of AI impact assessment? Wil je dat een expert je personeel informeert over de risico’s en kansen van AI, of heb je hulp nodig bij de implementatie van NIS2-cyberbeveiligingsregels, ISO 27001:2022 of NEN 7510?
De collega’s van BMGrip helpen je hier graag bij. Neem contact met ons op voor een nadere kennismaking.
