De Europese privacytoezichthouder EDPS waarschuwt voor ‘aanzienlijke risico’s’ van schaduw-AI op de werkvloer. Werknemers gebruiken AI-tools vaak zonder goedkeuring van hun werkgever. Daardoor omzeilen zij onbedoeld belangrijke maatregelen voor data en beveiliging. Deze ongeautoriseerde AI veroorzaakt datalekken en schendingen van privacywetten en dataretentieregels.
De gebruikte tools lopen sterk uiteen. Het gaat om chatbots, programmeerassistenten en bots die documenten samenvatten of vergaderingen notuleren. Medewerkers zetten deze hulpmiddelen meestal in om hun productiviteit te verhogen. Toch waarschuwt EDPS-voorzitter Wojciech Wiewiórowski voor ernstige gevolgen. Organisaties lekken zo data, schenden vereisten voor databescherming en lopen verstoringen op die zij vaak niet opmerken. De Nederlandse waakhond AP ontving vorig jaar al tientallen datalekmeldingen door gratis AI-chatbots. Zo uploadde de gemeente Eindhoven persoonsgegevens naar onder meer ChatGPT.
Volgens de toezichthouder biedt AI duidelijke kansen voor innovatie en efficiëntie. Die innovatie mag echter niet ten koste gaan van fundamentele rechten op databescherming. Wiewiórowski adviseert daarom een proactieve aanpak. Organisaties stellen het best veelomvattende en praktische regels voor AI-gebruik op. Zij handhaven die regels met technische middelen en met bewustwordingscampagnes.
Verder noemt de EDPS een aantal concrete maatregelen. Bedrijven hebben een duidelijke dataclassificatie nodig en een grondig proces voor de goedkeuring van nieuwe technologie. Ook monitoren zij het data- en AI-gebruik voortdurend. Deze verantwoordelijkheid ligt niet bij één afdeling. Verantwoord AI-gebruik overstijgt namelijk verschillende divisies en functies binnen de hele organisatie.
