'Schaduw-AI' geeft datalekken, waarschuwt Europese privacytoezichthouder

In dit artikel:

De Europese privacytoezichthouder EDPS waarschuwt in een recente blogpost voor de risico’s van ongeautoriseerd AI-gebruik door personeel — vaak aangeduid als 'schaduw‑AI'. Denk aan chatbots, programmeerhulpmiddelen, samenvattende bots en notuleringsdiensten die medewerkers zelf inzetten om productiever te werken. EDPS‑voorzitter Wojciech Wiewiórowski waarschuwt dat dit kan leiden tot datalekken, schendingen van privacy- en bewaarplichten en verstoringen van bedrijfsprocessen die organisaties mogelijk niet opmerken.

De Nederlandse toezichthouder AP kreeg vorig jaar al tientallen meldingen van datalekken door gratis AI-chatbots; een concreet voorbeeld is dat de gemeente Eindhoven persoonsgegevens in ChatGPT plaatste. De EDPS benadrukt dat AI kansen biedt, maar innovatie nooit ten koste mag gaan van fundamentele gegevensbescherming. Aanbevolen maatregelen zijn: heldere, organisatiebrede regels voor AI, technische handhaving, bewustwordingscampagnes, strikte dataclassificatie, toetsing en goedkeuring van nieuwe toepassingen en doorlopende monitoring — met gedeelde verantwoordelijkheid over afdelingen heen.