Je medewerkers gebruiken AI. Weet jij wat ze erin stoppen?
Een groot deel van het AI-gebruik op de werkvloer gaat via persoonlijke accounts zonder zakelijke beveiliging. Collega’s plakken klantgegevens, interne rapporten en bedrijfsgevoelige informatie in ChatGPT en vergelijkbare tools, vaak zonder te beseffen dat die data wordt opgeslagen en mogelijk wordt gebruikt voor modeltraining. De Autoriteit Persoonsgegevens heeft AI als focusgebied aangewezen voor 2026-2028. Wie nu geen beleid heeft, loopt een security- én compliancerisico.
Bij de gemeente Eindhoven kwam het aan het licht tijdens een interne analyse van het dataverkeer. Medewerkers hadden bestanden met persoonsgegevens van inwoners geüpload naar publieke AI-tools. Jeugdwetdocumenten. Verslagen. CV’s. Alles in een publieke chatbot gestopt, omdat het zo makkelijk werkte. Bij Samsung ging het om vertrouwelijke broncode. Drie engineers gebruikten ChatGPT om code te debuggen. Binnen twintig dagen waren er drie incidenten waarbij bedrijfsgeheimen bij OpenAI terechtkwamen. Die data kun je niet meer terughalen. Dit zijn geen incidenten van onoplettende stagiairs. Het zijn ervaren professionals die een tool gebruiken zoals ze dat privé gewend zijn, zonder na te denken over wat er met de data gebeurt. In deze blog legt Peter Pronk uit wat er speelt en wat je eraan kunt doen.
Het probleem zit in het gebruik
AI-tools als ChatGPT en vergelijkbare diensten zijn niet per se onveilig. Het probleem is hoe ze worden gebruikt. Bij gratis versies slaat de tool ingevoerde data standaard op en gebruikt die mogelijk om het model te verbeteren. Dat betekent: wat jouw collega invoert, kan in theorie terechtkomen in antwoorden aan andere gebruikers.
Zakelijke versies bieden meer bescherming. Bij ChatGPT Enterprise en vergelijkbare zakelijke varianten gebruikt de aanbieder data niet voor training en blijft informatie binnen de omgeving van de organisatie. De meeste mensen op de werkvloer gebruiken echter de gratis of persoonlijke versie. Uit onderzoek blijkt dat het merendeel van het AI-gebruik op het werk via persoonlijke accounts loopt, zonder zakelijke beveiliging.
Dat is shadow IT in een nieuw jasje – en een groter risico dan de meeste organisaties beseffen.
Verbieden werkt niet
De reflex van veel organisaties: AI-tools blokkeren. Dat lost weinig op. Collega’s sturen bestanden door naar hun privé-mail en werken thuis verder. Of ze gebruiken hun telefoon. Het resultaat: hetzelfde risico, buiten je zicht.
Een totaalverbod zorgt voor stiekem gebruik. Dat is erger dan gecontroleerd gebruik met heldere afspraken.
Wat staat er op het spel?
De risico’s van ongecontroleerd AI-gebruik vallen in drie categorieën.
Privacy en AVG
Persoonsgegevens invoeren in een publieke AI-tool is een datalek. Punt. De Autoriteit Persoonsgegevens heeft AI aangewezen als een van de drie focusgebieden voor 2026-2028. De handhaving komt. Het is een kwestie van tijd.
Bedrijfsgeheimen
Broncode, prijsstrategieën, interne analyses, contractdetails – alles wat je team in een AI-tool plakt kan buiten je organisatie terechtkomen. Bij Samsung was de schade onherstelbaar.
Compliance
De EU AI Act verplicht organisaties om AI-geletterdheid te waarborgen en transparant te zijn over hoe AI wordt ingezet. De AVG vereist dat je kunt aantonen dat je verantwoord omgaat met persoonsgegevens. Beide vereisen documentatie en beleid. Uit het Alert Online-onderzoek (2025) blijkt dat slechts ongeveer een kwart van de medewerkers aangeeft dat er duidelijke richtlijnen zijn voor AI-gebruik op het werk.
Wat kun je nu doen?
Reguleer in plaats van verbieden. Maak concrete afspraken over wat wel en niet in AI-tools mag – en zorg dat die afspraken werkbaar zijn.
Stel vast welke data niet in publieke AI-tools thuishoort. Klantgegevens, persoonsgegevens, financiële data, broncode en interne rapporten zijn de voor de hand liggende categorieën.
Bied een veilig alternatief. Als je team een goedgekeurde tool beschikbaar heeft, is de kans kleiner dat ze naar een onbeveiligde optie grijpen. Zakelijke versies van AI-tools of AI die al is ingebouwd in je bestaande Microsoft 365-omgeving houden data binnen je eigen omgeving.
Train op herkenbare situaties. Abstracte waarschuwingen werken niet. Concrete voorbeelden wel. Vergadernotities met klantnamen: nee. Een openbare vacaturetekst herschrijven: prima. Hoe specifieker de voorbeelden, hoe makkelijker je team het toepast.
Monitor het gebruik. Je hoeft niet te controleren wat iedereen typt, maar je wilt wel weten welke AI-tools in je netwerk worden gebruikt en of er data naartoe stroomt die daar niet hoort. Met logging op applicatie- en netwerkniveau kun je zien welke externe diensten worden benaderd vanuit je omgeving. Een SIEM-platform zoals het Apex Lumi-platform correleert dat verkeer en signaleert als er ongebruikelijke patronen opduiken – bijvoorbeeld als er plotseling data naar een onbekend AI-endpoint gaat. In ons blog over proactieve monitoring lees je hoe dat werkt.
Veelgestelde vragen
Is ChatGPT dan helemaal niet veilig om te gebruiken?
Dat hangt van de versie af. Gratis en persoonlijke accounts bieden weinig bescherming voor bedrijfsdata. Zakelijke versies (ChatGPT Enterprise, Microsoft Copilot voor Microsoft 365, Google Gemini for Workspace) zijn ontworpen met datascheiding en worden niet voor modeltraining gebruikt. De keuze hangt af van je risicoprofiel en de gevoeligheid van je data.
Hoe weet ik of mijn collega’s AI-tools gebruiken?
De kans is groot dat ze dat doen. Bewaking van je netwerk laat zien welke externe diensten worden benaderd. Het Apex Lumi-platform biedt inzicht in het verkeer vanuit je omgeving, zodat je kunt zien welke tools worden gebruikt en of er data naartoe gaat die daar niet hoort.
Moeten we een AI-beleid hebben?
Ja. De EU AI Act verplicht organisaties om AI-geletterdheid te waarborgen. De AVG vereist documentatie over hoe je met persoonsgegevens omgaat. Een AI-beleid hoeft geen dik document te zijn. Een pagina met werkbare afspraken over wat wel en niet mag is een goede start.
Learn More
Wil je weten of er vanuit jouw netwerk data naar AI-tools stroomt die daar niet hoort? Of wil je bespreken hoe je AI-gebruik kunt reguleren? Neem vrijblijvend contact op via +31 (0)85 4896060 of info@apexsecurity.nl.
Bronnen: Gemeente Eindhoven, Samsung.
