Reëel gevaar: AI die vertrouwelijke bedrijfsgegevens openbaart

Naast de kansen komen ook de risico’s van AI-gebruik meer in zicht. Die kunnen variëren van datalekken tot onbedoelde blootstelling van vertrouwelijke gegevens. Met goed AI-beleid kun je dat risico indammen.

Verschillende vormen van kunstmatige intelligentie (AI), zoals ChatGPT, zijn al niet meer weg te denken uit onze samenleving. Deze technologische revolutie biedt ook voor marketeers niet alleen geavanceerde tools, maar stelt hen tevens voor de uitdaging om een evenwicht te vinden tussen het benutten van AI-voordelen en tegelijkertijd oog hebben voor de bijbehorende risico’s.

Dit  artikel belicht de risico’s die het gebruik van AI-tools met zich meebrengen, vooral als het gaat om de verwerking en bescherming van bedrijfsgevoelige informatie. Hoe kun je de kracht van AI benutten zonder je waardevolle data in gevaar te brengen.

Het gevaar rondom bedrijfsgevoelige informatie

In de hedendaagse datagestuurde bedrijfswereld is informatie een van de meest waardevolle activa van een bedrijf. Met name de bedrijfsgevoelige informatie vormt de ruggengraat van het competitief voordeel en de bedrijfsgroei. Zulke gegevens kunnen alles omvatten van klantgegevens tot strategische plannen, financiële verslagen en intellectuele eigendommen. Het effectief beheren en beschermen van deze informatie is daarom van essentieel belang.

Een datalek of ongeautoriseerde toegang kan leiden tot ernstige financiële verliezen, schade aan de reputatie en zelfs juridische gevolgen. Met de opkomst van digitale technologieën en AI-tools worden bedrijven geconfronteerd met nieuwe uitdagingen op het gebied van informatiebeveiliging. AI kan bijvoorbeeld worden ingezet voor geavanceerde analyses, maar dit verhoogt ook het risico op onbedoelde blootstelling van gevoelige gegevens.

OpenAI, de leverancier van ChatGPT, stelt bijvoorbeeld in zijn eigen gebruiksvoorwaarden dat de inhoud die gebruikers invoeren in de chat kan worden opgeslagen en gebruikt voor verdere ontwikkeling en verbetering van de service. Hoewel OpenAI beweert dat ze de gegevens anonimiseren, kan niet met zekerheid gegarandeerd worden dat deze gegevens niet opduiken gedurende chats van derden.

Verlies van gegevens waarbij een ChatGPT-achtige bot betrokken is heeft zelfs al een eigen naam: conversational AI leak. Bij dit soort lekken gaat het om gebeurtenissen waarbij gevoelige gegevens die in een Large Language Model zijn ingevoerd, onbedoeld worden blootgegeven.

Mogelijke gevolgen

Bij het gebruikmaken van ChatGPT of vergelijkbare systemen wordt door bedrijven vaak niet stilgestaan bij het feit dat je daarmee in de praktijk informatie deelt met derden, namelijk de bedrijven achter de software. Daarmee kan bedrijfsgevoelige zomaar op straat terechtkomen. Je zou het kunnen vergelijken met het vertellen van bedrijfsgeheimen op een verjaardagsfeestje: je weet nooit waar de informatie daarna terechtkomt. De bedrijfsgevoelige informatie komt namelijk terecht op de servers van bedrijven als OpenAI, Microsoft en Google, en er is geen gemakkelijke manier om hier toegang tot te krijgen en deze te laten verwijderen.

Onlangs ging dit bijvoorbeeld fout in Zuid-Korea toen werknemers van Samsung vertrouwelijke informatie ingevoerd hadden in ChatGPT. De gegevens bevatten onder andere de broncode van bedrijfseigen toepassingen. Een Samsung-medewerker ontdekte naar verluidt een fout in de code en vroeg ChatGPT om een oplossing. Dit betekent dus dat de vertrouwelijke informatie nu ook in handen is van OpenAI.

Ook andere bedrijven hebben last van datalekken door het gebruik van AI-tools. Bijvoorbeeld doordat werknemers aan ChatGPT de opdracht geven een samenvatting te reproduceren  van vertrouwelijke verslagen of notulen. Dit lijkt in een eerste oogopslag niet heel problematisch, maar zou onbedoeld strategische organisatieplannen kunnen weggeven.

Het voorkomen van AI-risico’s

Zoals bij elke fundamentele verschuiving in de manier waarop we werken, moeten bedrijven zich aanpassen en ervoor zorgen dat hun werknemers nieuwe technologieën op een veilige, verantwoorde manier gebruiken. En dat is waar in dit geval een AI-beleid voor bedrijven om de hoek komt kijken. In zo’n AI-beleid kunnen bedrijven werknemers wijzen op de gevaren van het gebruik van AI-tools, (gedrags)regels neerleggen voor het gebruik en het oprichten en implementeren van een intern meldingsprocedure indien sprake is van een mogelijke datalek via een AI-tool.

Samsung heeft ook maatregelen getroffen na de datalek in Zuid-Korea, waaronder het opstellen van een AI-beleid. Samsung heeft bijvoorbeeld in het beleid opgenomen dat het gebruik van ChatGPT en andere AI-chatbots uit voorzorg is verboden, met als doel nieuwe datalekken te voorkomen.

Het gebruik van AI-tools hoeft echter niet helemaal uitgesloten te worden. Een bedrijf kan ook vastleggen voor welk gebruik het wel is toegestaan. Goldman Sachs heeft medewerkers bijvoorbeeld het gebruik van ChatGPT verboden, maar onthulde recent dat het andere generatieve AI-tools gebruikt om zijn softwareontwikkelaars te helpen bij het schrijven en testen van code.

Bedrijven kunnen bedrijfsgevoelige informatie beschermen door werknemers geheimhoudingsverklaringen (NDA’s) te laten ondertekenen.  Hierdoor voorkomen bedrijven dat werknemers deze informatie bekendmaken aan derden. Het is raadzaam om in deze overeenkomsten op te nemen dat onder het niet verstrekken van informatie aan derden tevens AI-tools worden verstaan. Dit kan ook onderdeel vormen van de AI-policy. Omdat de gevaren vaak in een onschuldig hoekje schuilen is het goed om ook het personeel goed te trainen op de gevaren en de gedragsregels omtrent de AI-tools. Alleen zo blijven de risico’s op het netvlies van iedere werknemer.

Risicobewustzijn

In het huidige digitale tijdperk waarin kunstmatige intelligentie een centrale rol begint te spelen in bedrijfsprocessen, is het cruciaal om je bewust te zijn van de potentiële risico’s die AI met zich brengt. Het onbedoeld delen van bedrijfsgevoelige informatie via AI-tools is precies zo’n risico. Het is van belang om niet te lichtzinnig te denken over AI-technologieën. Door het implementeren van een doordachte AI-beleid kunnen bedrijven niet alleen naleving van wet- en regelgeving waarborgen, maar ook de veiligheid van hun eigen kostbare data garanderen. Het opstellen van duidelijke richtlijnen, het trainen van personeel over de risico’s en het integreren van AI-gerelateerde clausules in geheimhoudingsovereenkomsten zijn daarbij  stappen in de goede richting.

Het is belangrijk om een evenwicht te vinden tussen het benutten van de voordelen die AI biedt en het beschermen van bedrijfsgevoelige informatie. Terwijl AI-tools zoals ChatGPT enorme mogelijkheden bieden voor efficiëntie en innovatie, vereisen ze ook een nieuwe vorm van waakzaamheid en aanpassingsvermogen van bedrijven. In een snel veranderende technologische wereld is het essentieel om voorbereid te zijn op zowel de kansen als de uitdagingen die AI met zich meebrengt.

Over de auteur: Hub Dohmen is advoaat bij BG.legal.