AI op de werkplek: pas op voor een datalek

De risico’s van AI zonder beleid

De situatie bij de gemeente Eindhoven illustreert de risico’s van onbeheerst AI-gebruik door werknemers. Persoonsgegevens werden onbedoeld gedeeld via openbare AI-tools: niet uit kwade opzet, maar door onwetendheid en om het werk gemakkelijker te maken. Het gevolg: persoonsgegevens van burgers en collega’s belanden buiten de organisatie, waarbij de omvang en impact onduidelijk zijn. Dat kan betekenen dat er sprake is van een datalek.

Het risico is in elk geval niet theoretisch: bij het gebruik van openbare AI-chatbots zoals ChatGPT kan ingevoerde tekst (bijvoorbeeld bedrijfsdocumenten, code, of persoonlijke gegevens) worden opgeslagen en gebruikt om het model te verbeteren. Als het model later een vergelijkbare vraag krijgt, kan het fragmenten van die oorspronkelijke input weergeven in het antwoord aan een andere gebruiker.

Omdat AI-tools tegenwoordig net zo toegankelijk zijn als e-mail of zoekmachines, ligt het risico niet in de technologie zelf, maar in het dagelijkse gebruik door werknemers. Veel werknemers beseffen niet dat ingevoerde gegevens in openbare AI-tools worden verwerkt op externe servers, mogelijk worden opgeslagen en gebruikt voor modelontwikkeling. Wie persoonsgegevens, bedrijfsgevoelige informatie of vertrouwelijke documenten invoert in zo’n openbare tool, verliest de controle over die data, met mogelijke overtredingen van de AVG als gevolg.

Wat kunnen werkgevers doen?

Veel werkgevers hebben al beleid over geheimhouding en het omgaan met persoonsgegevens. Zij doen er goed aan om dit beleid nog eens tegen het licht te houden: is het voor werknemers duidelijk genoeg dat zij niet zomaar informatie in openbare AI-tools kunnen uploaden, en waarom?

Net als bij veel andere soorten beleid voor werknemers geldt: wees heel duidelijk, en houd je consequent aan je eigen beleid. Leg dus als werkgever uit:

• Welke openbare AI-tools mogen worden gebruikt, en welke juist niet;
• Hoe openbare AI-tools mogen worden gebruikt (bijvoorbeeld wel voor een vertaling van een algemeen stuk zonder gevoelige bedrijfsgegevens of persoonsgegevens, maar niet om een klantenbestand te optimaliseren);
• Welke interne alternatieven beschikbaar zijn, en op welke wijze zij kunnen worden gebruikt;
• Wat de procedure is indien een werknemer twijfelt over de inzet van AI (bijvoorbeeld: éérst overleggen met een leidinggevende of een IT-medewerker);
• Wat de mogelijke sancties zijn bij overtreding van het beleid (zoals een waarschuwing, bijscholing of in het ergste geval ontslag).

Handhaving: wees consequent

Werkgevers hebben het recht om sancties op te leggen bij overtredingen van het AI-beleid. Dat is niet bedoeld om werknemers te straffen voor elke kleine misstap, maar een vorm van risicobeheersing, vergelijkbaar met andere compliance- en veiligheidsregels. Herhaald of bewust onzorgvuldig omgaan met gevoelige informatie kan leiden tot grote risico’s, en daarom kunnen arbeidsrechtelijke maatregelen gepast zijn.

Tegelijkertijd geldt ook dat werknemers het beleid moeten begrijpen. Zorg dus ook voor training en bewustwording op het gebied van AI, zodat werknemers hier veilig mee om kunnen gaan. Medewerkers moeten zich daarnaast ook veilig voelen om vragen te stellen en onzekerheden te bespreken. Wie bang is voor sancties bij elke misstap, zal fouten eerder verbergen dan melden. Wie mee mag praten over de veilige inzet van AI, zal het beleid sneller onderschrijven én volgen.

Aan de slag met AI-beleid voor werknemers

Kortom: werkgevers doen er goed aan hun richtlijnen over geheimhouding, persoonsgegevens en IT-gebruik nog eens na te lopen, en aan te scherpen waar nodig. Betrek daarbij ook het personeel of de ondernemingsraad. Zo kom je als organisatie samen tot de veilige inzet van AI, zonder het vertrouwen of de gegevens van klanten, burgers of medewerkers in gevaar te brengen.

Hulp nodig bij het opstellen van beleid? Of wilt u meer weten over AI op de werkvloer, en wat u daar als ondernemer, werknemer of OR-lid mee kunt doen? Neem gerust contact op met ons team Arbeidsrecht of één van onze AI-specialisten. Of schrijf u in voor onze nieuwsbrief om op de hoogte te blijven van de laatste ontwikkelingen!