U bent hier

Onderneming & Fiscus
Werken met AI8. Risico’s, beperkingen en ethische dilemma’s8.5 Privacy

8.5 Privacy

Dit artikel is eerder verschenen als Themadossier HR Rendement
Publicatiedatum: maart 2024

bescherming

De combinatie van privacy en AI en de bescherming van gevoelige bedrijfsgegevens zal bij veel organisaties op het zorgenlijstje staan. Want gevoelige gegevens in een black box gooien, met als risico dat ze weer opduiken bij de concurrent, is niet bepaald een aantrekkelijk vooruitzicht.

Standaardfunctionaliteiten

trainen

in ontwikkeling

En inderdaad: bij gratis varianten van AI-tools worden de data van uw organisatie gedeeld en gebruikt voor het trainen van de modellen. Hierbij zijn uw gegevens niet altijd veilig. In betaalde (zakelijke) varianten worden uw data in principe niet gebruikt voor training. Dit geldt vaak wel alleen bij standaardfunctionaliteiten. Als uw organisatie nieuwe features gebruikt die nog in ontwikkeling zijn, worden uw data meestal weer wél gedeeld. Het is waarschijnlijk een kwestie van tijd totdat de data ook bij deze opties worden beschermd. Maar het blijft belangrijk om scherp te zijn op de voorwaarden van AI-tools, ook rondom het delen van gevoelige data.

Ook prompts zijn ‘gevoelig’

geheugen

Voor generatieve AI geldt dat ook de geschiedenis van de chats gebruikt (of misbruikt) kan worden. Als iemand bijvoorbeeld heel vaak ChatGPT gebruikt, zijn de chatgeschiedenis en de prompts die zijn ingevoerd, een goede afspiegeling van waar die werknemer mee bezig is. Het is een soort ‘geheugen’, dat ook waarde kan hebben voor cybercriminelen. Zorg dus dat er een tweestapsverificatie is ingesteld voor het inloggen (bijvoorbeeld een wachtwoord en een pincode), zodat kwaadwillenden er niet zomaar bij kunnen!

8.5.1 Persoonsgegevens

AVG

beveiliging

Daarnaast geldt de Algemene verordening gegevensbescherming (AVG) ook gewoon in ‘AI-land’. Dus naast dat uw organisatie voorzichtig moet zijn met persoonlijke gegevens, moet u ook zeker weten dat u gegevens die u gebruikt voor AI-toepassingen, wel op een wettelijk geoorloofde manier heeft verkregen (zie voor uitgebreide informatie de toolbox op rendement.nl/hrdossier). Voor het verwerken van persoonsgegevens gelden strikte voorwaarden. De AVG schrijft voor dat uw organisatie ‘passende’ beveiliging moet regelen voor persoonsgegevens. U voelt wel aan dat het delen van gegevens met een taalmodel, waarvan niet duidelijk is wat het met die gegevens gaat doen, niet onder die definitie valt.

8.5.2 Veilige API

koppeling

Hoewel er privacyzorgen zitten aan het gebruik van AI, is een deel van de benoemde problemen ook op te lossen. Namelijk door gebruik te maken van een API-koppeling van onder meer OpenAI (het bedrijf achter ChatGPT) of Google. Dit is een koppeling die programmeurs gebruiken om met software te communiceren. Zo beschermt uw organisatie de data-uitwisseling door dit binnen uw eigen cloud of digitale omgeving te houden. Ook is er een veiligere (en betaalde) variant voor de chatbotfuncties van taalmodellen, zoals ChatGPT Enterprise en Teams, die hetzelfde effect hebben.

In ChatGPT Teams kunnen gebruikers ook chatgesprekken afschermen en eigen werkomgevingen aanmaken. Hiermee blijven data van uw organisatie binnenskamers in uw eigen cloud. Dit is vergelijkbaar met het gebruik van Google Docs of Microsoft Sharepoint.