De Europese privacytoezichthouder EDPS waarschuwt voor datalekken als gevolg van ‘shadow AI’, het gebruik van ongeautoriseerde AI-tools door medewerkers van organisaties. Door het gebruik van dergelijke tools kunnen belangrijke maatregelen voor het beschermen van persoonlijke gegevens worden omzeild, waardoor deze data bij partijen terecht kan komen die hier geen toegang toe horen te hebben.

“Wat een makkelijke manier lijkt om productiever te zijn, kan ernstige gevolgen hebben, waaronder datalekken, het niet voldoen aan regelgeving en operationele verstoringen die onopgemerkt blijven”, aldus EDPS-voorzitter Wojciech Wiewiórowski. Zo kan er door het gebruik van ongeautoriseerde AI-tools een ‘blinde vlek’ voor toezichthouders ontstaan, waarin zich allerlei risico’s kunnen voordoen. “Zodra data in een niet-goedgekeurd systeem is ingevoerd, is het bijna onmogelijk om te volgen of monitoren waar die informatie terechtkomt, hoe het wordt gebruikt en wie zijn modellen ermee traint.”

Volgens Wiewiórowski introduceren dergelijke AI-tools ook allerlei ernstige beveiligingsproblemen. Het gaat dan bijvoorbeeld om tools die automatisch online meetings opnemen, zonder dat securityteams hiervoor toestemming hebben gegeven. Dit kan tot ‘onverwachte backdoors’ leiden, waarschuwt de EDPS-voorzitter. Hij roept op tot het opstellen van duidelijk beleid over het gebruik van AI-tools, alsmede het toepassen van technische controls en monitoring.

Zo moeten organisaties domeinnamen van niet-toegestane AI-tools blokkeren, ‘data loss prevention rules’ instellen en ervoor zorgen dat endpoints geen AI-software kunnen installeren die niet is goedgekeurd. De beste oplossing is volgens de EDPS-voorzitter het aanbieden van AI-platforms die veilig en compliant zijn en aan de behoeftes van medewerkers voldoen. Afsluitend laat Wiewiórowski weten dat het aanpakken van de risico’s van ‘shadow AI’ niet de taak van slechts één afdeling is. “Het vereist continue, nauwe samenwerking tussen functionarissen gegevensbescherming, it-afdelingen, securityteams en andere afdelingen.”

Het Nederlandse onderwijs moet minder afhankelijk worden van Google, Microsoft en andere Big Tech-bedrijven, omdat de totale …

Bron: Security.nl