Hoe zou jij reageren als jouw AI-input uitlekt?
De AI-tools vliegen je de laatste maanden om de oren. Via LinkedIn krijg ik met enige regelmaat berichten van mensen die een AI-tool hebben gebouwd en dit aan mij willen pitchen. “Leuk”, denk ik dan. Maar steeds vaker stel ik mezelf ook de kritische vraag: “Hoe veilig is die tool die ze hebben gebouwd?”
Tegelijkertijd zie ik bestuurders en managers die eigenlijk nauwelijks fundamentele kennis van kunstmatige intelligentie hebben, maar wel vanaf het podium roepen: “We moeten nu écht iets met AI doen!” Het is een begrijpelijke, maar levensgevaarlijke tendens.
Niet alles wat je in AI stopt, blijft namelijk binnen de muren van je organisatie. Sterker nog: de afgelopen maanden zijn er wereldwijd én lokaal al best wat flinke datalekken geweest die direct te herleiden waren naar ondoordacht AI-gebruik.
De directe aanleiding voor dit artikel is dan ook het waarschuwende bericht dat recentelijk op NOS verscheen over de schaduwzijden van deze technologische revolutie.
Kunstmatige intelligentie heeft volop mogelijkheden. Even snel een realistische afbeelding genereren voor een presentatie, of razendsnel een eerste opzet voor een artikel laten schrijven.
Of neem het fenomeen vibecoding: tegenwoordig heb je door simpelweg te beschrijven wat je wilt binnen twee minuten een compleet werkende, nieuwe website gegenereerd. Dat klinkt fantastisch, en dat is het in de basis ook.
Alleen: je moet wel goed weten wat je doet. Als je de onderliggende techniek en de privacyvoorwaarden niet begrijpt, loop je met open ogen in een datalek. Ik wil je in dit artikel daarvoor waarschuwen, want de juridische, financiële en reputationele gevolgen kunnen simpelweg gigantisch zijn.
Wat kun je wél met AI doen?
Begrijp me niet verkeerd: ik ben absoluut geen tech-pessimist. Kunstmatige intelligentie kan je dagelijkse werk een stuk makkelijker, sneller en leuker maken. De truc zit hem in het slim scheiden van creatieve processen en privacygevoelige data.
Ben je bijvoorbeeld contentmaker, copywriter of marketeer? Dan kun je grote taalmodellen (LLM’s) perfect gebruiken voor het controleren van je eigen, reeds geschreven artikelen. Het opsporen van stijlfouten, het inkorten van te lange zinnen of het aanpassen van de toon, dat werkt allemaal hartstikke goed.
Ook als je inspiratie nodig hebt voor een gloednieuwe campagne, kun je prima sparren met Gemini, ChatGPT of Claude om tot een leuk idee te komen. Daar is helemaal niks mis mee.
Sterker nog: dit is in veel gevallen sneller en effectiever dan een drukke collega storen om jouw stuk vluchtig te controleren, of het inplannen van een energievretende brainstormsessie. Ik verafschuw deze technologie dus zeker niet.
Ik moedig je juist aan om AI te omarmen en strategisch in te zetten om meer output te kunnen leveren en je creatieve blokkades te doorbreken. De winst zit hem hier in efficiëntie, niet in het verwerken van bedrijfsgeheimen.
Een intern AI-team
Gelukkig hoef je het wiel niet alleen uit te vinden. Bij ons op het werk hebben we inmiddels een dedicated AI-team opgetuigd. Dit team fungeert als onze interne poortwachter en innovatiemotor. Zij vliegen niet blind op elke glanzende belofte af, maar onderwerpen elke nieuwe applicatie aan een strenge keuring.
Wanneer een externe partij ons een tool pusht via LinkedIn, of wanneer een collega een handige nieuwe extensie ontdekt, gaat dit eerst langs ons AI-team. Zij controleren fundamentele zaken: waar wordt de data opgeslagen? Worden onze invoergegevens gebruikt om het model te trainen? Voldoet de tool aan de AVG?
Pas wanneer zij akkoord geven en de tool veilig verklaren, mag deze breed binnen de organisatie worden ingezet. Zo borgen we innovatie zónder onze dataveiligheid op te offeren.
Wat moet je echt niét met AI doen?
Waar gaat het buiten zo’n gecontroleerde omgeving mis? De grote blinde vlek zit in de abonnementsvorm. Veel mensen gebruiken een gratis account op platformen zoals Claude, Gemini of ChatGPT. Wat veel gebruikers zich niet realiseren, is dat de data die je in een gratis consumentenversie invoert, wordt gebruikt om de modellen verder te trainen.
In feite is die data vanaf dat moment openbaar. Het algoritme slorpt jouw informatie op en kan die kennis in de toekomst direct of indirect gebruiken in antwoorden aan andere gebruikers wereldwijd. Iedereen kan er dus met jouw data vandoor gaan.
Om dit risico inzichtelijk te maken, gebruiken wij op het werk intensief een gevleugeld gezegde om elkaar scherp te houden: ‘De Telegraaf-toets’.
De Telegraaf-toets in de praktijk
De logica is even simpel als effectief. Voordat je een prompt typt of een document uploadt, stel je jezelf de volgende vraag: Wat zou je ervan vinden als jouw actie morgen inclusief de volledige inhoud op de voorpagina van De Telegraaf verschijnt? Ben je er trots op, of schaam jij je ervoor?
Door jezelf dit steevast voorafgaand aan jouw actie af te vragen, kun je een hoop ellende en potentiële rechtszaken besparen. Als de concurrentie, je klanten of de Autoriteit Persoonsgegevens de informatie absoluut niet mogen lezen, dan hoort die data simpelweg niet thuis in een openbare AI-tool.

Het gevaar van de ‘onschuldige’ Teams-samenvatting
Laten we een zeer herkenbaar praktijkvoorbeeld nemen. Steeds meer professionals nemen hun online vergaderingen op via Microsoft Teams, Zoom of Google Meet.
Superhandig, want er rolt tegenwoordig automatisch een transcriptie uit. Niemand hoeft tijdens de meeting meer live te notuleren en iedereen kan zich volledig focussen op de inhoud.
Maar wat gebeurt er vervolgens na de vergadering? De projectmanager opent de onsamenhangende transcriptie en kopieert de volledige lap tekst rechtstreeks in de gratis versie van ChatGPT met de vraag om er een overzichtelijke samenvatting van te maken. Op dat moment gooi je een compleet zakelijk gesprek op straat.
Op zichzelf is het samenvatten van tekst via AI natuurlijk niet per definitie verkeerd, maar kijk eens kritisch naar wat er in zo’n meeting daadwerkelijk wordt besproken:
- Persoonsgegevens: namen van medewerkers, functies, salarisindicaties of prestatiebeoordelingen.
- Financiële details: kwartaalcijfers die nog niet gepubliceerd zijn, budgetoverschrijdingen of margestructuren.
- Strategische plannen: fusieplannen, productlanceringen of marketingstrategieën waar de concurrentie de vingers bij af zou likken.
- Klantdata: specifieke problemen waar een grote klant tegenaan loopt, inclusief gevoelige klachten.
Als dit soort informatie in de transcriptie staat en je voedt het aan een openbaar model, dan overtreed je direct de privacywetgeving. Het is uit den boze, maar het gebeurt dagelijks duizenden keren op de werkvloer door pure onwetendheid.
De drie grootste risico’s van ondoordacht AI-gebruik
Om te begrijpen waarom de waarschuwingen op platformen zoals NOS.nl toenemen, moeten we kijken naar de concrete risico’s die organisaties lopen wanneer medewerkers ‘zomaar’ met tools gaan experimenteren zonder dat een intern AI-team de boel heeft gecertificeerd.
1. Intellectueel eigendom op straat
Als een IT-afdeling de broncode van een innovatieve softwareapplicatie in een openbare AI-tool stopt om een bug te fixen, geef je die code in feite weg. Concurrenten die soortgelijke code proberen te bouwen, kunnen via gerichte prompts elementen van jouw intellectueel eigendom voorgeschoteld krijgen. Dit is geen sciencefiction; dit is de realiteit waar techbedrijven nu al mee te maken hebben.
2. Het blackboxprobleem van externe tools
Als die enthousiaste LinkedIn-pitcher jou een AI-tool aanbiedt die hij “zelf heeft gebouwd”, waar draait die tool dan op? In 95% van de gevallen is het een schil die via een API in verbinding staat met externe servers in het buitenland. Weet jij waar de data wordt opgeslagen?
Zonder dat ons AI-team zo’n tool heeft doorgelicht en een sluitende verwerkersovereenkomst heeft gecontroleerd, ben jij als ondernemer of bestuurder eindverantwoordelijk voor het datalek dat hieruit voortvloeit.
3. ‘Hallucinaties’ en desinformatie
AI-modellen zijn geprogrammeerd om een logisch klinkend antwoord te genereren, niet per se een feitelijk juist antwoord. Wanneer je AI gebruikt om cruciale analyses te doen op basis van interne data, bestaat het risico dat de tool feiten hallucineert (verzint). Als je blind vertrouwt op deze output zonder handmatige verificatie of de juiste interne tooling, neem je strategische beslissingen op basis van gebakken lucht.
Hoe bouw je een veilige AI-cultuur?
Betekent dit dat we AI dan maar volledig moeten verbieden op de werkvloer? Absoluut niet. Het blokkeren van AI-websites is een achterhoedegevecht; medewerkers gebruiken het dan immers wel via hun eigen smartphone onder de radar. Wat je wél moet doen, is het faciliteren van een veilige, gecontroleerde infrastructuur.
Stap 1: Stap over op Enterprise-licenties
Zorg ervoor dat het management budget vrijmaakt voor de betaalde zakelijke varianten van AI-tools (zoals ChatGPT Team/Enterprise of Microsoft 365 Copilot). In de voorwaarden van deze licenties staat expliciet dat de ingevoerde data niet wordt gebruikt om de modellen te trainen.
Stap 2: Laat je adviseren door experts
Gebruik de expertise van een gecentraliseerd AI-team. Zij kunnen gecertificeerde applicaties inrichten, veilige API-koppelingen opzetten en fungeren als centraal meldpunt voor medewerkers die nieuwe tools willen testen.
Stap 3: Stel een helder AI-beleid op
Zorg voor een overzichtelijk document waarin duidelijk staat wat wel en niet mag. Geef concrete voorbeelden, net zoals het voorbeeld van de Teams-transcriptie. Maak medewerkers bewust van het verschil tussen publieke AI en afgeschermde AI.
Gebruik je gezonde verstand
Kunstmatige intelligentie is de meest disruptieve en krachtige technologie van deze eeuw. Het biedt ons de kans om saaie taken te automatiseren, productiviteit te verdubbelen en creatieve grenzen te verleggen. Maar laat je niet verblinden door de glimmende buitenkant van snelle tools en vlotte LinkedIn-pitches.
Blijf kritisch, maak gebruik van de expertise van een intern AI-team om tools vooraf te screenen, en implementeer ‘De Telegraaf-toets’ als vaste waarde binnen je team. AI is een vlijmscherp hulpmiddel: in de handen van een vakman bouwt het meesterwerken, maar zonder de juiste veiligheidsmaatregelen snijd je er onherroepelijk mee in je eigen vingers.