Europese privacytoezichthouder waarschuwt voor datalekken door 'shadow AI'

In dit artikel:

De Europese gegevensbeschermingstoezichthouder EDPS, onder leiding van Wojciech Wiewiórowski, waarschuwt recent voor de risico’s van ‘shadow AI’: werknemers die zonder toestemming externe AI-diensten gebruiken. Zulke tools kunnen beveiligings- en privacymaatregelen omzeilen, waardoor persoonsgegevens bij externe partijen terechtkomen en organisaties moeilijk kunnen nagaan waar data heen gaat of hoe die wordt gebruikt — met risico op datalekken, niet-naleving van regels (zoals de AVG) en onopgemerkte operationele verstoringen.

De EDPS wijst ook op concrete technische dreigingen, zoals automatische opname- of analysetools voor vergaderingen die securityteams niet hebben geautoriseerd en die onverwachte kwetsbaarheden of 'backdoors' kunnen introduceren. Als tegenmaatregelen raadt de toezichthouder aan om helder beleid op te stellen, technische controles en monitoring in te voeren, en ongoedgekeurde AI-domeinen te blokkeren. Verder adviseert de EDPS het instellen van data-loss-preventionregels, te verhinderen dat endpoints ongeautoriseerde AI-software installeren, en medewerkers veilige, compliant AI-platforms aan te bieden die aansluiten op hun behoeften.

Wiewiórowski benadrukt dat het beheersen van deze risico’s geen taak van één afdeling is: "Het vereist continue, nauwe samenwerking tussen functionarissen gegevensbescherming, it-afdelingen, securityteams en andere afdelingen." Organisaties die proactief beleid en technische maatregelen nemen, verkleinen de kans op datalekken en blijven beter voldoen aan privacyregels.