Hoe gebruik je ChatGPT en AI veilig? 5 tips voor AVG-proof werken
Misschien maak je je zorgen over het veilig gebruiken van generatieve AI, zoals ChatGPT. Begrijpelijk en terecht. In dit blog geef ik antwoord op de meest gestelde vragen over de veiligheid van deze technologie. Zo weet je precies waar je op moet letten en zet je AI zo veilig mogelijk in.
Wat is generatieve AI?
Generatieve AI, zoals ChatGPT, is een technologie die op basis van grote hoeveelheden data teksten, beelden en andere content kan maken. Denk aan een slimme assistent die je vragen beantwoordt, teksten schrijft of zelfs een gesprek met je voert.
Laten we het even bij ChatGPT houden. Deze AI-tool wordt nog steeds getraind met data. Ook met data die gebruikers invoeren tijdens hun gebruik van ChatGPT. Het systeem leert daarvan en kan daardoor steeds betere uitkomsten geven. Je kunt voorkomen dat ChatGPT jouw data ook voor leerdoelen gebruikt. Daar kom ik zo op terug.
Hoe veilig is het gebruik van ChatGPT?
ChatGPT kun je veilig gebruiken, zolang je een paar belangrijke richtlijnen volgt. Hier zijn de belangrijkste punten:
1. Voer geen persoonlijke gegevens in
Voer nooit persoonlijke gegevens zoals namen, adressen of e-mailadressen in. Zo voorkom je dat deze gegevens ergens worden opgeslagen of misbruikt. Noem mensen dus mevrouw J. of de heer X. Verwijder bedrijfsnamen. Als je de output van ChatGPT geëxporteerd hebt naar een Word-document, dan kun je de gegevens alsnog toevoegen met ‘zoeken en vervangen’.
Wees ook voorzichtig met je medische gegevens en je foto’s, als je ChatGPT of een andere AI-tool inzet voor persoonlijk gebruik.
2. Geen gevoelige bedrijfsinformatie
Upload geen gevoelige bedrijfsinformatie. Dus geen financiële gegevens, strategische plannen of andere vertrouwelijke informatie.
3. Controleer de instellingen
Zorg ervoor dat de instellingen van de AI-tool zo zijn ingesteld dat de ingevoerde gegevens niet worden gebruikt om het model te trainen. Sommige tools bieden de optie om geen gegevens op te slaan, zoals bepaalde versies van Claude of Good Tape.
In ChatGPT doe je dat als volgt:
- Ga naar je profiel (rechtsboven, bij mij staat daar mijn foto)
- Klik op instellingen
- Klik op gegevensbeheer
- Zet ‘het model verbeteren voor iedereen’ uit.
ChatGPT gebruikt je data nu niet voor leerdoeleinden, maar je gegevens worden wel tot 30 dagen opgeslagen op de servers van OpenAI (de maker van ChatGPT). Dit gebeurt voor veiligheidsdoeleinden, zoals het monitoren op misbruik en het verbeteren van de diensten. Na die 30 dagen worden je gegevens permanent verwijderd.
Is Microsoft Copilot veiliger dan ChatGPT?
Voor zover ik het kan beoordelen biedt Copilot wat betere garanties:
- De gegevens blijven binnen je Microsoft 365-omgeving en worden niet gedeeld of gebruikt voor het trainen van AI-modellen.
- Het profiteert van Microsofts uitgebreide(re) beveiligingsmaatregelen.
Waarom ik dan toch voor ChatGPT kies in mijn cursussen? Met ChatGPT kun je je eigen assistenten (GPT’s) bouwen, die één specifieke taak uitvoeren. Bijvoorbeeld het omzetten van aantekeningen in een verslag (notulen) in jouw schrijfstijl en in het format dat jij daarvoor wilt gebruiken.
Microsoft Copilot heeft die optie niet. Microsoft verwijst naar tools als Azure OpenAI Service of Studio.
4. Check de output
Controleer altijd de output. AI kan fouten maken of verkeerde informatie geven. Lees de teksten goed door en pas ze aan waar nodig. Gebruik AI zoals ChatGPT als hulpmiddel, niet als vervanging van jouw kennis en kunde. ChatGPT maakt uitkomsten op basis van data die eerder ingevoerd zijn en denkt niet zelf na. Gebruik het taalmodel dus niet als vervanger van je arts voor een second opinion of je bedrijfsjurist voor juridisch advies.
5. Host AI-toepassingen vanuit een eigen Europese server
Dit heeft een aantal voordelen:
- AVG-richtlijnen naleven: Door je data op Europese servers te bewaren, zorg je ervoor dat je voldoet aan de Algemene Verordening Gegevensbescherming (AVG). De AVG is de privacywetgeving van de EU, en het is belangrijk dat bedrijven zich hieraan houden om boetes en juridische problemen te voorkomen.
- Betere controle over data: Wanneer je AI-toepassingen op je eigen servers draait, heb je meer controle over de data die verwerkt wordt. Je weet precies waar de data zich bevindt en wie er toegang tot heeft.
- Bescherming tegen datalekken: Door je AI-toepassingen op Europese servers te hosten, minimaliseer je het risico dat data in handen komt van partijen buiten de EU, waar andere privacyregels kunnen gelden. Dit maakt het eenvoudiger om je data te beveiligen en datalekken te voorkomen.
Hoe je dat regelt?
Om AI-toepassingen vanuit een eigen Europese server te hosten en ervoor te zorgen dat je voldoet aan de AVG-richtlijnen, volg je deze stappen:
- Kies een Europese serverprovider
- Zoek een betrouwbare hostingprovider die datacenters in Europa heeft. Voorbeelden zijn AWS (Amazon Web Services) met Europese regio’s, Google Cloud Platform (GCP), Microsoft Azure, OVHcloud, of Nederlandse aanbieders zoals TransIP.
- Controleer of de provider voldoet aan de AVG-richtlijnen en of ze certificeringen hebben zoals ISO 27001 voor informatiebeveiliging.
- Beoordeel de beveiliging van de servers
- Zorg ervoor dat de gekozen provider sterke beveiligingsmaatregelen heeft, zoals firewalls, versleuteling, en toegangsbewaking.
- Vraag naar hun beleid en procedures voor databeveiliging en incidentbeheer.
- Migreer je AI-toepassingen
- Verplaats je AI-toepassingen naar de nieuwe Europese servers. Dit kan betekenen dat je je data en applicaties moet kopiëren en configureren op de nieuwe infrastructuur.
- Test de applicaties om ervoor te zorgen dat ze correct functioneren op de nieuwe servers.
- Implementeer gegevensbescherming
- Versleutel gevoelige data zowel in rust (opgeslagen data) als tijdens overdracht (data die via het netwerk wordt verzonden).
- Zorg voor strikte toegangscontrole, zodat alleen bevoegde personen toegang hebben tot de data.
- Controleer en onderhoud
- Monitor regelmatig de beveiliging en prestaties van je servers.
- Voer periodieke audits uit om te controleren of je nog steeds voldoet aan de AVG en andere relevante regelgeving.
- Blijf op de hoogte van updates en patches van je serverprovider om beveiligingslekken te voorkomen.
- Documenteer alles
- Houd een gedetailleerde administratie bij van de genomen maatregelen, gebruikte technologieën en beveiligingsprocedures.
- Documenteer alle risico’s en de getroffen maatregelen om deze te minimaliseren.
- Train je personeel
- Zorg ervoor dat alle medewerkers die met de AI-toepassingen werken, op de hoogte zijn van de AVG-richtlijnen en interne procedures voor gegevensbescherming.
- Geef regelmatig trainingen over de beste praktijken voor gegevensbeveiliging en privacy.
- Maak gebruik van juridische ondersteuning
- Raadpleeg juridische experts om er zeker van te zijn dat je voldoet aan alle relevante wet- en regelgeving.
- Laat je privacybeleid en dataverwerkingsovereenkomsten beoordelen door een jurist gespecialiseerd in gegevensbescherming.
Wat moet ik doen als er toch iets misgaat?
Als er toch iets misgaat, bijvoorbeeld een datalek, meld dit dan binnen 72 uur bij de Autoriteit Persoonsgegevens. Werk je in loondienst, informeer dan eerst je leidinggevende en volg de interne protocollen voor het melden van incidenten. Meld het datalek ook bij degenen van wie je de informatie hebt gelekt.
Tot slot
Generatieve AI zoals ChatGPT biedt veel mogelijkheden, maar je moet er wel verantwoord mee omgaan. Volg de richtlijnen, blijf alert en wees transparant.
Wil je weten hoe jij generatieve AI kunt inzetten bij het snel en slim maken van content voor jouw organisatie? Laat het me weten.
Bonus
Hieronder vind je wat tips die je in je interne richtlijnen kunt werken, zodat het voor iedereen helder is hoe jullie met generatieve AI omgaan.
Richtlijnen voor afspraken over het gebruik van generatieve AI binnen je bedrijf
- Doelen van generatieve AI-tools
- Content van goede kwaliteit maken (tekst en beeld).
- Efficiëntie verhogen: snel en slim werken.
- Op een veilige manier werken, waarbij je de privacy van mensen en gevoelige informatie van organisaties beschermt en rekening houdt met interne afspraken, kwaliteitsnormen en de wet- en regelgeving.
- ISO-normen en AI-tools
Als er gewerkt wordt met ISO-normen:
- Zorg ervoor dat het gebruik van AI-tools voldoet aan de ISO-normen van je organisatie.
- Leg alle risico’s en maatregelen op het gebied van AI vast.
- Controleer of iedereen de gemaakte afspraken over AI naleeft.
- Toegestane generatieve AI-tools
- Leg vast welke tools medewerkers mogen gebruiken.
- Gebruik van de toegestane generatieve AI-tools
- Voer geen persoonlijke gegevens van personen in, zoals NAW-gegevens of namen en e-mailadressen. Anonimiseer de namen van personen en organisaties.
- Voer geen gevoelige bedrijfsinformatie in, zoals financiële gegevens.
- Zet de instellingen van de tool altijd zo, dat de door jou ingevoerde gegevens niet door de tool gebruikt worden om van te leren.
- Gebruik bij voorkeur AI-tools die geen gegevens opslaan, zoals Good Tape.
- Hoe ga je met de uitkomsten om?
- Controleer de tekst vooral op inhoud, maar let ook op spelling- en grammaticafouten. Gebruik je de teksten voor bijvoorbeeld pr en marketing? Zorg er dan altijd voor dat de teksten in de tone of voice van je organisatie zijn geschreven. Neem de teksten niet 1-op-1 over.
- Laat iemand anders de tekst nogmaals controleren als het om belangrijke documenten gaat.
- Gebruik je AI voor het maken van teksten en afbeeldingen voor klanten? Laat dan altijd weten wat je met AI doet en hoe je met hun gegevens omgaat. Vermeld het altijd als je een afbeelding met AI hebt gemaakt. Pas zo nodig je algemene voorwaarden aan.
- Scholing en ondersteuning
- Zorg voor regelmatige scholing en ondersteuning over het gebruik van AI-tools.
- Houd medewerkers op de hoogte van nieuwe ontwikkelingen en best practices.
- PDCA-cyclus van de afspraken
- Controleer en evalueer het gebruik van generatieve AI met een vaste afgesproken frequentie.
- Voer regelmatig risicoanalyses uit.
- Verzamel en verwerk feedback van medewerkers.
- Pas het beleid zo nodig aan.
- Verantwoordelijkheden
- Iedereen binnen de organisatie is zelf verantwoordelijk voor het naleven van de gemaakte afspraken.
- Leg vast wie waar verantwoordelijk voor is en stel een aanspreekpunt in voor vragen.
- Incidentenbeheer
- Stel een procedure op voor het melden en afhandelen van AI-gerelateerde incidenten.
- Zorg voor een duidelijk protocol bij datalekkage. Bij het invoeren/uploaden van persoonsgegevens ben je verplicht om een datalek te melden bij de Autoriteit Persoonsgegevens. Doe dit binnen 72 uur na het ontdekken van het lek.
- Registreer alle incidenten en de genomen maatregelen.
Voorbeeldprotocol voor het melden van datalekken
- Melding maken: Meld het datalek direct aan de verantwoordelijke binnen je team.
- Informatie verzamelen: Verzamel alle relevante informatie over het lek, zoals de aard van de gegevens en de oorzaak.
- Rapporteren: Vul het meldingsformulier op de website van de Autoriteit Persoonsgegevens in en verstuur dit binnen 72 uur na het ontdekken van het lek.
- Maatregelen nemen: Implementeer maatregelen om verdere schade te beperken en herhaling te voorkomen.
- Communiceren: Informeer betrokkenen over het datalek en de genomen maatregelen.
Op de hoogte blijven van alle ontwikkelingen op AI-gebied? Neem dan eens een kijkje in de AI-revolution community.
Deze blog bevat een affiliate link. Als je iets koopt via deze link, dan ontvang ik een kleine commissie zonder extra kosten voor jou.
Blog posts die je misschien ook wel interessant vindt:
Ik ben groot fan van Canva. En tegenwoordig kun je […]
Als je de cursus hebt afgerond, dan heb je natuurlijk […]
Vanaf 2 februari 2025 moeten bedrijven die AI gebruiken ervoor […]