AI in het MKB: slimmer werken of onbewust risico nemen?

AI is overal. Bij de koffieautomaat, in vergaderingen en steeds vaker in het dagelijks werk. Van het schrijven van marketingteksten tot het samenvatten van notulen of het analyseren van documenten. Handig, snel en efficiënt. “Hot and happening,” zoals onze security officer Mike het noemt in de podcast.

En dat klopt. AI helpt je slimmer werken. Maar als ICT-partner kijken wij altijd één stap verder. Want de vraag die vaak niet wordt gesteld is simpel: wat gebeurt er eigenlijk met de data die jij of je medewerker in zo’n tool stopt?

AI gaat sneller dan je beleid

In het Nederlandse MKB wordt AI razendsnel omarmd. Vaak sneller dan organisaties afspraken maken over veilig gebruik. Medewerkers ontdekken zelf tools als ChatGPT of online PDF-lezers om tijd te winnen. Dat noemen we Shadow AI: goed bedoeld, maar zonder kaders.

Op het eerste gezicht laat dit initiatief zien dat je mensen meedenken. In de praktijk kan het betekenen dat bedrijfsgevoelige informatie zonder het te weten buiten je organisatie belandt. En dat risico wordt vaak onderschat.

Het scenario dat je niet wilt meemaken

In de podcast schetst Robert een voorbeeld dat in veel organisaties kan voorkomen. GKS werkt voor klanten met verhoogde beveiligingseisen, waar zorgvuldig omgaan met informatie vanzelfsprekend is.

Stel je voor: een medewerker moet een omvangrijk contract doornemen. Om tijd te besparen uploadt hij het document in een openbare AI-tool en vraagt:

“Waar staat de passage over beveiligingsafspraken?”

Binnen enkele seconden krijgt hij het juiste antwoord. Efficiënt? Zeker. Veilig? Niet per definitie.

Wat vaak over het hoofd wordt gezien, is dat hiermee een vertrouwelijk document wordt gedeeld met een externe dienst. Veel gratis AI-tools verwerken ingevoerde data om hun modellen te verbeteren. Dat betekent dat inhoud zoals namen, bedragen en afspraken buiten je directe controle kan raken. In het slechtste geval kan gevoelige informatie later, in delen, weer opduiken wanneer anderen gerichte vragen stellen.

Het gaat niet alleen om bedrijfsgeheimen

Het risico beperkt zich niet tot contracten. Mike wijst in het gesprek ook op PII: persoonsgegevens zoals BSN-nummers, cv’s of financiële gegevens.

Een HR-medewerker die een cv in een AI-tool plakt met de vraag “Schrijf een afwijzingsmail” deelt persoonsgegevens met een partij waarmee je geen verwerkersovereenkomst hebt. Volgens de AVG is dat simpelweg een datalek. Vaak onbedoeld, maar met mogelijk grote gevolgen. Denk aan boetes, maar ook aan vertrouwen dat je niet zomaar terugwint.

Verbieden heeft geen zin

Moet je AI dan maar volledig verbieden? Nee. Dat is niet realistisch en niet wenselijk. AI is er en blijft. Het levert aantoonbaar tijdwinst en productiviteitsvoordeel op. Volledig blokkeren betekent dat je innovatie afremt en achterloopt.

De oplossing zit in duidelijke afspraken. Bij GKS hebben we, voordat we AI breder inzetten, eerst vastgelegd wat wel en niet mag. Dat begint bij dataclassificatie.

• Groen licht: publieke informatie, marketingteksten, algemene e-mails
• Rood licht: klantdata, wachtwoorden, contracten, financiële cijfers en intellectueel eigendom
  
  

Daarnaast kiezen we bewust voor zakelijke AI-oplossingen met heldere data-afspraken, zoals Microsoft Copilot met de juiste beveiligingsinstellingen. Daarbij is vastgelegd dat ingevoerde data niet wordt gebruikt om het model te trainen.

Slim werken zonder hoofdpijn

AI is een krachtige versneller. Maar alleen als je weet waar de grenzen liggen. Laat je medewerkers profiteren van snelheid en gemak, zonder dat ze onbedoeld risico’s nemen.

Dat vraagt om beleid, veilige tools en duidelijke uitleg over wat wel en niet gedeeld mag worden. Zo werk je slimmer, niet roekelozer. En houd je controle over je data.

Wil je meer weten over onze AI-richtlijnen, de risico’s rondom persoonsgegevens en hoe je veilig innoveert? Bekijk dan de volledige podcastaflevering en hoor het hele gesprek.