EDPS: 'Shadow AI brengt risico's met zich mee'

Binnen veel organisaties wordt AI in een hoog tempo omarmd. In sommige gevallen kiezen gebruikers er echter voor op eigen houtje AI-tools te omarmen, zonder medeweten van de IT-afdeling. Dit wordt ook wel shadow AI genoemd.

Risico's

De EDPS wijst op de risico's. Zo zijn vaak geen formele afspraken gemaakt over de juridische basis voor gegevensverwerking, vastgestelde bewaartermijnen of noodzakelijke waarborgen voor internationale gegevensoverdracht. Dit zet de transparantie van AI-gebruiker onder druk. Zodra gegevens in een niet-goedgekeurd systeem zijn ingevoerd, is het vrijwel onmogelijk om bij te houden waar die informatie naartoe gaat, hoe deze wordt gebruikt of wie hun modellen erop traint.

Daarnaast waarschuwt de EDPS voor ernstige beveiligingskwetsbaarheden die het gebruik van shadow AI met zich mee kan brengen. Zo kunnen bepaalde AI-tools, zoals geautomatiseerde vergaderingsrecorders, deelnemen aan vergaderingen zonder toezicht of goedkeuring van IT-beveiligingsteams. Dit brengt aanzienlijke risico’s met zich mee voor betrokkenen, omdat het delen van persoonsgegevens met derden zonder strikt toezicht de mogelijkheid van een organisatie om aan verzoeken om uitoefening van rechten van betrokkenen te voldoen, ondermijnt.

Om deze risico’s effectief te beheersen en te beperken, kunnen organisaties volgens EDPS niet volstaan met een strategie van wegkijken. De toezichthouder pleit voor een proactieve, alomvattende benadering van AI-governance, die robuuste technische controles combineert met een cultuur van bewustzijn.