AI verbieden op de werkvloer? Dat is vragen om problemen
Veel ondernemers denken dat ze risico's uitsluiten door AI gebruik simpelweg te verbieden. Het idee is nuchter en overzichtelijk: als we het niet toestaan, kan er ook niets fout gaan. Recent onderzoek van de Fontys Hogeschool bevestigt echter wat wij bij mAIxs in de praktijk al langere tijd zagen. Strenge regels en verboden werken vaak averechts en zorgen juist voor grotere veiligheidslekken binnen je organisatie. Wanneer je de officiële route blokkeert, zoeken medewerkers namelijk zelf een weg om hun werk sneller en makkelijker te maken. Dit gebeurt vaak buiten het zicht van de IT afdeling en de directie, waardoor de risico's alleen maar groter worden.
Het onzichtbare gevaar van shadow AI
Het fenomeen waarbij werknemers op eigen houtje software gebruiken zonder toestemming noemen we shadow IT. Met de komst van generatieve AI is dit verschoven naar shadow AI. Medewerkers gebruiken hun eigen accounts en gratis versies van tools zoals ChatGPT om hun dagelijkse werk sneller af te krijgen. Omdat er geen officiële bedrijfslicentie is, loggen zij in met privé mailadressen op hun eigen apparaten of via een omweg op de werkplek. Het grote risico hierbij is dat de data die zij invoeren in deze gratis modellen vaak wordt gebruikt om de modellen verder te trainen. Zonder dat jij er als eigenaar zicht op hebt, lekt er gevoelige bedrijfsinformatie naar publieke modellen.
Onderzoek toont aan dat ruim zestig procent van de medewerkers bereid is de regels te overtreden als dat hun werk efficiënter maakt. Ze zien de enorme voordelen van de technologie en willen niet achterblijven in hun eigen ontwikkeling. Een verbod voelt voor hen als een onlogische rem op hun functioneren. Het gevolg is een wildgroei aan tools die nergens geregistreerd staan en die geen enkele vorm van beveiliging kennen die door de organisatie is goedgekeurd. Hierdoor raak je als bedrijf de controle volledig kwijt omdat het gebruik volledig ondergronds gaat.
De psychologie van de werkvloer en de drang naar efficiëntie
Mensen zijn van nature geprogrammeerd om de weg van de minste weerstand te kiezen. Als een AI tool ervoor kan zorgen dat een taak die normaal vier uur duurt nu in dertig minuten klaar is, dan is de verleiding simpelweg te groot om die tool links te laten liggen. Medewerkers voelen vaak een hoge werkdruk en zien AI als de reddingsboei die hen helpt om hun targets te halen zonder over te hoeven werken. Wanneer een directie besluit AI te verbieden, ontstaat er een kloof tussen het management en de werkvloer.
De werkvloer ziet de technologische vooruitgang en ervaart de voordelen dagelijks, terwijl het management handelt vanuit angst en een gebrek aan kennis. Dit zorgt voor een cultuur waarin creatieve maar onveilige omwegen worden bedacht om toch gebruik te kunnen maken van de voordelen. In plaats van een gezamenlijke strategie te voeren, wordt het een spel waarbij de veiligheid van bedrijfsdata de grote verliezer is. Het is belangrijk om te begrijpen dat AI geen tijdelijke hype is maar een fundamentele verandering in hoe we werken. Medewerkers zijn bang dat ze hun marktwaarde verliezen als ze niet leren omgaan met deze nieuwe instrumenten.
Waarom een administratiekantoor onbewust data lekte
Laten we kijken naar een praktijkvoorbeeld van een middelgroot administratiekantoor. De directie had besloten dat AI verboden was vanwege de strikte privacyregels waar zij aan moesten voldoen. Een van de senior dossierbeheerders zat echter met een enorme berg ongestructureerde data van een nieuwe klant. Hij besloot op zijn eigen laptop thuis de data in een gratis versie van een AI tool te laden om de posten te categoriseren en een samenvatting te maken. De medewerker was enthousiast want het werk dat normaal twee dagen kostte, was nu in een uur gedaan.
Wat hij echter niet wist, was dat de gratis tool die hij gebruikte de data opsloeg om het algoritme te verbeteren voor andere gebruikers wereldwijd. Hierdoor stonden de financiële details en zelfs enkele burgerservicenummers van de klant effectief in een publieke database die door derden kon worden geraadpleegd. Het kantoor dacht veilig te zijn door het verbod, maar het tegendeel was waar. Dit scenario laat zien dat de intentie van de medewerker goed was, namelijk het werk beter doen, maar dat het gebrek aan een veilige bedrijfsoplossing leidde tot een ernstig datalek.
De overstap naar een veilige sandbox omgeving
De oplossing voor dit probleem ligt niet in het ontzeggen van toegang, maar in het bieden van een veilige haven. We noemen dit ook wel een safe sandbox. Dit is een gecontroleerde omgeving waar medewerkers kunnen experimenteren en werken met AI zonder dat de data de organisatie verlaat. Denk hierbij aan enterprise oplossingen van bekende aanbieders zoals Microsoft Copilot of de zakelijke varianten van ChatGPT. Bij deze zakelijke varianten wordt contractueel vastgelegd dat de ingevoerde data nooit wordt gebruikt voor het trainen van publieke modellen.
Door als bedrijf te investeren in licenties voor deze veilige varianten, haal je het gebruik uit de schaduw en breng je het terug onder de controle van de organisatie. Je kunt centraal beheren wie toegang heeft en welke data er verwerkt mag worden. Het geeft medewerkers de tools die ze nodig hebben om productief te zijn, terwijl de organisatie de volledige controle behoudt over de informatiebeveiliging. Het faciliteren van AI gebruik biedt ook de mogelijkheid om successen en handige prompts te delen binnen het team, wat de algehele kwaliteit van het werk ten goede komt.
AI-geletterdheid is de krachtigste firewall
Geen enkel technisch filter of streng reglement is zo effectief als een medewerker die begrijpt wat hij doet. De focus moet daarom verschuiven van technische blokkades naar het vergroten van de AI geletterdheid binnen je team. Dit betekent dat je medewerkers traint in de basisprincipes van hoe grote taalmodellen werken. Ze moeten begrijpen waarom bepaalde informatie wel en andere informatie absoluut niet in een prompt mag worden gezet. Bij mAIxs adviseren we vaak om interne sessies te organiseren waarbij het niet alleen gaat over de techniek, maar vooral over de verantwoordelijkheid.
Een getrainde medewerker herkent de risico's van foutieve informatie en weet dat hij de output van een AI model altijd kritisch moet controleren. Beveiliging is in de kern een menselijke factor. Je kunt de meest geavanceerde systemen installeren, maar als een medewerker handmatig data kopieert naar een onveilige omgeving, helpt die techniek niet. Door te investeren in kennis, bouw je een cultuur van vertrouwen en gedeelde verantwoordelijkheid op. Dat is vele malen sterker dan een beleid dat uitsluitend gebaseerd is op verboden en straffen.
Een heldere AI policy op slechts één A4
Om structuur te geven aan het AI gebruik heb je een duidelijke richtlijn nodig. Maak dit document vooral niet te lang of te ingewikkeld. Een juridisch document van vele pagina's wordt door bijna niemand gelezen en mist daardoor volledig zijn doel. De kracht zit in een AI policy van maximaal één A4. Hierin staat helder beschreven welke tools zijn toegestaan, welke categorieën data erin verwerkt mogen worden en wie er verantwoordelijk is voor de uiteindelijke controle van de resultaten. Geef in dit document ook aan waar medewerkers terecht kunnen met hun vragen.
Maak AI bespreekbaar in plaats van strafbaar binnen je bedrijfscultuur. Wanneer er een open cultuur is rondom technologische hulpmiddelen, zullen medewerkers sneller aangeven waar ze behoefte aan hebben. Dit stelt jou als ondernemer in staat om proactief veilige oplossingen te bieden in plaats van achteraf problemen op te moeten lossen die door shadow AI zijn veroorzaakt. Een goede richtlijn is een levend document dat meegroeit met de techniek en de ervaring van het team. Download onze gratis template voor een AI richtlijn voor het MKB en stop vandaag nog met het onzichtbare risico van Shadow AI door een veilige basis te leggen voor je organisatie.
