De opkomst van AI-assistenten zorgt bij veel organisaties voor enthousiasme, en ook voor wat chaos. Want AI inzetten is pas effectief als je datahuishouding op orde is.
Is Copilot wel veilig?
Reinout Groothoff, consultant Data Security & Compliance krijgt regelmatig de vraag of Copilot wel veilig is: “Vooropgesteld, Copilot is ontworpen als een veilige tool. Het risico zit hem in de data die jij erin stopt.
Zonder sterke datagovernance weet je niet wat Copilot allemaal kan zien; met slechte databeveiliging kan hij bijvoorbeeld onbedoeld meekijken in documenten of mails die daar niet voor bedoeld zijn.”
Reinout ziet in de praktijk dat organisaties Copilot vaak zonder beleid willen inschakelen: ze willen gelijk meters maken. “Maar echt, neem de tijd om je data goed te structurere. Anders verlies je grip op welke informatie met wie wordt gedeeld,” drukt hij ons op het hart.
Oude en ongeorganiseerde data
Zo veroorzaakt oude of ongeorganiseerde data regelmatig problemen. “Bij een klant gold een document uit 2005 officieel nog als actueel, wat leidde tot verkeerde besluiten. En in gedeelde mappen vonden we ongeclassificeerde HR-gegevens, waardoor AI-tools per ongeluk gevoelige informatie konden verwerken.”
Shadow AI
Een ander voorbeeld is ‘shadow AI’: medewerkers die buiten het beleid om allerlei AI-tools gebruiken. Dus zonder medeweten en goedkeuring van de ict- en security-afdeling. “Bij een klant ontdekten we bijvoorbeeld 63 verschillende AI-apps die zonder beleid werden ingezet. Niet met verkeerde bedoelingen, maar door gebrek aan duidelijke kaders vanuit de organisatie.”
Het grootste risico van shadow AI is dat medewerkers gevoelige bedrijfsgegevens, klant-informatie of broncodes invoeren in publieke AI-tools. Deze data kan dan worden gebruikt om de modellen te trainen, waardoor concurrenten of derden toegang kunnen krijgen tot bedrijfsgeheimen en gevoelige (persoons)informatie.
Deze voorbeelden laten zien hoe belangrijk het is om je datahuishouding op orde te hebben. Oude bestanden opruimen dus, gevoelige data afschermen en alleen relevante informatie beschikbaar maken. Dat voorkomt dat AI verkeerde of vertrouwelijke gegevens gebruikt.
3 stappen voor een sterk data-beleid rond AI: zo houd je jouw data veilig
Zorg met die 3-stappenplan eerst voor inzicht en structuur in de datahuishouding en zet dán pas AI-tools zoals Copilot in.
Stap 1: Ruim je data op
De eerste stap in een veilige Copilot-uitrol is simpel: weet wat je in huis hebt. Dat betekent dat je weet waar gevoelige data staat, hoe ermee gewerkt wordt en wie er toegang toe heeft.
Reinout vergelijkt de data binnen bedrijven met een zolder waar een hoop dozen staan: “Je weet dat er waardevolle spullen tussen zitten, maar het ontbreekt je aan inzicht. Je zoekt iets, maar je hebt geen idee in welke doos het zit en of je het nog wel hebt. Veel organisaties hebben geen goed overzicht van hun data, waardoor waardevolle informatie lastig terug te vinden is.
Hij pleit er daarom voor om eerst inzicht en structuur in de datahuishouding te creëren, en dán pas AI-tools zoals Copilot in te zetten. “Denk aan die oude foto’s die je op die zolder vindt,” vult Reinout aan. “Sommige wil je bewaren, andere kunnen weg. Maar je wilt zelf bepalen wat blijft, en welke foto's je extra voorzichtig wilt bewaren. Dat is precies wat je met data-classificatie doet.”
Met Microsoft Purview kan je dat grotendeels automatisch inrichten. De tool herkent bijvoorbeeld contracten, BSN-nummers of persoonsgegevens en markeert ze als gevoelig. “Je hebt daardoor minder risico op datalekken en voldoet eenvoudiger aan regels zoals de AVG en de AI Act,” legt Reinout uit. “Purview laat met een score zien hoe je ervoor staat. Je ziet letterlijk of je 60% of 90% compliant bent, en welke stappen nog nodig zijn.”
Data-classificatie geeft vooral inzicht in wat er binnen je organisatie aanwezig is. Copilot kun je ook zonder classificatie gebruiken, maar wie duidelijke grip wil op welke data Copilot verwerkt, doet er goed aan dit eerst in te richten. “70 tot 80% van de data is niet geheim,” zegt Reinout, “maar die 20% die het wél is, die moet je goed beschermen.”
Zo’n classificatieproces kost wat tijd, maar levert blijvend overzicht op. “Gemiddeld duurt het een paar maanden, maar je hoeft het maar één keer goed te doen.”
Stap 2: Zet sloten op de juiste deuren
Zodra duidelijk is waar gevoelige informatie staat, is de volgende stap bescherming. Dat gebeurt met sensitivity labels, zoals 'Vertrouwelijk' of 'Alleen intern'.
“Labels zijn de sloten op de deuren van je huis,” zegt Reinout. “Je wilt niet overal sloten op zetten, maar wel op de kamer waar je paspoorten liggen.”
Labels kunnen ook voorkomen dat iemand gevoelige informatie kopieert of plakt. "Als iemand bijvoorbeeld een BSN-nummer uit een document probeert te kopiëren naar een chatvenster, krijgt diegene een waarschuwing of wordt de actie geblokkeerd.”
Daarnaast kun je labels koppelen aan afdelingen, zodat HR alleen HR-data ziet en Finance alleen financiële gegevens. “Zo zorg je ervoor dat Copilot alleen toegang krijgt tot informatie die relevant is voor de taak, en niet meekijkt waar hij niets te zoeken heeft.”
Stap 3: Start veilig en schaal gefaseerd op
Veel organisaties willen niet maanden wachten met AI. “Ze willen morgen aan de slag,” glimlacht Reinout. “Dat is ook begrijpelijk, als je het maar slim aanpakt.”
Bij OGD doen we dat als volgt:
- Met een klein groepje starten: we testen AI eerst in een kleine, gecontroleerde omgeving met key users, zodat alles rustig uitgeprobeerd kan worden.
- Meet en leer: we kijken met Purview-rapporten en cloud discovery welke data Copilot gebruikt.
- Gefaseerd opschalen: pas als alles goed werkt, breiden we het gebruik langzaam uit in de organisatie.
- Tijdelijke oplossing: restricted content discovery: voor snelle starters gebruikt Copilot tijdelijk alleen documenten die de gebruiker zelf opent, zodat informatie binnen de juiste context blijft.
Menselijke factor: adoptie en bewustwording
Een succesvolle Copilot-implementatie staat of valt met de mensen die ermee werken.
“Techniek is het makkelijke deel,” zegt Reinout. “De uitdaging is om gebruikers mee te krijgen. Zorg voor een goed adoptieplan, zodat medewerkers begrijpen waarom regels bestaan. Anders zullen ze dit omzeilen en data invoeren in minder veilige AI-tools. En dan ben je natuurlijk verder van huis.”
Wij betrekken daarom vanaf het begin medewerkers uit verschillende afdelingen. Zo ontstaat een breed gedragen beleid dat aansluit op de praktijk. Na de testfase volgen bewustwordingstrainingen. Medewerkers leren wat labels betekenen en waarom ze soms een melding krijgen.
Waarom deze aanpak de moeite waard is
Sommige organisaties zien beveiliging als een rem op innovatie. Maar een goed ingerichte data-basis zorgt ervoor dat Copilot betrouwbaar werkt en dat medewerkers erop kunnen vertrouwen. “AI is zo slim als de data die je hem geeft,” zegt Reinout. “Als er in je SharePoint staat dat olifanten roze zijn, dan zegt Copilot dat ook. Dus houd je data schoon en actueel.”
Een goed databeleid voorkomt bovendien dat vertrouwelijke of gevoelige informatie per ongeluk op straat belandt. Denk bijvoorbeeld aan medische dossiers of interne processen. “Dat wil je niet op je naam hebben.”
AI vraagt om een stevig data-beleid. Veilig werken met Copilot is geen eenmalig project, maar een continu proces. “Je hoeft en kunt niet alles tegelijk regelen,” adviseert Reinout. “Begin met inzicht, bouw beleid op en houd ondertussen de data-zolder netjes.”
Meer inzichten?
