De EDPS waarschuwt dat ‘Shadow AI’ een serieus risico vormt op datalekken en niet-naleving van regelgeving binnen EU-instellingen. Omdat niet-goedgekeurde tools cruciale juridische en technische waarborgen missen, is er dringend actie vereist.
De Europese Toezichthouder voor gegevensbescherming (EDPS) trekt aan de bel over de risico’s van Shadow AI. Wanneer medewerkers zonder toestemming AI-tools gebruiken, omzeilen ze daarmee kritieke databescherming en beveiligingsmaatregelen. Wat begint als een onschuldige productiviteitsshortcut, kan resulteren in een datalek, non-compliance en operationele verstoringen.
De EDPS benadrukt dat zodra data in een niet-goedgekeurd AI-systeem belandt, het in een regelgevingsblinde vlek terechtkomt. Dit heeft grote gevolgen. Zo ontbreken juridische afspraken over de grondslag voor dataverwerking, zijn er geen vastgelegde bewaartermijnen en missen internationale datatransfers de vereiste waarborgen. Bovendien wordt het vrijwel onmogelijk om bij te houden waar de informatie naartoe gaat, wie er toegang toe heeft en of het wordt gebruikt voor modeltraining.
Opvallend is dat de dreiging lang niet altijd onzichtbaar blijft. Bepaalde AI-tools, zoals geautomatiseerde vergaderrecorders, kunnen simpelweg deelnemen aan een meeting zonder dat het IT-securityteam hiervan weet.
Zorgen zijn er dan ook genoeg in de sector. Uit recent onderzoek blijkt dat 90 procent van de IT-leiders zich zorgen maakt over Shadow AI vanuit privacy- en securityperspectief; 46 procent is zelfs extreem bezorgd. Circa 20 procent van de organisaties rapporteert al een beveiligingsincident of datalek dat direct te herleiden valt naar het gebruik van Shadow AI, terwijl 87 procent nog geen volwassen detectiemechanisme beschikbaar heeft.
Van beleid tot technische controle
Om Shadow AI effectief in te dammen, is volgens de EDPS een aanpak nodig die verder gaat dan wegkijken. Die begint bij heldere governance. Organisaties moeten formele kaders opstellen waarin staat welke AI-tools zijn toegestaan, hoe data wordt geclassificeerd en welk goedkeuringsproces geldt voor nieuwe technologieën.
Beleid alleen is echter niet genoeg; technische maatregelen zijn onmisbaar. Denk hierbij aan het blokkeren van niet-goedgekeurde AI-domeinen, het handhaven van data loss prevention-regels en het beperken van endpointinstallaties. Daarbij geldt dat de meest effectieve manier om ongeautoriseerd gebruik te ontmoedigen, het aanbieden van veilige, goedgekeurde alternatieven is. Techzine beschreef eerder al hoe een hard AI-verbod het gebruik juist verder ondergronds kan drijven.
Bewustzijn en samenwerking
Naast techniek benadrukt de EDPS het belang van continue training. Medewerkers moeten begrijpen wat de werkelijke risico’s van publieke AI-systemen zijn. Het gaat hierbij om risico’s voor zowel de organisatie zelf als voor de betrokkenen van wie de persoonsgegevens worden verwerkt.
Volgens de EDPS vereist het beheersen van Shadow AI-risico’s een nauwe samenwerking tussen functionarissen voor gegevensbescherming, IT-afdelingen, securityteams en business units. Die gezamenlijke aanpak moet garanderen dat EU-instellingen het goede voorbeeld geven op het gebied van verantwoorde AI-adoptie.