.jpg?width=40&height=40&name=Ontwerp%20zonder%20titel%20(2).jpg){kind=small}
/1.%20Visuals/Website/Icons/Ontwerp%20zonder%20titel%20(9).png?width=40&height=40&name=Ontwerp%20zonder%20titel%20(9).png){kind=icon}
/1.%20Visuals/Website/Navigation/contact-locaties-80-80-full.jpg?width=40&height=40&name=contact-locaties-80-80-full.jpg){kind=small}
/1.%20Visuals/Website/Navigation/Germany/Icons_Navigation_Why%20Cegeka-1.png?width=40&height=40&name=Icons_Navigation_Why%20Cegeka-1.png){kind=icon}
/1.%20Visuals/Website/Listing%20cards/ListingCards_Infrastructure_Management_1_720x540px-1.jpeg?width=40&height=40&name=ListingCards_Infrastructure_Management_1_720x540px-1.jpeg){kind=small}
/1.%20Visuals/Website/Navigation/food-80-80.png?width=40&height=40&name=food-80-80.png){kind=small}
/1.%20Visuals/Website/Navigation/overheidsdiensten-icon-80-80.png?width=40&height=40&name=overheidsdiensten-icon-80-80.png){kind=icon}
/1.%20Visuals/Website/Navigation/retail-icon-80-80.png?width=40&height=40&name=retail-icon-80-80.png){kind=icon}
/1.%20Visuals/Website/Navigation/pharma-icon-80-80.jpg?width=40&height=40&name=pharma-icon-80-80.jpg){kind=icon}
/1.%20Visuals/Website/Industries/Industries_5G_HeaderVisual_General_638x550px.png?width=40&height=40&name=Industries_5G_HeaderVisual_General_638x550px.png){kind=small}
/1.%20Visuals/Website/Navigation/distributie-icon-80-80.png?width=40&height=40&name=distributie-icon-80-80.png){kind=icon}
/1.%20Visuals/Website/Navigation/Germany/Website_Navigation_Manufacturing-1.jpg?width=40&height=40&name=Website_Navigation_Manufacturing-1.jpg){kind=small}
/1.%20Visuals/Website/Navigation/Germany/Navigation-Aviation.jpg?width=40&height=40&name=Navigation-Aviation.jpg){kind=small}
/1.%20Visuals/Website/Navigation/professionele-dienstverlening-icon-80-80.png?width=40&height=40&name=professionele-dienstverlening-icon-80-80.png){kind=icon}
/1.%20Visuals/Website/Navigation/Germany/Icons_Navigation_Events-1.png?width=40&height=40&name=Icons_Navigation_Events-1.png){kind=icon}
Kansen hand in hand met gevaren
Meer en meer bedrijven en overheidsinstanties profiteren al volop van de kracht van AI. Bekende generatieve AI-tools zijn bijvoorbeeld ChatGPT, Gemini, Perplexity en Jasper AI. En natuurlijk de Copilots voor onder meer Microsoft 365, Dynamics 365, Windows en Security, waar een groot aantal organisatie al een hoop impact mee maakt.
Eén van de belangrijkste redenen voor het Copilot-succes: de tool kan voor z’n responses en appcommando’s de relevante content en context van gebruikers binnen hun gehele Microsoft-omgeving meenemen.
Tegenover alle kansen van generatieve AI (GenAI), staan ook risico’s. Tuurlijk, bijna iedereen weet dat ChatGPT ingevoerde data kan delen. Maar er zijn méér gevaren rondom generatieve AI en data security. We zoomen in op enkele daarvan.
1. Onterechte toegang tot (gevoelige) data
Heb je data niet of niet correct geclassificeerd en gelabeld? Dan loop je een grotere kans op ongeautoriseerde toegang en datalekken. Wanneer prompts of responses gevoelige data bevatten, zoals medische-, financiële- of persoonsgegevens, dan zijn de gevolgen van de gebrekkige classificatie en labeling nog een tandje erger. Je bent namelijk niet compliant. Plus: als gevoelige data in verkeerde handen terechtkomt, kan dit tot allerlei narigheden leiden. Zoals identiteitsfraude en lekken van intellectuele eigendommen.
2. Dark data onbedoeld in responses
Gestructureerde gegevens in databases zijn vaak goed beschermd. Met de juiste maatregelen rondom toegangsbeheer en classificatie voorkom je dat data onbedoeld wordt ingezien en gedeeld. Bij veel organisaties schort het echter aan beveiliging van ‘dark data’. Oftewel: ongestructureerde gegevens zoals mails, chats en tekstbestanden die worden verzameld tijdens de normale bedrijfsactiviteiten, maar daarna uit het zicht verdwijnen.
Zonder de juiste data security hebben gebruikers mogelijk onterecht en ongemerkt toegang tot dark data. Copilot heeft de data wél in het vizier en kan de informatie meenemen. Door de informatie toe te voegen aan een prompt of op te nemen in een respons. De impact van dit soort datalekken wordt natuurlijk nog groter als de gebruiker de output deelt via Teams of e-mail.
3. Misinformatie
Generatieve AI-systemen kunnen ‘hallucineren’ door onjuiste, onzinnige of misleidende output te geven. Misinformatie kan ook ontstaan door onjuiste input. De misinformatie kan in een prompt staan, in geüploade bestanden of (zoals bij Copilot) in de omgeving van de gebruiker. Foutieve informatie kan tot schade leiden. Denk bijvoorbeeld aan beslissingen op basis van verkeerde informatie.
Een voorbeeld van misinformatie is het opzoeken van een inkoopprijs. Als Copilot hiervoor oude facturen, offertes of calculatiesheets gebruikt, kan de berekende inkoopprijs onjuist zijn. Het is dus belangrijk om dit soort oude data te verwijderen of Copilot te instrueren dat het alleen actuele data mag meenemen.
4. Non-compliance
Het gebruik van generatieve AI-tools kan op tal van manieren leiden tot non-compliance met wetten als AVG, DORA en NIS2. Denk bijvoorbeeld aan:
- De AI-tool verwerkt (gevoelige) data die een gebruiker niet zou mogen hebben, waaronder dark data die door Copilot wordt ontdekt en gebruikt.
- De AI-tool neemt gevoelige informatie op in een respons doordat de info is opgenomen in prompts of geüploade bestanden.
- Er is geen ‘doelbinding’ volgens de AVG. Bijvoorbeeld omdat prompts of geüploade bestanden persoonsgegevens bevatten zonder duidelijk doel voor de verwerking.
- Persoonsgegevens worden opgeslagen of verwerkt via servers buiten de EU.
Als organisatie kun je bij non-compliance onder meer te maken krijgen met een boete, een rechtszaak of reputatieschade. En zelfs, in extreme gevallen, een dataverwerkingsverbod.
Maatregelen voor data security
Welke databeschermingsmaatregelen je als organisatie moet treffen, is natuurlijk afhankelijk van je situatie. Voor de hand liggend zijn classificatie en labeling van data, die gedurende de hele levenscyclus van gegevens blijft bestaan. Denk ook aan het beperken van toegangsrechten op basis van role-based access control (RBAC), het inrichten van regels, procedures en controles, en aan geautomatiseerde inhoudelijke validatie van responses. Van belang is ook dat je data opschoont die niet meer relevant of actueel is.
Op ontdekking naar data
Het pad richting veilig en compliant gebruik van generatieve AI start met data discovery. Door de data in je omgeving te verzamelen, catalogiseren en classificeren, ontstaan inzichten rondom gevoelige data, datastromen, toegangsrechten en de benodigde data security-maatregelen.
Eén platform voor bijna alle facetten
Microsoft Purview is hét go-to platform voor data security. Vanuit een gecentraliseerde omgeving beschik je over bijna alle functies die nodig zijn om Copilot veilig en compliant te gebruiken.
Trap af met een assessment
Met de Data Security Engagement ondersteunt Cegeka je bij je voorbereidingen voor de implementatie van Copilot. Het assessment, die we uitvoeren aan de hand van onderdelen van Purview , levert zicht op je data én inzichten in de risico’s op. Wil je Copilot straks veilig en effectief kunnen gebruiken? Het Data Security Engagement levert een krachtige bijdrage aan je voorbereidingen. Onder meer omdat je na afloop weet welke voorbereidende maatregelen je nog moet treffen.
Meer weten over de benodigde stappen?
Ben je benieuwd welke stappen op het gebied van data security jij als organisatie moet zetten om klaar te zijn (en blijven) voor Copilot? Lees dan ons artikel Met deze data security-stappen kun je Copilot veilig gaan gebruiken.
/1.%20Visuals/Website/Icons/x-twitter.svg){kind=icon}
