Interne AI-richtlijnen: hoe je Shadow AI voorkomt zonder AI te verbieden

 

De kans is groot dat het al gebeurt in jouw bedrijf. De secretaresse gebruikt ChatGPT om de notulen van het MT-overleg samen te vatten. De marketeer laat er social media posts mee schrijven. En een jonge monteur vraagt aan een AI-bot wat een specifieke foutcode op een industriële ketel betekent.

Is dat erg? Nee, het toont initiatief. Is het gevaarlijk? Ja, potentieel wel.

Dit fenomeen heet Shadow AI: het gebruik van kunstmatige intelligentie door medewerkers zonder dat de directie of IT-afdeling dit weet of beheert. Het risico is niet dat ze AI gebruiken, maar hoe ze het gebruiken. Want als die secretaresse gevoelige namen in de gratis versie van ChatGPT plakt, leert het model van jouw bedrijfsgeheimen.

Je kunt AI niet verbieden (mensen vinden toch wel een weg). Je moet het kaderen. Dit artikel helpt je om simpele, veilige spelregels op te stellen.

 

Waarom heb je nu regels nodig?

 

Veel gratis AI-tools (zoals de standaard ChatGPT) slaan alle invoer op om hun model te trainen.

  • Het horrorscenario: Een calculator uploadt een complete aanbesteding inclusief prijzen en klantnamen om er een samenvatting van te maken. Die data staat nu op servers in de VS en wordt mogelijk gebruikt om de AI slimmer te maken. Iemand anders kan die informatie theoretisch later terugvinden.

Daarnaast is er het risico op hallucinaties: AI die overtuigend liegt. Als een monteur blind vertrouwt op een AI-antwoord over een elektrische aansluiting, kan dat levensgevaarlijk zijn.

 

Het Stoplicht-model: Wat mag er in de Chatbot?

 

Om het simpel te houden voor medewerkers, kun je werken met een stoplichtmodel. Hang dit op in de kantine of mail het rond.

 

🔴 ROOD: Absoluut verboden (Bedrijfsgeheimen & Privacy)

 

Deze data mag nooit in een openbare AI-tool worden ingevoerd.

  • Persoonsgegevens: Namen, adressen, telefoonnummers, BSN-nummers (AVG-inbreuk!).

  • Wachtwoorden & Beveiliging: Codes van alarmsystemen, inloggegevens, API-keys.

  • Bedrijfsgeheimen: Omzetcijfers die niet openbaar zijn, marges, inkoopprijzen, contracten.

  • Klant-specifieke info: Bouwtekeningen met adresgegevens, unieke configuraties van beveiligingssystemen.

 

🟠 ORANJE: Eerst aanpassen (Anonimiseren)

 

Dit mag je gebruiken, maar je moet het eerst "schoonmaken".

  • Offertes: Wil je een begeleidende tekst laten schrijven? Haal de naam van de klant ("Fam. Jansen") en het adres weg. Maak er "Klant X" van.

  • E-mails: Wil je een boze mail beleefd herschrijven? Haal specifieke details over het project weg die herleidbaar zijn.

  • Technische vragen: Vraag gerust naar de oplossing voor "Error E14 op merk X", maar plak niet het unieke serienummer of de locatie erbij.

 

🟢 GROEN: Veilig (Generiek & Publiek)

 

Dit mag iedereen zonder zorgen invoeren.

  • Algemene kennis: "Hoe werkt een warmtepomp?", "Wat zijn de feestdagen in 2025?"

  • Tekstverbetering: "Check deze vacaturetekst op spelfouten."

  • Creativiteit: "Bedenk 10 ideeën voor een open dag."

  • Excel-hulp: "Welke formule heb ik nodig om kolom A en B op te tellen?"

 

De Gouden Regel: "AI is de co-piloot, jij bent de piloot"

 

Naast dataveiligheid is er een tweede belangrijke regel: Verantwoordelijkheid.

  • Check de feiten: AI verzint soms dingen. Een medewerker blijft altijd verantwoordelijk voor de output. Een offerte met een fout erin omdat "ChatGPT het zei", is geen excuus.

  • Wees transparant: Gebruik je AI voor een belangrijk document, een technisch advies of een blog? Meld het intern. "Gegenereerd met hulp van AI, gecontroleerd door [Naam]".

    • Waarom? Als een collega het later leest, weet hij dat hij extra kritisch moet zijn op feitelijke juistheid.

 

Praktische voorbeelden per afdeling

 

Hoe kunnen jouw mensen AI veilig gebruiken? Geef ze deze voorbeelden:

1. De Monteur / Technisch Specialist

  • Niet veilig: "Ik sta bij Bakkerij De Vries in Almelo en de ketel [Serienummer 12345] lekt."

  • Wel veilig: "Ik heb een industriële ketel van Merk X die lekt bij de driewegklep. Wat zijn de meest voorkomende oorzaken?"

2. Administratie & HR

  • Niet veilig: "Schrijf een afwijzingsmail naar Pietje Puk die op gesprek kwam voor monteur maar te weinig ervaring heeft."

  • Wel veilig: "Schrijf een vriendelijke, professionele afwijzingsmail voor een sollicitant die niet genoeg ervaring heeft voor de functie monteur."

3. Sales & Calculatie

  • Niet veilig: Uploaden van de complete Excel-calculatie om te vragen of de marge hoger kan.

  • Wel veilig: "Ik wil een verkoopmail sturen naar een klant die twijfelt over de investering in zonnepanelen. Geef me 3 sterke argumenten over terugverdientijd en duurzaamheid."

4. Marketing

  • Niet veilig: "Schrijf een case-study over onze klant Gemeente Amsterdam en noem contactpersoon Jan."

  • Wel veilig: "Schrijf een social media post over een succesvol project waarbij we 50 woningen hebben verduurzaamd. Focus op de energiebesparing."

 

Conclusie: Verbieden werkt niet, begeleiden wel

 

Het doel van deze richtlijnen is niet om je medewerkers bang te maken, maar om ze een veilig kader te geven.

Als je niets doet, gebruiken ze het stiekem (Shadow AI) en heb je geen zicht op datalekken. Als je duidelijke regels stelt ("Gebruik het, maar anonimiseer eerst"), maak je van je medewerkers slimme en veilige gebruikers.

De samenvatting voor in de groepsapp:

"Jongens, AI is top en we moedigen het gebruik aan. Maar één regel: plak nooit namen, adressen, wachtwoorden of bedrijfsgeheimen in ChatGPT. Twijfel je? Vraag het even of anonimiseer de boel eerst. Succes!"

0 reacties

Reactie plaatsen