Applicaties zoals ChatGPT, CoPilot en Gemini hebben zich razendsnel genesteld binnen de dagelijkse praktijk van organisaties. Het is dan ook niet moeilijk om te zien waarom: de efficiëntievoordelen zijn duidelijk. Denk aan het automatisch laten genereren van notulen, het opstellen van templates en het stroomlijnen van repetitieve communicatie. Naarmate deze modellen krachtiger en veelzijdiger worden, neemt de vraag naar gebruik binnen organisaties alleen maar toe. Steeds vaker willen medewerkers toegang tot dergelijke tools, omdat ze ervaren dat het hen tijd bespaart en productiviteit verhoogt.
Tegelijkertijd is er alle reden tot waakzaamheid. Het gebruik van AI-tools kan namelijk ook zorgen voor nieuwe uitdagingen. Zo kan het onduidelijk worden hoe bepaalde beslissingen tot stand zijn gekomen. Een tekst die met behulp van AI is opgesteld ziet er vaak overtuigend uit, maar is die daadwerkelijk afkomstig van een medewerker? Daarnaast zijn er risico’s op het gebied van gegevensbescherming: persoonsgegevens of bedrijfsgevoelige data kunnen onbedoeld terechtkomen op plekken waar je dat helemaal niet wilt. Wanneer de tools niet goed zijn ingesteld, bestaat bovendien het risico dat invoerdata wordt gebruikt om de onderliggende modellen verder te trainen. Dat dit niet denkbeeldig is, blijkt uit eerdere incidenten waarbij data van bedrijven per ongeluk buiten de deur terechtkwam.
Daar komt nog bij dat verkeerd gebruik van AI-tools juridische consequenties kan hebben. De Europese AI Act classificeert bepaalde AI-toepassingen als hoog risico. Worden deze tools zonder de juiste waarborgen ingezet, dan kan dit vanaf volgend jaar leiden tot hoge boetes. Voor organisaties is er dus alle reden om zorgvuldig na te denken over het beheer van generatieve AI-tools. Maar hoe doe je dat effectief?
In dit artikel bespreek ik drie methodes om AI-gebruik binnen je organisatie te beheersen. Van minder effectief naar meest effectief.
Methode 1: Verbieden
De meest voor de hand liggende optie, en ook een route die al breed wordt toegepast, is het simpelweg verbieden van het gebruik van generatieve AI-tools. Zo heeft de Rijksoverheid bijvoorbeeld beleid opgesteld dat dit gebruik voorlopig aan banden legt.
De reden voor een verbod kan verschillen. Misschien wil men de negatieve gevolgen van AI vermijden, of wil men simpelweg meer tijd krijgen om beleid voor de lange termijn te ontwikkelen. Verbieden kan op verschillende manieren. Het eenvoudigst is via beleidsregels zonder aanvullende maatregelen. Het nadeel hiervan is echter dat medewerkers vaak toch hun eigen weg vinden. Gratis accounts zijn snel aangemaakt, en juist daar schuilt het risico: invoerdata wordt vaak gebruikt als trainingsmateriaal. Niet alleen verlies je grip op gevoelige gegevens, die data kan uiteindelijk ook in de output van andere klanten terechtkomen. Het effect is dat je in de praktijk juist mínder controle hebt.
Wil je het verbod effectiever maken, dan zijn er technische mogelijkheden daarvoor. Met DNS- of IP-blokkades en via device policies kun je toegang tot AI-diensten blokkeren. Met de juiste beveiligingsmaatregelen is het mogelijk om AI-tools ontoegankelijk te maken op zakelijke apparaten en netwerken. Toch blijkt ook dit geen waterdichte oplossing. Medewerkers wijken al snel uit naar hun eigen smartphone met 5G-verbinding, en gebruiken daar alsnog ChatGPT of een vergelijkbare tool. Waar een wil is, is een weg, zeker wanneer de voordelen van AI voor medewerkers zo evident duidelijk lijken. Verbieden en blokkeren kunnen dus wel degelijk helpen, maar een volledige oplossing bieden ze niet.
Methode 2: Toelaten met een zakelijk account
Als verbieden niet voldoende blijkt, ligt een andere route voor de hand: medewerkers juist wél toegang geven, maar dan via zakelijke accounts. Dit vergt uiteraard een duidelijke keuze binnen de zakelijke strategie en moet passen binnen het gegevensbeleid van de organisatie.
Het belangrijkste voordeel is dat je de AI-omgeving zelf in beheer hebt. Je kunt controle houden over welke gegevens worden ingevoerd en hoe die gegevens vervolgens worden verwerkt. Bij ChatGPT Teams of Enterprise wordt bijvoorbeeld gegarandeerd dat data niet wordt gebruikt om de onderliggende modellen verder te trainen. Je kunt tevens instellen dat gegevens direct na afloop van een sessie worden verwijderd en daarnaast regelen dat verwerking uitsluitend binnen de Europese Economische Ruimte plaatsvindt.
Ook Microsoft CoPilot biedt in dit kader aantrekkelijke mogelijkheden. Doordat de tool volledig geïntegreerd is binnen de bestaande Office-suite, sluit het gebruik aan bij de vertrouwde werkomgeving van medewerkers. Bovendien valt CoPilot vaak onder de bestaande licentiestructuur van Microsoft, die al decennialang is ingeburgerd in de zakelijke markt. Dat maakt het eenvoudiger om te leunen op de waarborgen die Microsoft al biedt rondom gegevensverwerking.
Toch lost ook dit niet alles op. Het beschikbaar stellen van zakelijke accounts neemt weliswaar veel datarisico’s weg, maar garandeert nog niet dat medewerkers de tools ook op een verantwoorde manier gebruiken. Blijven ze kritisch bij het beoordelen van AI-antwoorden, of vertrouwen ze blind op de output? Weten ze hoe ze fouten moeten herkennen of verkeerde aannames moeten corrigeren? Governance van data is dus niet voldoende: het gaat ook om de kennis en vaardigheden van de mensen die met de AI werken.
Methode 3: AI-geletterdheid trainen
De meest effectieve manier om verantwoord om te gaan met AI-tools is het trainen van medewerkers in AI-geletterdheid. Dit gaat verder dan het leren kennen van de voordelen. Het gaat juist om bewustzijn van de risico’s, zowel op het gebied van data als van de kwaliteit van de uitkomsten.
Training in AI-geletterdheid is relevant, ongeacht de situatie van je organisatie. Ook wanneer je nog geen AI-tools wilt of kunt inzetten, is het belangrijk dat medewerkers begrijpen waarom dat zo is, zodat ze het ook niet stiekem op hun telefoon gaan gebruiken. En als je al bezig bent met de uitrol van AI-tools, moeten medewerkers weten hoe ze deze op een kritische manier gebruiken.
De AI Act verplicht organisaties bovendien om te zorgen dat personeel voldoende getraind is in het omgaan met AI-systemen. Dat betekent concreet dat medewerkers die AI gebruiken om bijvoorbeeld besluiten op te stellen, genoeg kennis moeten hebben om fouten, vooroordelen en discriminatie te kunnen herkennen. AI-geletterdheid raakt daarmee iedere organisatie, ook als die geen hoog risico AI inzet.
Wil je hier direct mee aan de slag? Lees dan vooral ook het blog van mijn collega over AI-geletterdheid en de aandachtspunten die daarbij komen kijken. En wie al direct een stap wil zetten, kan kijken naar de training die wij op dit gebied aanbieden.
Conclusie
Generatieve AI-tools zijn inmiddels niet meer weg te denken uit de praktijk van organisaties. Ze bieden duidelijke voordelen, maar brengen ook risico’s met zich mee. Verbieden kan tijdelijk verlichting bieden, maar blijkt in de praktijk lastig te handhaven. Zakelijke accounts geven meer controle, maar lossen niet alle uitdagingen op. De meest duurzame oplossing ligt bij het trainen van medewerkers in AI-geletterdheid. Pas wanneer medewerkers kritisch, bewust en verantwoord met AI omgaan, kan een organisatie echt profiteren van de mogelijkheden zonder de risico’s uit het oog te verliezen.
Meer weten over verantwoord gebruik van AI? Bekijk onze cheatsheet 'Richtlijnen gebruik LLMs'.
