“De database van de Chinese AI-chatbot DeepSeek stond per ongeluk publiekelijk online, waardoor miljoenen chatgesprekken van gebruikers werden gelekt.”
— RTL Nieuws

“Gevoelige informatie zoals API-sleutels, interne data én gebruikersgesprekken lagen voor het grijpen — zonder enige wachtwoordbeveiliging.”
— ITdaily

“DeepSeek heeft zonder toestemming persoonlijke gegevens overgedragen aan servers in China.”
— Reuters

Deze citaten zijn afkomstig uit het recente DeepSeek-schandaal. DeepSeek is een AI-bedrijf dat miljoenen vertrouwelijke gebruikersdata onbeveiligd op internet liet slingeren, en helaas was dit geen uitzondering. Datalekken bij AI-leveranciers komen steeds vaker voor, zeker nu het gebruik van AI razendsnel groeit. Bedrijven realiseren zich vaak onvoldoende welke risico’s ze nemen.

Dit soort incidenten maken pijnlijk duidelijk dat niets gratis is: als je niet met geld betaalt, betaal je wel met je data. Gratis AI-diensten lijken aantrekkelijk, maar in werkelijkheid is de prijs die je betaalt vaak verborgen. Gebruikers lopen het risico dat gevoelige informatie wordt opgeslagen, gedeeld of zelfs gebruikt voor verdere modeltraining.

Het is daarom essentieel om goed na te denken over welke informatie je naar AI-modellen stuurt. Persoonsgegevens, bedrijfsstrategieën, financiële cijfers, API-sleutels en andere vertrouwelijke informatie horen simpelweg niet thuis in publieke of onbekende AI-platforms. Zelfs als data “alleen voor analyse” lijkt te worden gebruikt, kan het risico bestaan dat het wordt opgeslagen of door derden wordt ingezien. Alleen informatie die al publiek beschikbaar is of volledig geanonimiseerd is, kan relatief veilig gedeeld worden. Maar zelfs dan blijft voorzichtigheid geboden.

De gevolgen van onveilig gebruik: verder dan alleen datalekken.

De risico’s van AI stoppen niet bij het lekken van gevoelige informatie. Wie AI inzet zonder de juiste waarborgen, neemt ook risico’s op ethisch en sociaal vlak.

1. Ethiek: AI is niet neutraal
   AI-modellen zijn getraind op enorme hoeveelheden data. Maar die data bevatten óók vooroordelen, fouten en onevenwichtigheden. Als je AI inzet om klantdata te analyseren, kredietrisico’s te beoordelen of beslissingen te ondersteunen, moet je je bewust zijn van de ‘bias’ in het model. Wordt iedereen wel gelijk behandeld? Begrijpt het model de context waarin je werkt? En wie is er verantwoordelijk als een AI-fout leidt tot schade?
   Een ethisch verantwoorde inzet van AI betekent dat je transparantie, uitlegbaarheid en controle moet inbouwen. Juist in een sector waar financiële belangen én mensenlevens op het spel staan, mag AI nooit een black box zijn.
2. Social engineering: AI in de handen van oplichters
   Een opkomend risico is dat kwaadwillende AI gebruiken voor social engineering. Denk aan deepfake-stemmen of realistisch geschreven e-mails die afkomstig lijken van een leidinggevende of klant. AI maakt phishing en fraude geloofwaardiger én schaalbaarder. Als AI-systemen intern worden gebruikt zonder beveiliging of bewustzijn, kunnen ze zelfs misbruikt worden om vertrouwelijke bedrijfsinformatie boven tafel te krijgen.
   Bewustwording, training en technische beveiliging (zoals authenticatie en toegangsbeheer) zijn cruciaal om deze risico’s te beperken.

Wat je van OpenAI, Microsoft en UiPath kunt leren over dataveiligheid

Leer van de AI-giganten: zo beschermen zij jouw én hun eigen data
Steeds meer organisaties willen wél gebruikmaken van AI, maar zónder hun data in gevaar te brengen. Gelukkig zijn er mogelijkheden om dit veilig te doen, wat hierbij kan helpen is weten hoe de grote aanbieders met data omgaan.

OpenAI
OpenAI’s GPT-modellen zijn wereldwijd bekend, maar er zijn grote verschillen in hoe er met jouw data wordt omgegaan, afhankelijk van hoe je ze gebruikt. Voor zakelijk gebruik is het belangrijk om te begrijpen waar je data blijft en wie er toegang toe heeft.

• Gratis versie (ChatGPT Free)
  Gebruik je ChatGPT gratis via de website? Dan kunnen je ingevoerde gegevens worden gebruikt voor het trainen van toekomstige modellen, tenzij je dit expliciet uitschakelt in de instellingen. Dat betekent dat vertrouwelijke of bedrijfsgevoelige informatie hier beter niet ingevoerd kan worden.
• Betaalde versie (ChatGPT Plus)
  De betaalde versie geeft toegang tot betere modellen, zoals GPT-4. Je krijgt ook de mogelijkheid om het gebruik van je data voor trainingsdoeleinden uit te zetten. Daarmee heb je iets meer controle, maar de gegevens worden nog steeds verwerkt in een gedeelde omgeving op de servers van OpenAI. Het blijft dus een consumentgerichte oplossing.
• OpenAI API
  De OpenAI API is een zakelijke variant van de technologie. In plaats van te chatten via een website, kun je via een technische koppeling (de API) de kracht van GPT integreren in je eigen applicaties, zoals een chatbot, documentverwerker of interne zoekfunctie. Belangrijk verschil: bij gebruik van de API worden je gegevens niet opgeslagen en ook niet gebruikt voor training, zolang je dat in je instellingen aangeeft. Je hebt dus veel meer grip op je data.
  Een voorbeeld: stel dat je een AI-oplossing maakt die inkomende klantvragen verwerkt. Via de API kun je het GPT-model deze vragen laten samenvatten of beantwoorden, zonder dat deze klantdata ooit zichtbaar is voor OpenAI-medewerkers of opnieuw wordt gebruikt.
• Azure OpenAI: AI in je eigen cloudomgeving
  Voor organisaties die maximale controle willen, biedt Microsoft de mogelijkheid om GPT-modellen te draaien binnen hun eigen Azure-cloudomgeving. Dit wordt vaak een ‘eigen instance’ genoemd. Hierbij blijft alle data binnen je eigen cloudomgeving. Je beheert zelf wie toegang heeft, hoe lang gegevens worden opgeslagen, en hoe deze worden beveiligd. Dit biedt het hoogste niveau van dataveiligheid en compliance.

Microsoft
Microsoft biedt GPT-modellen aan via zijn eigen Azure-cloudplatform. Dat betekent dat de modellen niet draaien op een gedeelde omgeving van OpenAI, maar op infrastructuur die volledig binnen jouw eigen Microsoft-omgeving valt. Er is dus geen datatransmissie naar externe servers. Je werkt binnen je eigen ‘tenant’ met eigen sleutelbeheer, toegangscontrole en netwerkinstellingen. Daardoor behoud je als organisatie volledige regie over wie toegang heeft tot welke data, en onder welke voorwaarden.

Microsoft biedt contractuele garanties op het gebied van databeheer. Alle gegevens worden versleuteld, zowel tijdens verzending als bij opslag, en blijven binnen de geografische regio’s die je zelf kiest. Microsoft is ISO 27001-, SOC 2- en GDPR-gecertificeerd, wat belangrijk is voor organisaties die te maken hebben met streng toezicht of compliance verplichtingen.

Een groot voordeel van Azure OpenAI is de integratie met andere Microsoft-oplossingen. Denk aan koppelingen met Microsoft 365, Teams, SharePoint of Dynamics. Zo kun je AI-modellen inzetten om interne documenten te doorzoeken, klantcommunicatie te analyseren of workflows te automatiseren, zonder dat je data buiten de vertrouwde Microsoft-omgeving komt.

Tot slot ondersteunt Microsoft ook het zelf trainen of bijsturen van AI-modellen op je eigen data, zonder dat deze informatie wordt gedeeld met OpenAI of andere partijen. Je profiteert dus van de kracht van GPT, maar met de zekerheid dat je data veilig, afgeschermd en volledig onder jouw controle blijft. Dit maakt Azure OpenAI bij uitstek geschikt voor organisaties die AI willen inzetten op een manier die past binnen hun eigen risicobeheersing en governance kaders.

UiPath: Trust Layer & veilige AI-integratie
UiPath biedt generatieve AI aan via de ‘Trust Layer’ in zijn AI- en automatiseringsplatform. Dit betekent dat je AI-functionaliteiten (zoals documentanalyse, samenvattingen of e-mailverwerking) kunt inzetten zonder dat je vertrouwelijke data buiten je eigen omgeving brengt.

Wat maakt UiPath veilig?

• Jij bepaalt waar de data heen gaat: UiPath laat je kiezen of je werkt met eigen modellen (via AI Center) of met externe modellen via veilige API’s.
• Gegevens worden niet opgeslagen of hergebruikt door externe AI-modellen, mits je de juiste instellingen gebruikt (zoals de no-train flag).
• Gebruik van ‘prompt shields’ en data masking voorkomt dat gevoelige informatie per ongeluk in prompts of logs terechtkomt.
• Transparantie en controle: via het governance dashboard zie je wie, waar en waarvoor AI gebruikt wordt.

Hoe beschermen deze partijen hun eigen data?
De grote AI-aanbieders zoals OpenAI, Microsoft en UiPath investeren fors in hun eigen databeveiliging. Niet alleen om klanten gerust te stellen, maar ook om hun eigen intellectueel eigendom en infrastructuur te beschermen tegen aanvallen van buitenaf. Ze doen dat onder andere op de volgende manieren:

• Versleuteling van data in rust en tijdens transport: gegevens worden zowel bij opslag als tijdens verzending versleuteld met sterke cryptografie.
• Strenge toegangscontrole: alleen geautoriseerde medewerkers krijgen toegang, vaak met multifactor-authenticatie.
• Isolatie van klantomgevingen: iedere klant draait in een afgeschermde, eigen omgeving.
• Continue monitoring en detectie van afwijkend gedrag: verdachte activiteiten worden real-time opgespoord en geblokkeerd.
• Certificering en externe audits: ze voldoen aan internationale standaarden zoals ISO 27001, SOC 2 en GDPR.

Door deze technische en organisatorische maatregelen te combineren, kun je AI gebruiken zonder dat je je zorgen hoeft te maken over compliance of datalekken. Maar de basis blijft: bewustzijn en verantwoordelijkheid. Je kunt niet zomaar vertrouwen op de veiligheid van een tool, jij bent uiteindelijk verantwoordelijk voor de data die je erin stopt.

Hoe benut je de kracht van AI binnen je eigen beveiligingskaders?

Soms wil je AI wel integreren in je bedrijfsprocessen, bijvoorbeeld om klantdossiers automatisch te analyseren of interne rapporten te laten samenvatten. In zulke gevallen is het belangrijk om de juiste technische keuzes te maken zodat je volledige controle over je data houdt.

Een veilige manier is om gebruik te maken van lokale AI-modellen, zoals Llama of Mistral, die je op je eigen servers draait. Daarmee blijft alle informatie binnen je eigen netwerk en kun je het model eventueel trainen op je eigen documenten, zonder dat data naar buiten lekt.

Een andere optie is om AI-modellen te hosten in je eigen cloudomgeving, bijvoorbeeld via Azure of AWS. Door een eigen “instance” te gebruiken, zorg je ervoor dat alleen jouw organisatie toegang heeft tot het model en dat de data binnen de beveiligings- en compliancekaders van jouw cloudprovider blijft. Ook kun je gebruikmaken van private endpoints bij AI-aanbieders, waarbij dataverkeer volledig afgeschermd is en afspraken over datagebruik contractueel worden vastgelegd.

Wat je keuze ook is: het begint bij bewustwording. Niet alles wat technisch mogelijk is, is zonder risico. Denk vooraf goed na over de data die je deelt en de platforms die je gebruikt. Door deze verantwoordelijkheid serieus te nemen, kun je de kracht van AI veilig en duurzaam inzetten in je organisatie.

Wat kun jij morgen al anders doen?

Als credit manager werk je dagelijks met vertrouwelijke klantinformatie, financiële data en strategische rapportages. Juist daarom is het belangrijk om kritisch te zijn op het gebruik van AI in jouw processen.

Vraag jezelf bij elk AI-idee of -toepassing het volgende af:

• Welke data gaat hierin gebruikt worden, en is die data echt geschikt om te delen?
• Weet ik zeker dat de AI-oplossing veilig omgaat met mijn gegevens?
• Kan ik kiezen voor een oplossing waarbij mijn data binnen mijn eigen organisatie of cloudomgeving blijft?

Begin klein: breng in kaart waar binnen jouw afdeling AI gebruikt wordt of overwogen wordt, en bespreek samen met IT of er verbeteringen mogelijk zijn. Door nu bewuste keuzes te maken, voorkom je problemen in de toekomst en bouw je mee aan een veilige, betrouwbare inzet van AI binnen jouw organisatie.

Bronnen:

• 40 procent van AI-datalekken tegen 2027 door grensoverschrijdend misbruik van GenAI – ICTMagazine.nl
• Groot datalek: DeepSeek lekt miljoen chatgesprekken van gebruikers