Nieuws 30 december 2025

AP slaat alarm over datalekken door AI

Het aantal datalekmeldingen door het gebruik van AI-chatbots op de werkvloer loopt snel op. De Autoriteit Persoonsgegevens waarschuwt organisaties voor grote privacy- en compliance­risico’s, vooral vanwege medewerkers die zelf gebruikmaken van gratis AI-tools.

Dat meldt het FD. Het gebruik van AI-chatbots door werknemers leidt tot een groeiend aantal datalekken, constateert de Autoriteit Persoonsgegevens (AP), die in 2024 en 2025 al tientallen meldingen ontving van incidenten waarbij gevoelige informatie via chatbots werd gedeeld. Volgens de toezichthouder ligt het aantal meldingen in 2025 hoger dan in het jaar ervoor.

Aanleiding voor de waarschuwing is onder meer een recent datalek bij de gemeente Eindhoven. Daar bleek na een interne steekproef dat medewerkers gedurende een periode van dertig dagen grote hoeveelheden vertrouwelijke documenten hadden ingevoerd in openbare AI-chatbots, waaronder cv's, jeugdzorgdossiers en interne verslagen.

De gemeente kan de exacte omvang van het lek niet vaststellen, omdat de gegevens slechts tijdelijk werden opgeslagen. Wel is inmiddels besloten om publieke AI-websites te blokkeren en medewerkers uitsluitend nog in een beveiligde omgeving te laten werken. Ook is aan OpenAI gevraagd de betreffende data te verwijderen.

Eigen initiatief

Volgens de AP ontstaan dit soort incidenten vaak doordat werknemers op eigen initiatief experimenteren met AI-chatbots zoals ChatGPT, Claude en Gemini. Met name gratis versies vormen een risico, omdat ingevoerde gegevens kunnen worden opgeslagen en mogelijk worden gebruikt voor verdere training van de modellen. Organisaties hebben daarbij weinig tot geen zicht op wat er met die data gebeurt.

Privacy- en technologierechtadvocaat Stephan Mulders gebruikt in het FD de term shadow AI: het ongecontroleerde gebruik van niet-goedgekeurde AI-tools binnen organisaties. "Werkgevers kunnen hun medewerkers niet continu monitoren. Als zij zelf gaan experimenteren, ontstaan sneller datalekken", aldus Mulders. Het risico beperkt zich niet tot persoonsgegevens; ook informatie die onder geheimhoudingsplicht valt of koersgevoelige data kan onbedoeld worden gedeeld.

Verantwoordelijkheid

De invoering van de Europese AI-act legt extra verantwoordelijkheden bij organisaties. Zij moeten zorgen voor AI-geletterdheid via training en duidelijke richtlijnen voor werknemers. De AP adviseert expliciet vast te leggen welke gegevens wel en niet mogen worden ingevoerd in AI-systemen. Net als bij de AVG zal het volgens Mulders tijd kosten voordat wetgeving en praktijk volledig op elkaar zijn afgestemd.

Accounttech-bijeenkomst

Onder meer de NBA en de Nederlandse Orde van Advocaten hebben richtlijnen gepubliceerd waarin handvatten worden geboden voor de omgang met AI.

De NBA publiceerde eind vorig jaar de Leidraad AI in Control. Op 4 februari 2026 organiseert Accounttech in Hoofddorp een bijeenkomst waarin de rol van AI binnen accountancy uitgebreid besproken wordt en ook het tweede deel van de leidraad aan bod komt. Aanmelden kan via de website van de NBA.