Een lezer vroeg me:
Kan een bedrijf dat voor ISO27001 (of NEN7510) gecertificeerd is, gebruik maken van ChatGPT of vergelijkbare tool voor het schrijven en corrigeren van code? Je kunt met deze tools immers makkelijk bedrijfsgeheimen (zoals broncodes) laten uitlekken. Hoe verhoudt zich dat tot zo’n certificering?Tools zoals ChatGPT of Copilot van Microsoft zijn momenteel erg populair om snel software mee te schrijven of het ontwikkelproces te versnellen. Maar het zijn externe tools, dus alle data die je erin stopt, gaat naar een bedrijf buiten de organisatie dat er van alles mee kan doen. En dat kan dus zomaar eigen vertrouwelijke en waardevolle software-broncode betreffen bijvoorbeeld.
Bekend (of berucht) is het voorbeeld van Samsung, waar werknemers onder meer eigen broncodes aan ChatGPT gaven om deze op fouten te laten controleren. Ook werden meeting-aantekeningen geupload om er notulen van te laten maken. Hoewel de aanbieder van ChatGPT natuurlijk niet direct die gegevens gaat delen met de pers, is de kans aanwezig dat het systeem er wel op bijgetraind wordt, of dat werknemers bij controle van de uitvoer dit tegenkomen en het (al dan niet onbewust) elders inzetten.
De inzet van zo’n tool is daarmee te zien als een risico voor de beveiliging van informatie, en laat dat nu precies zijn waar standaarden als ISO27001 over gaan: het identificeren en beheersen van zulke risico’s. Je zou dus verwachten dat een ISO-certified organisatie op zeker moment dit risico signaleert, en processen introduceert om de gevolgen te mitigeren. Dat zou kunnen zijn het blokkeren van ChatGPT als website, maar ook een awarenesstraining voor medewerkers of het sluiten van nieuwe contracten met de aanbieders van zulke tools.
Het is dus niet zo dat een organisatie die ISO27001 gecertificeerd is, zulke tools niet mag gebruiken. Je organisatie hoeft zeker niet volledig statisch te blijven tot de volgende audit. Het is precies omgekeerd: met zo’n certificering ben je in staat om ook dit risico tijdig te onderkennen en maatregelen te nemen.
Arnoud
Geldt denk ik ook voor tools als translate.Google.com en deepl.com: zorg dat wat je upload is ontdaan van vertrouwelijke gegevens.
Jij beschrijft een policy die een bedrijf zou kunnen inzetten. Een andere optie is om een contract te sluiten met daarin een geheimhoudingsvoorwaarde. Het hangt van de omstandigheden af wat de beste oplossing voor de organisatie is. Dus eerst situatie analyseren en daarna beleid maken.
Een geheimhoudingsverklaring is als het klaar leggen van pleisters als je een kind met een mes laat spelen
Als je je kinderen niet leert om veilig met messen te werken dan dwing je ze in de armen van McDonald’s etc. tot de dood er op volgt… Pleisters plakken is trouwens ook iets nuttigs om je kinderen te leren.
Maar even terug naar het originele topic: Ik neem aan dat je ISO/NEN een analyse gedaan hebt van de gevoeligheid van de diverse gegevens binnen je organisatie. Daar zitten ongetwijfeld zaken bij die niet vertrouwelijk zijn (nieuwsbrieven, etc.). Ik zie geen probleem om ChatGPT die te laten polijsten. Bij vertrouwelijke gegevens ligt de afweging heel anders; kennis van hoe ChatGPT met jouw gegevens omgaat is dan onderdeel van jouw overweging om de tool voor bepaald gebruik wel of niet in te zetten.
Hoe zit dit met OpenAI via Microsoft https://learn.microsoft.com/en-us/legal/cognitive-services/openai/overview
?
Hier is contractueel een stuk meer te borgen dan als je direct met OpenAI zelf zaken doet. Je kunt zakendoen met een Europese dochter van MS en de datacenters staan fysiek in Europa. Verder borgen ze geheimhouding van je data en verbieden ze zichzelf contractueel om jouw geuploade data te gebruiken bij het trainen van taalmodellen. Technisch is de omgeving ISO27001, net als de rest van MS. Volgens mij heb je het dan wel een beetje op orde.
En de andere kant? Dus niet dat je mogelijk gegevens lekt, maar dat je gegevens terug krijgt waarvan je niet met zekerheid kunt vaststellen of je ze uberhaupt mag gebruiken of publiceren?