Een lezer vroeg me:
Onze organisatie is erg bezorgd over fouten bij gebruik van AI, met name door het uploaden van persoonsgegevens of vertrouwelijke informatie. Men heeft nu aangekondigd alle verkeer naar zulke diensten te monitoren en steeksproefgewijs te controleren. Mag dat zomaar?Dat mag, maar niet zomaar.
Het monitoren van internetverkeer van medewerkers is al sinds jaar en dag een onderwerp met juridisch kader. Dat het hier specifiek over AI-diensten gaat, is bijzaak. Het gaat om de risico’s: onbevoegd gebruik van persoonsgegevens, lekken van bedrijfsgeheimen, of zaken als reputatieschade veroorzaken. Die risico’s zijn legitiem en daar mag je maatregelen op nemen.
Tegelijkertijd is het monitoren van ict-verkeer van werknemers een inbreuk op hun privacy. Die heb je ook op het werk, en ook bij gebruik van diensten die niet toegestaan zijn. Want om te kijken of je dat doet, moet je alle ict-verkeer controleren.
Het compromis waar we eigenlijk al een tijdje op uitgekomen zijn, is dat geautomatiseerd scannen in principe mag, maar voor menselijk meekijken moet er meer zijn. En bij acteren op zo’n scan moet je proportioneel handelen. Een paar voorbeelden:
- Je mag loggen of mensen naar sites als chatgpt.com of perplexity.ai gaan. Gebeurt dat vaak, dan kun je die mensen een mailtje sturen met de waarschuwing dat dit niet voor zakelijke doeleinden mag. (In de lunchpauze sinterklaasgedichten uit Sjet halen mag wel.)
- Je mag de omvang van internetverkeer naar zulke diensten monitoren. Wie grote pieken veroorzaakt, kan gericht worden gevraagd wat voor bakken data hij uploadt.
- Bij zakelijke abonnementen op AI-diensten kun je het loggen van chats verplicht stellen. Je kunt beleid maken dat je daar op basis van trefwoorden in mag zoeken of steekproefsgewijs in mag kijken. (De OR zal dit moeten goedkeuren, als die er is.)
- De mensen die de logs lezen, zijn apart op geheimhouding gewezen en zijn geen directe collega’s van de gemonitorde mensen.
Arnoud
hier heb ik wel moeite mee. Het is geen chat, of een gesprek tussen 2 personen. Het zijn instructies die je aan een apparaat geeft. Er zit geen persoon aan de andere kant.
Een werkgever mag toch controleren hoe je een apparaat/machine bedient? Is het realistisch om mijn magnetron gebruik in de kantine als vertrouwelijk/prive aan te merken?
Mag een werknemer in jouw notitieboekje kijken, waar je voor jezelf aantekeningen aan het maken bent? Mag de werkgever meeluisteren in je kamer, als je daar in je eentje werkt?
Alles wat ik op een computer doe is niet meer dan “instructies aan een apparaat geven”. Elke toetsaanslag en elke klik is niet meer dan het overhalen van een schakelaar van een apparaat.
Da’s wel erg reductief. Die toetsaanslagen zorgen er voor dat mij een chatbericht van jou bereikt. Dat kan toch best een privégesprek zijn?
Dat was mijn punt ook; dat het een instructie aan een apparaat is, is geen reden om te zeggen dat die chat niet prive was, ook al is de ontvanger dus een AI-chatbot. Het was bedoeld als reactie op Reiska’s opmerking “het is geen chat, het zijn instructies”.
Is het niet veel makkelijker om chatbots in de corporate firewall gewoon compleet te blokkeren ?
Mijn werkgever probeert AI gebruik juist te stimuleren. Maar als je AI wilt verbieden, dan past een internetblokkade daarbij.