Het datalek in oktober bij de Gemeente Eindhoven is geen klassiek verhaal van malware of een kwetsbare server. Het is ongemakkelijker. Medewerkers gebruikten publieke AI-tools om hun werk efficiënter te doen en uploadden daarbij grote hoeveelheden persoonsgegevens. Van jeugdproblematiek tot financiële dossiers, inclusief namen en foto’s. Efficiënt bedoeld, onveilig uitgevoerd.
Technisch gezien raakt dit aan meerdere lagen tegelijk. Data loss prevention faalt hier niet omdat de technologie ontbreekt, maar omdat deze niet is ingericht op nieuw gedrag. Copilot en ChatGPT zijn geen schaduw-IT meer; ze zijn mainstream. Zonder expliciete classificatie, context-aware policies en monitoring van datastromen naar externe AI-diensten blijft “vertrouwelijk” vooral een wenswoord. Zero trust stopt immers niet bij identiteit, maar begint bij data.

Helaas zien wij in de praktijk dit patroon vaker. Zo voerde een middelgrote overheidsorganisatie in 2023 een interne analyse uit en ontdekte dat beleidsdocumenten met persoonsgegevens via AI-prompts werden samengevat. Niet kwaadwillend, wel risicovol. Pas na een gerichte security gap analyse werd duidelijk waar beleid, techniek en bewustwording elkaar niet raakten.

Oplossingen zijn minder spectaculair dan het incident zelf. Denk aan data discovery en DLP die ook AI-verkeer begrijpen, gecombineerd met gecontroleerde interne AI-omgevingen. Binnen het Amitron-portfolio zien we bijvoorbeeld dat een security gap analyse snel inzicht geeft in dit soort blinde vlekken, terwijl managed security awareness training helpt om medewerkers te leren wanneer en hoe AI een hulpmiddel.

De vraag is niet of medewerkers AI gebruiken. De vraag is: weet u waar uw data heen gaat als ze dat doen?