Het is dinsdagavond, 21:45 uur. De deadline voor het memo over een voorgenomen overname is morgenochtend om negen uur. De structuur staat, maar de tekst mist scherpte. Een collega laten meekijken? Daarvoor is het nu te laat. Dan maar ChatGPT op de privélaptop.

Binnen tien minuten staat er een strakkere versie, inclusief vertrouwelijke informatie over een mogelijk bod op een beursgenoteerde partij. “Moet kunnen, het is toch maar een concept? En morgenochtend moet het af zijn!”

Dit scenario is niet hypothetisch. Het gebeurt. Officieel klinkt het: “We moeten goed nadenken over hoe we veilig met AI werken.” Ondertussen experimenteert iedereen erop los. De één gebruikt een openbare chatbot op een privélaptop terwijl de ander iedere vorm van AI weigert te gebruiken. Hoe te navigeren?

Tien professionals, tien definities

Vraag professionals wat ‘veilige AI’ is en je krijgt tien verschillende antwoorden. De één denkt vooral aan geheimhouding: vertrouwelijke cliëntinformatie hoort niet in externe systemen. De ander denkt aan reputatie: voorkomen dat ons kantoor in het nieuws komt na een datalek of AI-hallucinatie. Weer een ander legt de nadruk op kwaliteit en aansprakelijkheid. Allemaal valide zorgen. Maar zonder duidelijke afspraken bepaalt het toeval wat uiteindelijk het zwaarst weegt. De geheimhoudingsplicht speelt een cruciale rol. Zodra cliëntinformatie in een AI-tool belandt, is er een keuze gemaakt over wie er potentieel toegang toe kan krijgen. De vraag is dan niet alleen of dit technisch veilig is, maar ook of het nog te verantwoorden is tegenover de cliënt.

De échte veiligheidsvraag

Daarom is de vraag ‘is AI veilig?’ op zichzelf niet voldoende. De echte veiligheidsvraag luidt eerder: wat vinden we als kantoor zó belangrijk dat we het bewust willen beschermen wanneer we AI inzetten? Pas als dat helder is, kun je bepalen wanneer iets veilig genoeg is. Kantoren die die beschermingsvraag expliciet stellen, zien vaak hetzelfde gebeuren: het schaduwgebruik neemt af, collega’s durven te vragen waar de grenzen liggen en de tools die wél zijn toegestaan worden veel eerder gebruikt.

Op kantoor is AI pas ‘veilig genoeg’ wanneer drie dingen tegelijk kloppen:

Er is expliciet gemaakt wat het kantoor wil beschermen (welke soorten dossiers, welke informatie, welke reputatierisico’s);

Hieruit volgen duidelijke grenzen over welke informatie en taken wél en niet via AI mogen lopen;

Medewerkers voelen zich veilig genoeg om twijfel hardop te uiten, in plaats van op eigen houtje te experimenteren op privélaptops.

Dit niveau van duidelijkheid ook binnen jouw organisatie bereiken? Vul dan dit kader in:

Een praktisch kader voor ‘veilig genoeg’ AI-gebruik op kantoor

Wat beschermen we? Welke soorten informatie mogen onder geen beding in een extern AI-systeem belanden (bijvoorbeeld lopende M&A-dossiers, strafzaken, zeer gevoelige fiscale structuren)? Zijn er situaties waarin dat wél mag, en wie beslist daarover?

Welke soorten informatie mogen onder geen beding in een extern AI-systeem belanden (bijvoorbeeld lopende M&A-dossiers, strafzaken, zeer gevoelige fiscale structuren)? Zijn er situaties waarin dat wél mag, en wie beslist daarover? Aan welke technische basisvoorwaarden moet een systeem voldoen? Denk aan gegevensopslag binnen de EU, duidelijke afspraken over datagebruik (geen hergebruik voor training), versleuteling van data in transport en opslag, logging en auditmogelijkheden, en koppeling aan de bestaande identity- en toegangsstructuur van het kantoor. Niet om ieder risico uit te sluiten, maar om een minimumniveau af te spreken dat past bij beroepsregels en cliëntvertrouwen.

Denk aan gegevensopslag binnen de EU, duidelijke afspraken over datagebruik (geen hergebruik voor training), versleuteling van data in transport en opslag, logging en auditmogelijkheden, en koppeling aan de bestaande identity- en toegangsstructuur van het kantoor. Niet om ieder risico uit te sluiten, maar om een minimumniveau af te spreken dat past bij beroepsregels en cliëntvertrouwen. Welke AI-tools vallen binnen deze ‘veilige zone’, en waarvoor? Maak een lijst: welke tools zijn toegestaan, voor welke typen werk (bijvoorbeeld onderzoek, structureren van argumenten, stijlredactie) en onder welke beperkingen (wel of geen cliëntnamen, wel of geen volledige documenten). Alles wat níet op die lijst staat, wordt niet gebruikt voor kantoorgebonden werk.

Zonder beleid beslist de deadline!

Zo werkt veilig AI-gebruik in de praktijk — ontdek onze juridische AI-assistent GenIA-L nu 14 dagen gratis en vrijblijvend