top of page
Zoeken

AI washing: verborgen risico’s van stilletjes toegevoegde AI-functionaliteit



Artificial Intelligence (AI) is in korte tijd een belangrijk verkoopargument geworden voor softwareleveranciers. Functionaliteiten als automatische samenvattingen, slimme aanbevelingen en generatieve chatfuncties worden steeds vaker gepresenteerd als innovatieve meerwaarde. In de praktijk zien we echter een zorgelijke trend: AI washing. Hierbij wordt AI te pas en te onpas toegevoegd aan bestaande software, soms zonder duidelijke communicatie, en regelmatig via automatische software-updates. Dit brengt aanzienlijke risico’s met zich mee voor privacy, informatiebeveiliging en compliance met de Algemene Verordening Gegevensbescherming (AVG).



Wat is AI washing?


AI washing is het verschijnsel waarbij softwareleveranciers AI-functionaliteit toevoegen of herlabelen zonder transparant te zijn over:

  • welke data wordt gebruikt,

  • waar deze data wordt verwerkt,

  • welke externe partijen betrokken zijn,

  • en voor welke doeleinden de data wordt ingezet.


In sommige gevallen wordt AI standaard ingeschakeld, terwijl gebruikers of organisaties hier geen expliciete keuze in hebben gemaakt. Dit is met name problematisch wanneer persoonsgegevens of bedrijfsgevoelige informatie worden verwerkt buiten de expliciet overeengekomen verwerkingsdoeleinden.



Risico’s voor persoonsgegevens en bedrijfsinformatie


Het gebruik van AI-functionaliteit impliceert vrijwel altijd dat data wordt geanalyseerd, verrijkt of doorgegeven aan externe systemen. De belangrijkste risico’s zijn:


  • Onbedoelde datadeling

    Gegevens kunnen worden doorgestuurd naar derde partijen, zoals AI-platforms of cloudproviders, zonder dat dit contractueel of organisatorisch is geborgd.

  • Geografische risico’s

    Data kan worden verwerkt in landen buiten de EU of de EER, waar een ander beschermingsniveau geldt. Dit is met name risicovol bij landen waarvoor geen adequaatheidsbesluit bestaat.

  • Verlies van controle

    Organisaties verliezen zicht op waar data zich bevindt, hoe lang deze wordt bewaard en of deze wordt hergebruikt voor modeltraining.

  • Inbreuk op vertrouwelijkheid

    Bedrijfsgevoelige informatie, intellectueel eigendom of strategische data kan onbedoeld onderdeel worden van externe AI-verwerkingen.




AVG-technische knelpunten


Vanuit AVG-perspectief levert AI washing meerdere structurele problemen op:

  • Ontbrekende rechtsgrond

    Nieuwe AI-verwerkingen vallen vaak buiten de oorspronkelijke verwerkingsdoeleinden waarvoor toestemming of een andere rechtsgrond is vastgesteld.

  • Schending van doelbinding en dataminimalisatie

    Data wordt gebruikt voor bredere of andere doelen dan oorspronkelijk afgesproken.

  • Onvoldoende transparantie

    Betrokkenen worden niet adequaat geïnformeerd over nieuwe vormen van verwerking, wat in strijd is met de informatieplicht.

  • Ontbrekende verwerkersafspraken

    Externe AI-diensten worden niet altijd correct vastgelegd in verwerkersovereenkomsten of subverwerkerslijsten.




Grip krijgen met een risico-gebaseerde benadering


De kern van beheersing ligt in een risico-gebaseerde aanpak. Niet elke AI-toepassing is per definitie onacceptabel, maar elke toepassing vereist een expliciete afweging. Praktische stappen zijn:


  1. Inventariseer AI-gebruik

    Breng in kaart welke applicaties AI-functionaliteit bevatten, inclusief updates en standaard ingeschakelde features.

  2. Classificeer data

    Bepaal welke typen gegevens worden verwerkt (persoonsgegevens, bijzondere persoonsgegevens, bedrijfsgevoelige informatie).

  3. Voer risicoanalyses uit

    Beoordeel per toepassing de impact op privacy, informatiebeveiliging en compliance. In veel gevallen is een DPIA noodzakelijk.

  4. Beoordeel leveranciers kritisch

    Vraag expliciet naar datastromen, opslaglocaties, subverwerkers en het gebruik van data voor training of verbetering van modellen.

  5. Borg besluitvorming

    Documenteer acceptatie, mitigerende maatregelen en rest-risico’s, zodat aantoonbaar wordt voldaan aan de AVG-verantwoordingsplicht.




Ondersteuning vanuit ISO 27001 en ISO 27018


Internationale normen bieden een stevig raamwerk om AI washing structureel aan te pakken.


ISO 27001 helpt bij:

  • het inrichten van een Information Security Management System (ISMS),

  • risicoanalyse en risicobehandeling,

  • leveranciers- en cloudrisicobeheer,

  • change-management en beoordeling van software-updates.


Hiermee wordt AI niet als losstaand fenomeen behandeld, maar als onderdeel van het bredere informatiebeveiligingslandschap.


ISO 27018 richt zich specifiek op de bescherming van persoonsgegevens in cloudomgevingen en ondersteunt bij:

  • duidelijke afspraken over rollen en verantwoordelijkheden,

  • beperking van datagebruik tot afgesproken doeleinden,

  • transparantie over datalokatie en subverwerkers,

  • aantoonbare privacy-bescherming bij externe verwerking.


Samen zorgen deze normen voor structuur, consistentie en aantoonbaarheid richting toezichthouders en stakeholders.



Conclusie


AI washing is geen marketingprobleem, maar een reëel governance-, privacy- en securityvraagstuk. Organisaties die blind vertrouwen op software-updates lopen het risico onbewust persoonsgegevens en bedrijfsinformatie te delen met ongewenste partijen of landen, met mogelijke AVG-overtredingen tot gevolg. Door een risico-gebaseerde benadering te combineren met de kaders van ISO 27001 en ISO 27018 ontstaat grip op AI-gebruik, zonder innovatie onnodig te blokkeren. Transparantie, bewuste keuzes en aantoonbare beheersing zijn daarbij essentieel.

 
 
 

Opmerkingen

bottom of page