Gemeente Eindhoven stuurde persoonsgegevens naar openbare AI-tools

De gemeente Eindhoven heeft duizenden bestanden met persoonsgegevens geüpload naar openbare AI-websites, waaronder ChatGPT. Nadat dit bekend werd, heeft de gemeente de toegang tot deze websites afgesloten voor medewerkers.

Uit een steekproef bleek dat de gemeente Eindhoven in de periode 23 september tot en met 23 oktober verschillende bestanden met persoonsgegevens van werknemers en inwoners heeft gedeeld met openbare chatbots als ChatGPT en Claude. De Autoriteit Persoonsgegevens ziet dit als een datalek, hoewel de kans volgens de gemeente klein is dat de gegevens uit deze bestanden in handen komen van onbevoegden.

Er zijn binnen die dertig dagen 2368 bestanden geüpload naar AI-diensten, zo stelt het bureau dat onderzoek deed naar het datalek. Het is niet duidelijk hoeveel van die bestanden precies persoonsgegevens bevatten, maar er zouden onder meer Jeugdwet-documenten, reflectieverslagen en cv's van sollicitanten tussen zitten. Ook is niet duidelijk hoeveel bestanden er vóór de steekproefperiode zijn verstuurd naar AI-websites.

De Eindhovense gemeente heeft OpenAI gevraagd om de gegevens te verwijderen en de Autoriteit Persoonsgegevens op de hoogte gesteld. Naar aanleiding van de ontdekking heeft de gemeente de toegang tot openbare AI-websites voor medewerkers geblokkeerd. Ze hebben voortaan alleen nog toegang tot een afgesloten versie van Microsoft Copilot. Ook stelt de gemeente dat de monitoring van het dataverkeer naar externe websites is aangescherpt.

Verscherpt toezicht

Tot kort geleden hield de Autoriteit Persoonsgegevens nog verscherpt toezicht op de gemeente Eindhoven, nadat de AP signalen kreeg dat ze te veel persoonsgegevens verzamelde en deze ook te lang bewaarde. Ook meldde de gemeente datalekken niet of niet op tijd. Dit verscherpte toezicht werd afgelopen maart na twee jaar opgeheven.

Door Kevin Krikhaar

Redacteur

Feedback • 19-12-2025 11:32 166

19-12-2025 • 11:32

166

Lees meer

Experimentele Copilot-knoppen verschijnen in taakbalk van Windows-preview
Experimentele Copilot-knoppen verschijnen in taakbalk van Windows-preview Nieuws van 21 december 2025
OpenAI laat gebruikers 'karaktertrekken' van ChatGPT aanpassen
OpenAI laat gebruikers 'karaktertrekken' van ChatGPT aanpassen Nieuws van 20 december 2025
Gegevens van Australische burgers uitgelekt via ChatGPT-gebruik door overheid
Gegevens van Australische burgers uitgelekt via ChatGPT-gebruik door overheid Nieuws van 9 oktober 2025
AP stopt met geïntensiveerd toezicht op gemeente Eindhoven
AP stopt met geïntensiveerd toezicht op gemeente Eindhoven Nieuws van 27 februari 2025
Gemeente Eindhoven doet uit voorzorg melding van ZwemApp-datalek bij AP
Gemeente Eindhoven doet uit voorzorg melding van ZwemApp-datalek bij AP Nieuws van 18 november 2024
Gemeente Eindhoven getroffen door datalek, bsn burgers kort intern inzichtelijk
Gemeente Eindhoven getroffen door datalek, bsn burgers kort intern inzichtelijk Nieuws van 23 mei 2024
AP: aanwijzingen dat Eindhoven niet goed omgaat met persoonsdata en datalekken
AP: aanwijzingen dat Eindhoven niet goed omgaat met persoonsdata en datalekken Nieuws van 1 maart 2023
Meer producten en artikelen
Beveiliging en antivirus Privacy Chatbot ChatGPT Datalek Eindhoven Generatieve AI

Reacties (166)

-Moderatie-faq
166
155
83
4
0
60
Wijzig sortering

Sorteer op:

Weergave:
Valandin 19 december 2025 14:06
Ik vind het echt een beangstigende gedachte hoeveel medewerkers van organisaties stukken vol vertrouwelijke informatie door LLM's halen. Ik denk oprecht dat Gemeente Eindhoven hier niet de enige in is. Ik vrees dat dit in praktisch elke organisatie op dit moment gebeurt. Wie gebruikt er nog geen LLM als spellingscorrectie?

Tien jaar geleden was het nog een groot probleem dat sommige (oudere) mensen hun wachtwoord op een geeltje op de monitor of laptop plakten. Dit is een beetje de nieuwe, maar gevaarlijkere variant daarvan.
Reageer
japie06 @Valandin19 december 2025 14:25
Precies dit. De gemeente Eindhoven is eerlijk naar buiten. Maar iedereen weet dat dit natuurlijk bij heel veel organisaties gebeurd.
Reageer
armageddon_2k1 @japie0619 december 2025 18:03
Gemeente Eindhoven heeft een tijdlang onder verscherpt toezicht gestaan:

https://www.eindhoven.nl/persberichten/autoriteit-persoonsgegevens-beeindigt-geintensiveerd-toezicht-op-gemeente-eindhoven

Zo goed waren ze niet dus
Reageer
Clu3M0r3 @japie0620 december 2025 01:17
Precies dit. De gemeente Eindhoven is eerlijk naar buiten.
Werkelijk?
Verscherpt toezicht

Tot kort geleden hield de Autoriteit Persoonsgegevens nog verscherpt toezicht op de gemeente Eindhoven, nadat de AP signalen kreeg dat ze te veel persoonsgegevens verzamelde en deze ook te lang bewaarde. Ook meldde de gemeente datalekken niet of niet op tijd. Dit verscherpte toezicht werd afgelopen maart na twee jaar opgeheven.
Ja, eerlijk omdat ze onder verscherpt toezicht stonden (en gezien dit geval weer zouden moeten staan)
Reageer
kabelmannetje @japie0620 december 2025 09:13
"Eerlijk"... ? Echt waar? Het moet gewoon volgens de wet. Als die niet zo was, werd dit gewoon onder de pet gehouden.
Reageer
badflower @Valandin19 december 2025 14:40
Probleem is ook dat er bij de overheid en vele andere organisaties geen LLMs gebruikt mogen worden, vanwege zulke security en privacy problematiek. Maar de maatschappij stoomt door, mensen gebruiken AI thuis en gaan dat dus ook op werk gebruiken. Doe je niets aan behalve dat je als organisatie juist wèl AI omarmt / betaald zodat iedereen een versie gebruikt die draait in geïsoleerde environment.
Reageer
kodak
@badflower19 december 2025 18:32
Hoe is het niet mogen gebruiken hier dan een probleem? Want als er een verbod is dan is dat er gewoonlijk niet voor niets en hoort men dat niet te overtreden.

Het feit dat mensen een verbod negeren ligt niet aan het verbod, dat ligt aan de personen die eigenwijs eigen prioriteiten belangrijker vinden dan je aan regels houden en waarom die regels er zijn.

Natuurlijk kun we stellen dat mensen in de samenleving het gebruik aantrekkelijk vinden, bijvoorbeeld omdat ze hopen dat het ze bij hun werk helpt. Maar als je verantwoordelijkheid hebt om andermans rechten te respecteren ga je niet zomaar middelen of dienst gebruiken waarvan je geen flauw benul hebt of je daarmee recht doet aan de recht van anderen.
Reageer
cnoobie @kodak20 december 2025 11:06
Wat ik (als oud ambtenaar) me kan voorstellen hoe dat soort dingen gaan in hoofden van medewerkers:

[cynic mode]
  • de werkdruk is hoog vanwege bezuinigingen. Te weinig collega’s en steeds meer werk en data om te verwerken
  • Je hebt geen tijd/zin/energie om dat hele bestand door te lichten op gevoelige data
  • Je hebt nog nooit een training gehad over wat gevoelige data eigenlijk is. En realiseert je dus helemaal niet dat je iets gevoeligs uploadt
  • Je besteedt die K*#-klus uit aan een junior of stagiair die -logischerwijs- van privacy of data security al helemaal geen benul heeft, maar wél het gemak van LLM’s kent
  • Je leest zelf overal hoe AI gebruikt wordt en nuttig is. En het zit toch ook al standaard in WhatsApp en dat gebruiken we toch ook voor de team app. Het is toch allemaal één pot nat en iedereen weet toch alles al
  • Thuis gebruik je toch ook af en toe chat gpt, dat hele Copilot ding waar je in moet werken van je baas snap je niet (wederom geen training in gehad want te duur/te druk/je was die week ziek), of het doet niet wat je wilt
Dus toedeledokie met je (onduidelijke, slecht uitgewerkte, niet werkbare) regels. Trouwens: hoezo regels? Politici, rijkelui, oplichters, dieven, iedereen komt altijd overal mee weg.

[/cynic mode]

[Reactie gewijzigd door cnoobie op 20 december 2025 11:09]

Reageer
t link @badflower21 december 2025 22:40
Dit klopt gewoon niet. ook bij de gemeente eindhoven mogen ze LLM's gebruiken. dat doen ze nu ook nogsteeds. Microsoft copilot zoals in het artikel staat is daarvoor beschikbaar.
Reageer
AnonymousGerbil @Valandin20 december 2025 00:54
Wie gebruikt er nog geen LLM als spellingscorrectie?
Ik, want een llm is een bijzonder inefficiënt stuk gereedschap voor spellingscorrectie.
Reageer
Clu3M0r3 @Valandin19 december 2025 15:12
Wie gebruikt er nog geen LLM als spellingscorrectie?
Ik, want een LLM haal ik wordt er waarschijnlijk niet als fouten uit ;-)

Maar je hebt een heel goed punt, dat het een beangstigende gedachte is dat er zeer slordig met vertrouwelijke informatie wordt omgesprongen.
Reageer
Mathijs Kok @Clu3M0r322 december 2025 12:18
Ik, want een LLM haal ik wordt er waarschijnlijk niet als fouten uit ;-)
Mmm, zou het toch eens overwegen want ChatGTP maakt van jouw onbegrijpelijke zin iets wat je waarschijnlijk bedoelde.
Reageer
107mb @Clu3M0r319 december 2025 16:42
ik heb jouw eerste zin niet kunnen ontcijferen, en ik denk dat een AI-tool dat ook niet kan.
Reageer
this @107mb20 december 2025 10:12
ChatGPT begreep het alleszins wel. Het is ook niet zo moeilijk om te snappen wat @Clu3M0r3 bedoelde.
Reageer
BCC @Valandin19 december 2025 17:43
Ik denk dat > 90% van de kantoormedewerkers z'n werk door de publieke ChatGPT trekt.
Reageer
protected22 @Valandin22 december 2025 08:19
Volgens mij had tweakers ooit eens een artikel gepost waarin stond dat zelfs huisartsen dit deden met persoonsgegevens.
Reageer
gorgi_19 @SwaggyEggs19 december 2025 15:15
Microsoft opent de bestanden niet en gebruikt de inhoud niet om hun eigen diensten te verbeteren.
Als ze al wat doen, is het vergelijken van afbeeldingen met hashes (maar bekijken ze nog steeds de inhoud niet.

Bij OpenAI en bij Claude is dat anders.

Bijvoorbeeld bij OpenAI
We may use content submitted to ChatGPT and our other services for individuals to improve model performance. For example, depending on a user’s settings, we may use the user’s prompts, the model’s responses, and other content such as images and files to improve model performance.
Claude doet hetzelfde, ook subtiel:
You choose to allow us to use your chats and coding sessions to improve Claude,
Your conversations are flagged for safety review (in which case we may use or analyze them to improve our ability to detect and enforce our Usage Policy, including training models for use by our Safeguards team, consistent with Anthropic’s safety mission),
Dus ze gebruiken de data, inclusief geuploade bestanden voor verbetering van hun services. Daarmee verwerken ze ook persoonsgegevens, zonder grondslag en zonder verwerkersovereenkomst.
Reageer
Beeldbuis @SwaggyEggs19 december 2025 15:20
Omdat het word opgeslagen en word gebruikt om de AI te trainingen.

Met de zakelijke OneDrive en SharePoints hebben ze vast en zeker een overeenkomst dat de data niet word gebruikt voor andere doeleinden.

"One of the most useful and promising features of AI models is that they can improve over time. We continuously improve our models through research breakthroughs as well as exposure to real-world problems and data. When you share your content with us, it helps our models become more accurate and better at solving your specific problems and it also helps improve their general capabilities and safety. We don’t use your content to market our services or create advertising profiles of you—we use it to make our models more helpful. ChatGPT, for instance, improves by further training on the conversations people have with it, unless you opt out."


"Services for individuals, such as ChatGPT, Codex, and Sora

When you use our services for individuals such as ChatGPT, Codex, and Sora, we may use your content to train our models.

You can opt out of training through our privacy portal by clicking on “do not train on my content.” To turn off training for your ChatGPT conversations and Codex tasks, follow the instructions in our Data Controls FAQ. Once you opt out, new conversations will not be used to train our models."

Bron

[Reactie gewijzigd door Beeldbuis op 19 december 2025 15:24]

Reageer
Valandin @SwaggyEggs19 december 2025 15:27
Dat is alleen het geval als een organisatie elke publieke LLM blokkeert en enkel toegang regelt via een eigen Copilot-omgeving. Naar mijn weten doen nog weinig organisaties dat.

Copilot is overigens ook nog niet echt compliant met de privacyeisen die je zou willen stellen, tenzij er de afgelopen maanden grote veranderingen zijn geweest. Daarbuiten zijn er ook wel wat issues rondom Copilot geweest, zoals dat mensen toch informatie uit Copilot konden trekken waar ze eigenlijk geen rechten voor hadden (HRM-informatie, etc.).
Reageer
Scriptkid @Valandin19 december 2025 17:46
Let wel copilot ! = copilot.

De publieke en zakelijke worden vaak door elkaar gehaald in nieuws.

En copilot kan wat een user kan dus een user met verkeerde rechten kan idd bij hr. Maar dat kon hij dus ook zonder Copilot.
Reageer
Valandin @Scriptkid19 december 2025 18:35
Het hele issue afgelopen jaar was dat een user zonder rechten, via copilot alsnog bij data kon komen waar hij geen rechten voor had. Dat was redelijk snel weer gefixed toen dat boven water kwam, maar dat soort bugs komen ongetwijfeld nog wel vaker aankomende tijd. Helemaal bij Microsoft, die weten er afgelopen jaren wel echt een potje van te maken qua bugs en issues.
Reageer
Scriptkid @Valandin19 december 2025 21:51
heb je daar voorbeelden artikel van want copilot draait in user context dus dat kan eigenlijk helemaal niet aangezien hij oath gebruikt op de API die hij aan roept in de context van de gebruiker..
Reageer
FooLsKi 19 december 2025 11:42
Echt... Ik vraag me serieus af met wat voor doel je dergelijke gegevens door een LLM zou willen halen. Komt neer op iets meer dan 100 per dag (ervan uitgaande dat desbetreffende ambtenaren niet in de weekends werken), dus da's geen kattepies.
Reageer
Zwartoog @FooLsKi19 december 2025 12:01
"Vat het volgende document samen: "....

"Geef een lijst van alle betrokkenen: "...


Legio vragen waarvan ik mij kan voorstellen dat iemand die handig is met zo'n bot de documenten erin gooit. En gezien hoe de jeugd hiermee opgroeit, ook niet vreemd en misschien ook wel de toekomst.

Alleen moet je dit niet met een publiek model doen.
Reageer
FooLsKi @Zwartoog19 december 2025 12:16
Ik had wellicht "publieke LLM" moeten tikken idd. Voor een local hosted LLM kan ik me de jouw aangegeven scenarios nog enigszins indenken. Zal wel een combinatie luiheid, nieuwsgierigheid en onwetendheid zijn geweest.
Reageer
Geniraal @FooLsKi19 december 2025 12:58
Met name onwetendheid is hierin denk ik nog wel aan de orde. In mijn kenniskring (familie, vrienden, collega's) wordt er meestal nog wel verbaasd gereageerd als ik aangeef dat die bestanden dan "openbaar" zijn. Ik zou zeggen dat deze openbare LLM's gewoon geblokkeerd moeten worden totdat er een duidelijke policy is binnen een organisatie.
Reageer
YGDRASSIL @Geniraal19 december 2025 13:10
Onze betaalde ChatGPT (voor teams of zo) heeft als disclaimer ook steeds in beeld dat ie niet gaat trainen op basis van je chats. "ChatGPT can make mistakes. OpenAI doesn't use xxx workspace data to train its models". Dus ik kan me voorstellen dat je het dan niet meer als een datalek ziet.
Reageer
Jensw19 @YGDRASSIL19 december 2025 13:38
Probleem is echter, deze waren via de openbare site (en dus de normale ChatGPT) gebruikt. Die hebben geen contract met OpenAI voor een Werk-versie
Reageer
robbinwehl @YGDRASSIL19 december 2025 14:47
Maar je hebt niet de keus waar je data word opgeslagen en dan is het een no-go voor ons.
Reageer
dasiro @FooLsKi19 december 2025 13:50
Het feit dat er verwezen wordt naar een "afgesloten versie van copilot" die beschikbaar blijft, doet mij denken dat ze daar wel een licentie voor hebben, maar dat er personeel is die het niet (uitsluitend) gebruikt en zijn eigen zin deed door andere diensten zonder licentie te gebruiken en dus data naar de "publieke" versie stuurde.
Reageer
satya @dasiro19 december 2025 14:37
De Belgische overheid neemt het voor alle medewerkers af, fors kostenplaatje, Nederland nog niet. Bij ons, IT organisatie, zelfs ook niet hoewel er een site is met toegang tot bijna alle GPT's in een company setting. Maar nog steeds kan iedereen alle gegevens daar in zien.
Reageer
Clu3M0r3 @Zwartoog19 december 2025 15:38
"Vat het volgende document samen: "....
En gezien hoe de jeugd hiermee opgroeit, ook niet vreemd en misschien ook wel de toekomst.
Ja, want de jeugd kan dan wellicht niet eens meer zelfstandig een samenvatting maken of een lijst met alle betrokkenen samenstellen, simpelweg omdat ze het niet geleerd hebben, en derhalve veel te afhankelijk van hulpmiddelen geworden zijn.

Ik kan me nog een anecdote herinneren van een kennis van me, die in de tijd dat de (zak) rekenmachine populair werd een experiment heeft uitgehaald. Een onaangekondigde rekentoets, gebruik van rekenmachines niet toegestaan. De resultaten waren om te huilen.

Moraal: Jong niet geleerd, oud niet gedaan.

Ja, ik ben in sommige opzichten van de oude stempel, uit het hoofd leren kan geen kwaad.

(en nu weer lekker appen ;-) )
Reageer
Zwartoog @Clu3M0r319 december 2025 17:05
[quote]Ja, want de jeugd kan dan wellicht niet eens meer zelfstandig een samenvatting maken of een lijst met alle betrokkenen samenstellen, simpelweg omdat ze het niet geleerd hebben, en derhalve veel te afhankelijk van hulpmiddelen geworden zijn.[/quote]

Dit is zeker een zorg, maar anderzijds scheelt het ook een hoop tijd. Veel bureauwerk is gewoon routinewerk, en dossiers kunnen aanzienlijk groeien. Als je met minder mensen meer moet gaan doen, is zo'n AI-tool erg nuttig. Nadeel is dat 1) instanties deze nieuwe manier van werken nog niet ondersteunen/erkennen/begrijpen, 2) de vraag is of de uitkomsten ook worden geverifiëerd door de persoon.
Reageer
Clu3M0r3 @Zwartoog19 december 2025 18:31
Allereerst even een tip: [quote][/quote] werkt zoals je ziet niet, klik op de pijltjes omhoog/omlaag naast "Normale tekst", selecteer quote en paste de tekst die je wilt quoten.
Veel bureauwerk is gewoon routinewerk, en dossiers kunnen aanzienlijk groeien. Als je met minder mensen meer moet gaan doen, is zo'n AI-tool erg nuttig.
Minder mensen, en vooral goedkoper. Dan kun je bij wijze van spreken uiteindelijk een gedresseerde circus poedel inzetten om op de knopjes te drukken, immers AI doet al het (denk)werk. Een zeer gevaarlijke ontwikkeling.
Nadeel is dat 1) instanties deze nieuwe manier van werken nog niet ondersteunen/erkennen/begrijpen, 2) de vraag is of de uitkomsten ook worden geverifieerd door de persoon.
Ik verwijs in deze even naar de toeslagen affaire:

ad 1):

Daar werd al een vorm van AI toegepast, en de uitkomsten ervan werden klakkeloos overgenomen, met alle gevolgen van dien.

ad 2)

Met de voortschrijdende toepassing van AI is het maar zeer de vraag of personen die de uitkomsten moeten verifiëren, daar überhaupt nog wel toe in staat zijn.

Het lijkt me onwenselijk dat we als maatschappij deze ontwikkeling moeten willen accepteren, al ben ik ervan overtuigd dat het toch wel ingevoerd/doorgedrukt gaat worden.
Reageer
dreadnougt @Zwartoog19 december 2025 12:54
Neem deze CV's door en beoordeel ze op x functieprofiel. Bijgevoegd zijn de CV's van de laatste 5 jaar die bij ons ontvangen zijn....
Reageer
M14 @Zwartoog19 december 2025 14:11
Om die reden heeft het bedrijf waar ik werk een tool ingekocht en al het andere geblokkeerd.
Reageer
CopyCatz @FooLsKi19 december 2025 12:16
Het feit dat ambtenaren zich dit niet afvragen is een goeie indicatie van de AI literacy van deze mensen. Het gaat alleen maar erger worden.
Reageer
FooLsKi @CopyCatz19 december 2025 12:19
Yep. En ik zou het niet erg vinden als het bij een paar voorbeelden zou blijven, dan kan je het nog gooien op nieuwsgierigheid. Maar meer dan 100/dag is m.i. een kwestie van "Zo, dat is lekker makkelijk mijn werk doen" zonder dat er verder naar de output gekeken wordt.
Reageer
R_Zwart @FooLsKi19 december 2025 13:32
Als het om voorbeelden gaat pas je het orgineel eerst aan. Wij hebben daar ook mee gespeeld maar voordat we iets verstuurde hadden we productnamen e.d. vervangen door algemene termen. We hadden toen woorden als bloemkool, winterpeen e.d. gebruikt. Dan kan je prima zien wat zo'n tool kan.
Reageer
FooLsKi @R_Zwart19 december 2025 13:47
Dat zou idd wel een vereiste zijn. Maar tegenwoordig lijkt incompetentie wel een soort eremedaille voor een hoop mensen.
Reageer
Tusk @FooLsKi19 december 2025 13:48
Het blijven wel ambtenaren he ;)
Reageer
FooLsKi @Tusk19 december 2025 13:54
Het is wel enigszins een bevestiging van het stereotype voor een deel van de bevolking, idd.
Reageer
mbbs1024 @Tusk19 december 2025 15:11
Ik denk dat dit bij vele bedrijven gewoon dagelijkse kost is, alleen komen die daar niet mee naar buiten, zoals dat bij openbare besturen wel het geval is.
Reageer
NoTechSupport @FooLsKi19 december 2025 12:15
Ik ken de Nederlandse situatie niet, maar tegenwoordig zijn het merendeel van de werknemers in overheidsdiensten contractuelen in België (en terecht).

Op zich heb ik wel liever dat je voor dit soort taken op zijn minst de output van het LLM checkt. Mijn ervaring is dat die spotty is at best.
Reageer
FreezeXJ @NoTechSupport19 december 2025 14:05
We weten niet of dat hier gedaan is, maar de input is in elk geval niet gechecked... Nou zijn we al lang gewend dat alles maar 'in de cloud' geslingerd wordt, en wie precies die cloud beheert is irrelevant, hij is er toch? Sjon Bierkrat ziet echt het verschil niet tussen de Microsoft-cloud waar al z'n Teams-berichten in verdwijnen, de Facebook-cloud met al z'n fotos, of een OpenAI-cloud waar al je bestanden in verdwijnen. 't zal wel goed zitten.
Reageer
ZwolschBalletje @FooLsKi19 december 2025 13:53
Echt... Ik vraag me serieus af met wat voor doel je dergelijke gegevens door een LLM zou willen halen. Komt neer op iets meer dan 100 per dag
Ik snap dat je die conclusie trekt uit dit artikel, maar zo dramatisch als het klinkt, is het gelukkig niet. In het artikel verstopt zit deze zin:
Het is niet duidelijk hoeveel van die bestanden precies persoonsgegevens bevatten, maar er zouden onder meer Jeugdwet-documenten, reflectieverslagen en cv's van sollicitanten tussen zitten.
Oftewel: er werden door ambtenaren zo’n 100 bestanden per dag geüpload naar ChatGPT, en een aantal daarvan bevatte persoonsgegevens, zoals CV’s en jeugdzorg-dossiers.

Met name die laatste dossiers zijn pijnlijk, want dat zijn gevoelige persoonsgegevens waar je extra voorzichtig mee moet zijn volgens de wet. Maar als er per dag 95x een upload plaatsvindt van ‘vat deze wettekst samen voor zover die betrekking heeft op dossier X’ en er een enkeling (jong en naïef) denkt ‘wat moet ik met 35 sollicitaties op één functie, ik vraag ChatGPT om de eerste selectie te doen’, dan gaat het hard met de getallen.

Evengoed moet het volgens mij de norm worden wat Eindhoven nu doet: één AI/LLM contracteren achter een Chinese Wall, en de rest blokkeren vanaf de werkplek. Ook bij mijn werkgever is er al maanden sprake van dat die boel wordt afgesloten, en ik zou dat een logische stap vinden. Want eens door een LLM ‘geleerd’ haal je het er niet meer uit.
Reageer
lenwar
19 december 2025 11:37
Ik word hier oprecht een beetje boos om. Juist een ambtenaar die met gegevens van burgers werkt, moet zich bewust zijn, dat het om gegevens van burgers gaat. Het zou mij verbazen als die medewerkers niet allerlei verplichte trainingen krijgen, die als boodschap "Gebruik je GBV (gezond boerenlullen verstand)". En dan toch nog opsturen. Wat mij betreft moeten die ambtenaren minimaal berispt worden.
Reageer
GrooV @lenwar19 december 2025 11:41
Boos worden op 1 ambtenaar heeft geen zin, hier moet een verandering in werkwijze plaatsvinden en gedragen worden door de organisatie.

Waarom wordt er nog met Excel bestanden gewerkt als het gevoelige data betreft? Dat is al fout nummer 1.
Reageer
HakanX @GrooV19 december 2025 12:34
De burgemeester verdedigd het zelfs. Dus nee, boos worden op één ambtenaar heeft geen zin, zolang dat niet de burgermeester zelf is.
"Het gebruik van AI biedt mogelijkheden ons werk efficiënter te doen. Vanuit die optiek is het positief dat medewerkers kansen zien en met AI aan de slag gaan. Eerste duiding is dat medewerkers het hebben gebruikt om de gemeentelijke taken en dienstverlening aan de inwoners te verbeteren", aldus burgemeester Jeroen Dijsselbloem in een brief aan de gemeenteraad over onder andere de reden waarom ambtenaren gebruikmaakten van openbare AI-diensten.
en 8)7 :
Volgens door ons geraadpleegde experts is het risico beperkt in vergelijking met bijvoorbeeld een datalek waarbij gegevens zijn gestolen. Individuele gegevens die zijn geüpload in een AI-tool kunnen niet eenvoudig door derden uit de tool worden gehaald en worden misbruikt.

[Reactie gewijzigd door HakanX op 19 december 2025 12:38]

Reageer
watercoolertje @HakanX19 december 2025 12:52
Daar wordt enkel de intentie van de ambtenaren verdedigend en niet de actie zelf.

Is het dan volgens jou negatief dat mensen efficienter willen werken? Los van de uitvoering hoe je dat doet (die kan inderdaad verkeerd zijn)...

[Reactie gewijzigd door watercoolertje op 19 december 2025 12:53]

Reageer
HakanX @watercoolertje19 december 2025 13:01
Is het dan volgens jou negatief dat mensen efficienter willen werken?
Je weet dat niemand hier negatief op kan antwoorden.
Los van de uitvoering hoe je dat doet (die kan inderdaad verkeerd zijn)...
Het gaat juist om de uitvoering. We mogen van de overheid verwachten dat ze beter moeten weten op dit vlak. Lukraak bestanden vol burgergegevens uploaden naar random externe websites, denk niet dat ze dat hebben geleerd op hun AVG training.
Reageer
DdeM @HakanX19 december 2025 13:32
Oh ik kan er wel negatief op antwoorden hoor, wordt namelijk tijd dat we als maatschappij eens leren dat effectief werken blangrijker is dan efficiënt werken. Of zoals het Agile Manifesto het omschreef "Simplicity--the art of maximizing the amount
of work not done--is essential.". Dat geldt uiteindelijk niet alleen voor software, maar voor alles wat we doen.

[Reactie gewijzigd door DdeM op 19 december 2025 13:32]

Reageer
Sandor_Clegane @HakanX19 december 2025 13:17
De medewerker was toen net wat grieperig tijdens die training.
Reageer
watercoolertje @HakanX19 december 2025 13:22
Het gaat juist om de uitvoering.
Niet in de door jezelf gequote uitspraak, en daar reageer ik toch specifiek op 8)7

Ik zal het maar herhalen want blijkbaar lees je zelf niet wat je quote, dan moet ik het maar quoten, het stukje wat belangrijk is is dik, schuin EN onderstreept, misschien lees je het dan wel:
Het gebruik van AI biedt mogelijkheden ons werk efficiënter te doen. Vanuit die optiek is het positief dat medewerkers kansen zien en met AI aan de slag gaan.

[Reactie gewijzigd door watercoolertje op 19 december 2025 13:46]

Reageer
Rovig @watercoolertje19 december 2025 13:20
Is het dan volgens jou negatief dat mensen efficienter willen werken?
Ja, wel als dit tegen de regels is.
Ander voorbeeld: valbeveiliging aantrekken bij werken op hoogte kost ook tijd. Het is veel efficiënter om het niet te doen. Maar niet meer doen dus voortaan?

[Reactie gewijzigd door Rovig op 19 december 2025 13:22]

Reageer
The Zep Man
@watercoolertje19 december 2025 13:05
"Daar wordt enkel de intentie van de ambtenaren verdedigend en niet de actie zelf."

"Ik reed roekeloos en veroorzaakte een ongeluk, maar had goede intenties!"
Is het dan volgens jou negatief dat mensen efficienter willen werken?
Vervang "gemeente" nu eens met "bank" of "verzekeraar". Bij die partijen rollen hoofden wanneer dit soort fouten op deze schaal worden gemaakt, zeker wanneer het niet aan de toezichthouder te verantwoorden is, mogelijk zelfs met aangifte en strafrechtelijke vervolging bij nalatigheid.

Waarom worden financiële instellingen beter gereguleerd dan de overheid?

[Reactie gewijzigd door The Zep Man op 19 december 2025 13:12]

Reageer
watercoolertje @The Zep Man19 december 2025 13:25
"Ik reed roekeloos en veroorzaakte een ongeluk, maar had goede intenties!"
Ik maak een opmerking dat de geplaatste quote geen goedkeuring geeft aan de actie maar enkel aan de intentie! Niemand zegt dat er geen consequenties hoeven te zijn verder.
Bij die partijen rollen hoofden wanneer dit soort fouten op deze schaal worden gemaakt
En dat mag hier ook gewoon gebeuren, punt is toch niet dat het een vrijbrief is verder. Maar dat die quote enkel zegt dat hij positief is over het willen verbeteren van het proces...

[Reactie gewijzigd door watercoolertje op 19 december 2025 13:42]

Reageer
Lord Anubis @watercoolertje19 december 2025 18:42
klopt. Maar dan zou het netter lijken als hij er een aanvulling bij had laten plaatsen of geven van dat er wel iets mis was met de uitvoering.

[Reactie gewijzigd door Lord Anubis op 19 december 2025 18:44]

Reageer
DdeM @HakanX19 december 2025 13:26
Wordt een tijd dat we leren dat effectief werken misschien wel belangrijker is dan efficiënt werken, hebben we ook minder tools nodig die weer meer risico's met zich meebrengen.
Reageer
Sandor_Clegane @HakanX19 december 2025 13:11
Ah het efficiëntie mantra........

Geweldig ook, we gaan ten onder aan dit geneuzel.
Reageer
thunder7 @GrooV19 december 2025 11:50
Ik denk dat je de omvang van gemeentelijke software overschat.

Stel, de gemeenteraad besluit dat bij een bouwproject, na herrie in het lokale krantje, ook een aantal verder weg wonende inwoners een brief moeten krijgen. De wethouder zegt tegen de ambtenaren 'regel dat'. Dan heb je dus de behoefte aan een lijstje met NAW-gegevens en iets waar je kan bijhouden wie die brief al dan niet gehad heeft. Hoe doe je dat als ambtenaar zonder Excel? In Word? Dat maakt het niet beter.

Of start je dan een verbetertraject voor je gemeentelijke software? Dan komt de volgende vraag 'deze categorie inwoners een bijdrage voor de wasmachine' of 'deze categorie inwoners niet meer jaarlijks vragen om de parkeervergunning te verlengen' of wat dan ook.


Uiteraard is 'hey ChatGPT, stuur alle mensen uit deze Excel een mooie brief over dit bouwproject' niet de bedoeling, maar Excel verbieden voor persoonsgegevens lijkt me ook niet realistisch.
Reageer
walteij @thunder719 december 2025 12:01
Natuurlijk is excel niet nodig om te bepalen welke burgers in een straal van zoveel meter om een project een brief moeten krijgen. Dat zijn gegevens die je redelijk eenvoudig uit een GBA (eventueel in combinatie met kadaster data) kunt opvragen.
Niks exporteren naar excel en dan een mail merge doen, gewoon de brief opstellen in het CRM pakket, en vanuit daar met de juiste opgevraagde gegevens de brief laten maken. Waarom denk je dat al die CRM pakketten tegenwoordig zo bulky zijn, juist omdat ze dit soort dingen moeten kunnen doen.

Excel gebruiken om brieven te versturen is een oplossing die in 2003 misschien nog gebruikelijk was, maar tegenwoordig nergens meer voor nodig is. En hetzelfde met je andere voorbeeld. Je administratie moet die zoekvoorwaarden kunnen vervullen en van daaruit de mailing ook versturen.
Ieder beetje data-driven organisatie moet hiermee om kunnen gaan zonder ook maar in de buurt van Excel te komen.

[Reactie gewijzigd door walteij op 19 december 2025 12:05]

Reageer
demianmonteverd @thunder719 december 2025 12:03
Ze hebben copilot als ik het stuk goed begrijp. Bovendien kun je zelfs nog de brief laten opstellen a.d.h.v. een prompt en daarna je mailmerge doen. En, als kerst op de taart, deze gemeente lag al onder een verscherpt toezicht in het recente verleden. Dit is gewoon slecht te noemen.
Reageer
Zoop @thunder719 december 2025 12:27
Met je "regel dat" vertaald dat in dit geval wel naar "flans maar wat in elkaar".

Zoals @thunder7 aangeeft, daar is gewoon software voor, en die hebben ze vast ook heus wel in gemeente eindhoven. Op het moment dat je zelf ergens NAW gegevens aan het bijhouden bent in een bestand buiten het systeem, zit je al overduidelijk verkeerd. En kan dus makkelijk zonder excel, sterker nog, buitenom financiële overzichten, denk ik dat zo'n ambtenaar juist nog weinig te zoeken heeft in excel.

Hier is wat jaartjes terug best wat heisa over geweest met AVG/GDPR, het kan echt niet dat je als ambtenaar hier niet bewust van bent. Want als jij persoonsgegevens in excel verwerkt, dan dient dat in je privacy statement te staan, hoe en wat je met de data doet. En op het moment dat je daar dus moet uitleggen dat een ambtenaar het soms in een excelletje zal kan gaan zetten, moet je toch achter je oren krabben of dit wel de manier is. Maar verplicht ben je! Om dit te melden.
Reageer
mjtdevries @Zoop19 december 2025 15:38
Nee, je hoeft in het privacy statement niet te vertellen dat je met Excel werkt.
Je moet vertellen welke persoonsgegevens verwerkt en voor welk doel. Je hoeft niet te vertellen met welke software je dat doet want dat is totaal niet van belang.
Reageer
moimeme @mjtdevries19 december 2025 22:42
Inderdaad, niet in de privacy statement, maar intern wel.

Volgend de AVG/GDPR moet je bijhouden welke gegevens er zijn en waar.
Reageer
The Zep Man
@thunder719 december 2025 13:07
Ik denk dat je de omvang van gemeentelijke software overschat.
Ik denk dat jij de complexiteit overschat.

Als je in een voorbeeldfunctie als ambtenaar het werk niet binnen wet- en regelgeving kan uitvoeren, dan voer je het niet uit. Er zijn voldoende vormen van bescherming tegen opdrachten van hogere niveaus die tegen wet- en regelgeving ingaan, zeker voor ambtenaren.

[Reactie gewijzigd door The Zep Man op 19 december 2025 13:08]

Reageer
moimeme @The Zep Man19 december 2025 22:44
Vertel dat aan de amsterdamse ombudsman.
Reageer
mjtdevries @GrooV19 december 2025 15:18
Dit heeft geen zier te maken met Excel.
Waarom haal je dat er bij en leid je daarmee de aandacht af van waar het werkelijk om gaat?
Reageer
GrooV @mjtdevries19 december 2025 15:55
Omdat je door het gebruik van Excel je een bron systeem hebt waar je heel eenvoudig gegevens kan uitdraaien, zodra gegevens het systeem hebben verlaten heb je er geen controle meer op en kan het dus voor alles gebruikt worden, en ook zoiets als dit.

Dus Excel is het probleem niet, het probleem is dat er een manier van werken is ontstaan waar zo hup alle gegevens uit het systeem gehaald worden, daarna lekker verder gewerkt wordt in Excel en dan nog even naar ChatGPT geupload worden.

Zorg voor een goed systeem waarbij de gegevens het systeem niet kunnen verlaten en dat ook niet nodig is
Reageer
mjtdevries @GrooV19 december 2025 16:22
Dat geldt voor elk stuk software. Dus waarom dan over Excel beginnen?
En er is niet eens een indicatie dat er spreadsheet zijn geupload. Als je kijkt naar het soort documenten dat is geupload, dan zou je moeten gaan klagen over Word en Acrobat.

Het is leuk om een fantasie systeem in gedachten te hebben waarbij alle handelingen die er maar denkbaar zijn bij de gemeente in dat systeem gedaan worden zonder dat iemand ooit de optie heeft om een export te maken of een copy/paste. Maar dat is een illusie.

En prima, als je vind dat zo'n systeem zou moeten bestaan. Maar heb het daar dan over, en niet over Excel, want dat vertroebelt de discussie alleen maar.
Reageer
Henk1827 @lenwar19 december 2025 11:46
De drempel is ook zo laag om even iets in ChatGPT te zetten. De site is gewoon beschikbaar voor alle medewerkers. Plus dat de meeste mensen geen idee hebben van de consequenties. Recipe voor disaster.
Reageer
Whaa @Henk182719 december 2025 11:50
En daar gaat het al mis, de site is beschikbaar... Op het netwerk zou dit niet beschikbaar moeten zijn.
Reageer
NoepZor @Whaa19 december 2025 11:58
Ik denk dat bewustzijn kweken beter is dan tools afsluiten. Vaak zie je dat internettoegang gewoon mogelijk is op niet essentiële systemen. Als je ChatGPT blokkeert zoekt men vanzelf een niet geblokkeerd alternatief (kat en muis spel). Het is dan beter om een goed bewustzijn te creeëren van wat privacygevoelige gegevens en documenten zijn en wat de gevolgen kunnen zijn.

Bij ons in de organisatie wordt hier vanuit de overkoepelende maatschappij veel nadruk op gelegd. Ook hebben wij de beschikking tot custom AI implementaties van bijv. ChatGTP en Gemini met een hogere privacystandaard. Dat draagt naar mijn mening in de huidige tijd in combinatie met genoemde bewustzijn tot meer effect dan blokkeren.
Reageer
Jerie @NoepZor19 december 2025 13:00
Die hogere privacystandaard heb je al wanneer je API access hebt. Daar betaal je dan voor met tokens. Als het gratis is, ben je onderdeel van het product. In dit geval de trainingsdata. Net zoals met tracking, overzien mensen de gevolgen niet. Een ambtenaar moet dan, in dienst van de samenleving, het zekere voor het onzekere nemen.

Daarnaast doet Mistral niet onder voor ChatGPT. De verschillen zijn klein. Sterker nog, de weights van Mistral zijn open, en het valt juridisch niet onder een overheid die het belang van onze Staat wil schaden.

Het meest verstandige is dan ook Mistral on-prem te draaien. Je kunt het dan zelfs toegang tot het internet ontzeggen (airgap). Je zou kunnen zeggen die GPUs die ik dan lokaal moet draaien weegt niet op qua kosten tegen de baten (het risico). Zeker voor een kleine organisatie het geval. Dan kun je de boel in een DC in NL draaien, gezien de data bijvoorbeeld daar ook wordt gehost. Uiteindelijk vallen die NL DCs van Amerikaanse big tech onder Amerikaanse wetgeving (CLOUD act) en dat moet je op de lange duur niet willen.

Overigens weet ik niet of gemeenten al zo'n airgapped LAN hebben. Ik weet dat bepaalde overheidsinstellingen dat wel hebben (dankzij het netwerk van Defensie). Misschien kunnen zij dit centraliseren en aan gemeenten beschikbaar stellen? Het gaat dan immers beter schalen.
Reageer
TimoDimo @Jerie19 december 2025 14:51
Is dat on-prem draaien nou echt nodig? Kunnen we een LLM die binnen de infrastructuur van big tech draait en via een privégebruik-API (in de zin van dat de prompts privé blijven) echt niet vertrouwen? Die CLOUD Act, die geldt hier toch niet? Hier geldt alleen EU-wetgeving en daar moeten alle partijen zich aan houden.

En als je dan toch een on-prem LLM wilt, is zo'n air-gap dan vereist? Een LLM gaat niet op eigen houtje het internet op, mits je geen agent hebt die dat doet. Dat geldt eigenlijk ook voor een API, die gebruikt ook alleen het model en als je daar geen functionaliteit omheen bouwt die al je gegevens naar het internet stuurt blijft het gewoon veilig.

Ik kan me voorstellen dat voor andere toepassingen zo'n air-gap wel goed is zoals bij defensie inderdaad. Maar de meeste overheidsinstellingen, waaronder (grotere) gemeenten hebben gewoon een intranet dat verbonden is met het internet. Dat moet ook wel, vanwege de softwaresystemen die met externe partijen moeten communiceren.
Reageer
mbbs1024 @TimoDimo19 december 2025 15:35
Ik lees toch regelmatig dat alle Amerikaanse bedrijven zich aan de Amerikaanse wet moeten houden, en dat ze op bevel van de Amerikaanse overheid, in het geheim, data moeten overdragen, om het even waar die data zich bevindt.
Er is op dat vlak een tegenstelling van wetgevingen waaraan die bedrijven zich moeten houden.
Aan de ene kant de Amerikaanse die hun verplicht om stiekem die data over te dragen, en de Europese die hen dat verbiedt.
Je kan dus niet zomaar stellen dat onze data veilig is als die gehost wordt in de EU, bij VS bedrijven.
Dat is ook de reden dat die data overdrachts wetgeving tussen VS en EU telkens door de rechter vernietigt wordt, waarna de politiek er een paar punten en comma's aan wijzigt, en privacy organisaties weer een nieuwe rechtszaak moeten aanspannen die jaren duurt.
Reageer
Jerie @TimoDimo19 december 2025 15:05
Ik vind dat je er serieus over na moet denken.

De CLOUD act geldt voor alle bedrijven die onder de VS vallen, en dat zijn ook moedermaatschappijen.
Een LLM gaat niet op eigen houtje het internet op, mits
Ja, mits dit, of dat. Het gevaar is dat een ambtenaar dat (goedschiks) wel doet. En dan? Dat kun je dus tegenhouden.

Het is uiteindelijk een kosten-baten analyse. Voor een bedrijf als ASML is het simpel: dat is het waard. Voor een gemeente kan ik mij voorstellen dat dat lastiger is. Die kopen of huren ook niet zo even een zooitje GPUs. Dat is een flinke hap in het budget, helemaal voor een (hypothetische) kleine gemeente.

Of dat echt nodig is laat ik graag aan de FG/DPO van in dit geval de gemeente Eindhoven.
Reageer
TimoDimo @Jerie19 december 2025 15:25
Inderdaad, het blijft belangrijk om alles te blijven afwegen. Het juridische lijkt me iets wat sowieso eerst helder moet zijn. Dan daartegen afwegen wat er technisch nodig is, met als onderdeel daarvan ook het informeren van gebruikers, dus wat wel en niet mag. En daar is dan weer een afweging nodig tussen het wel of niet blokkeren van systemen.

Van het juridische weet ik te weinig af, maar als dat niet duidelijk is (ik lees op Wikipedia dat de CLOUD Act botst met de AVG/GDPR) dan moeten we gewoon voorzichtig zijn inderdaad.

Toch blijft on-prem lastig, want zoals je zegt zijn die GPU's nou niet bepaald goedkoop. Dus dat moet je denk ik toch in een wat groter verband organiseren, zodat er voldoende benut wordt van wat je on-prem installeert. Of een tussenvorm, een eigen GPU binnen de cloud van big tech, die makkelijk op- en afschaalt? Of zit je dan nog steeds met die CLOUD Act?
Reageer
Jerie @TimoDimo19 december 2025 16:36
Of een tussenvorm, een eigen GPU binnen de cloud van big tech, die makkelijk op- en afschaalt?
Dat lijkt mij in vergelijking met niet inloggen of per API een kleine verbetering maar ook dan zit je nog steeds met de CLOUD act.

Ik wijs je graag op mbbs1024 in 'Gemeente Eindhoven stuurde persoonsgegevens naar openbare AI-tools' en de juridische strijd van Max Schrems (de zaak Schrems I over International Safe Harbor Privacy Principles or Safe Harbour Privacy Principles en de zaak Schrems II over EU–US Privacy Shield)
Reageer
Ruuuuuubje @NoepZor19 december 2025 12:58
Maar als chatgpt niet beschikbaar is, en de andere logische alternatieven, creëert dat direct bewustwording. O, ik mag niet op chatGPT? Waarom niet... nadenken... En dat willen we toch allemaal, dat er over redenen waarom niet wordt nagedacht?
Reageer
pordkert @NoepZor19 december 2025 13:14
Als je ChatGPT blokkeert zoekt men vanzelf een niet geblokkeerd alternatief (kat en muis spel).
Dan draai je het toch om? Je blokkeert alles, maar staat alleen verkeer toe naar bepaalde urls. Dan kom je ook niet uit op nog waziger alternatieven. Bij mijn huidige werkgever werken ze op deze wijze. Soms irritant maar het houdt veel ongewenst verkeer tegen. Wanneer je een site gewhitelist wilt hebben omdat je het nodig denkt te hebben voor je werkzaamheden kan je hier een verzoek voor indienen.

Al is bewustzijn creëren altijd het belangrijkste. Toch blijkt niet iedereen het te kunnen.

[Reactie gewijzigd door pordkert op 19 december 2025 13:15]

Reageer
Nico Klus @NoepZor19 december 2025 13:44
Ik denk dat je beide moet doen. Bewustzijn kweken, uitleggen waarom iets niet mag en afsluiten.

Nu is er toch vaak de mentaliteit 'het is niet verboden dus het mag', of 'je wordt niet betaald om na te denken, maar om uit te voeren'.
Reageer
mhnl1979 @Whaa19 december 2025 12:08
Kom op. Dit is gewoon stomweg niet nadenken over wat je doet en wat de gevolgen zijn.
Als je niet kunt overzien wat de gevolgen zijn, niet doen. De AP zegt dat de kans klein is dat het in handen van onbevoegden komt. Echt. Ze zíjn! al in handen van onbevoegden. Dit icm de eerdere berichten dat zoekopdrachten openbaar waren op dat moment, maakt het allemaal nog idioter.
Het AP heeft me zo'n opmerking ook wel een bord voor de kop.
Reageer
mjtdevries @mhnl197919 december 2025 16:27
Heb je ook de moeite genomen om te kijken of de AP dat wel daadwerkelijk heeft gezegd?
In de link naar het artikel bij de AP kan ik dat namelijk niet vinden.
Het lijkt een zeer vrije (onjuiste) vertaling van de Tweakers redactie over wat de AP er van vindt.
Reageer
SunnieNL @Whaa19 december 2025 12:18
En waar vind je een complete lijst met alle AI domeinen zodat je ze kan blokkeren?

Het is gewoon zorgen dat de ambtenaren weten welke ze wel mogen gebruiken en waar ze op moeten letten. Wij zijn in het bedrijf bijvoorbeeld getraind en weten dat wij enkel copilot mogen gebruiken in de afgeschermde ruimte van het bedrijf (groen schildje voor enterprise data protection). En dan nog geldt dat je daar geen klantdata in mag zetten of gevoelige bedrijfsdata (dat laatste blokkeert de DRM gelijk als je het probeert en de documenten zijn getagged met internal).

Overigens is dat laatste natuurlijk ook regel 1 bij het gaan gebruiken van AI. Zorg ervoor dat je documenten allemaal geclassifieerd zijn. Geen classificatie = internal. En zorg ervoor dat je een DRM pakket hebt die dit gaat monitoren. Dan voorkom je sowieso al dat deze data wordt geupload en hoef je de AI's ook niet te blokkeren.

[Reactie gewijzigd door SunnieNL op 19 december 2025 12:21]

Reageer
tehip @SunnieNL19 december 2025 13:13
En waar vind je een complete lijst met alle AI domeinen zodat je ze kan blokkeren?
Proactief lijkt me dit inderdaad erg lastig. Reactief kun je bijvoorbeeld op basis van het dataverkeer onderzoeken welke domeinen er door medewerkers worden bezocht, Purview (MS) als ik het goed heb, en blokkeren indien gewenst. In Purview heb je een categorie ' generative AI', dus wellicht is het ook mogelijk om het toch zo in te stellen dat je uitgaat van whitelisting.
Reageer
mjtdevries @SunnieNL19 december 2025 16:29
En waar vind je een complete lijst met alle AI domeinen zodat je ze kan blokkeren?
Bij grote bedrijven en de overheid word meestal gebruik gemaakt van data-loss-prevention software, waarbij de software maker dat werk voor je doet. Dan hoef je alleen te configureren dat je alle AI domeinen wilt blokkeren met eventueel een paar uitzonderingen. En de lijst word dan door de software maker up-to-date gehouden.
Reageer
Zoop @Whaa19 december 2025 12:20
En dan neemt iemand zijn werk mee naar huis waar hij die restricties niet heeft. Uiteraard horen die gegevens het kantoor niet eens te verlaten, maar het gebeurd wel. Ik denk niet dat je veel opschiet met blokkeren, want ChatGPT is ook niet de enige, zo zo zijn er nog tig andere, geen doen om dat allemaal proberen af te vangen. Mensen die er mee werken dienen gewoon verantwoording te dragen, zeker een ambtenaar zou beter moeten weten.
Reageer
wiseger @Zoop19 december 2025 13:12
Als het mogelijk is voor ambtenaren om werk mee naar huis te nemen dan is het qua beveiliging goed mis. Dan heeft de gemeente geen enkele controle meer om het uitlekken van gegevens te voorkomen.

Bij bedrijven die met gevoelige gegevens werken, zijn dit soort zaken allang compleet dichtgezet. Gegevens kunnen dan het bedrijfsnetwerk niet verlaten. Vanuit huis werk je gewoon op de bedrijfssystemen.
Reageer
Zoop @wiseger19 december 2025 13:47
"kunnen dan het bedrijfsnetwerk niet verlaten" tenzij iemand het met de hand overtikt op zijn mobiel of iets dergelijks. Dit zijn alleen lapmiddelen, het gaat er om dat de mensen die ermee werken zich hier sterk van bewust zijn. Informatie mee naar huis nemen is echt niet zo moeilijk, ongeacht hoe hard je het dichttimmert, hoeft niks met beveiliging mis te zijn hoor. Waar een wil is, is een weg. Heb nog wel eens iemand foto's zien maken van zijn scherm op kantoor om hier omheen te werken, bijvoorbeeld ... Tegen dat soort idioten werkt geen een veiligheidsmaatregel.
Reageer
wiseger @Zoop19 december 2025 13:53
Er is altijd een grens wat je qua veiligheidsmaatregelen kan doen.

Werk mee naar huis nemen door er een foto van te maken, die thuis over te tikken, dan verder te bewerken om er weer een foto van te maken om die op maandag mee te nemen naar het werk om daar dan weer over te tikken. Ja daar houdt het op. Alleen voorlichting en training werkt daar tegen.

Maar simpele zaken zoals USB poorten dicht en uitgaande emails scannen en eventueel blokkeren indien noodzakelijk, schelen echt al een slok op een borrel.
Reageer
mjtdevries @Zoop19 december 2025 16:33
Dit alleen lapmiddelen noemen is nogal overtrokken.

Als je staatsgeheimen verwerkt dan zijn het overtikken op een mobiel of met een camera een foto van het scherm maken situaties die je moet voorkomen. Daarom dat je in die situaties die informatie alleen kan inzien in een speciale ruimte waarin je geen mobiel of camera bij je mag hebben.

Maar in deze situatie bij de gemeente is dat niet een realistisch scenario. Het kan in theorie, maar dan maak je het de ambtenaar al zo lastig dat de kans minimaal is dat die extra moeite opweegt tegen het gemak van de publieke AI. Dan is het geen lapmiddel, maar een effectief middel.
Reageer
Zoop @mjtdevries19 december 2025 18:04
kijkt naar titel van artikel effectief huh?

Als je angst voor spionnen en uitlekken van staats/bedrijfsgeheimen, sure, dan is al dit hartstikke logisch. Maar persoonsgegevens, dat vereist toch gewoon een fatsoenlijke mindset van de mensen die ermee werken. Dus ja, lapmiddelen. Er zijn altijd wel manieren waarop zulke dingen uitlekken (print het uit, gooi het bij het afval, iemand vind het). Dan kan je wel zoveel mogelijk proberen af te blokken, maar zolang die mindset daar niet in zit (of mensen adequaat er op gestraft worden) vind er iemand altijd wel een gat. Simpelweg, omdat zoals je zelf ook aangeeft, het geen doen is om perfecte beveiliging hierop te hebben.

Alleen wat chatbots online gaan blokken gaat niet helpen zolang mensen niet snappen dat je persoonsgegevens niet zomaar aan een ai moet geven. Ze vinden er altijd wel een die nog niet geblokt was. Dus ja, lapmiddelen.
Reageer
lenwar
@Henk182719 december 2025 13:03
Plus dat de meeste mensen geen idee hebben van de consequenties
Hier komen dus al die verplichte trainingen naar voren. Je bent persoonsgegevens in een dienst op internet aan het zetten. De feitelijke consequenties verschillen per dienst en zijn ook eigenlijk niet relevant. Het gaat om het verkeerde gedrag om het überhaupt te doen.
Reageer
Cybje @lenwar19 december 2025 11:48
Volgens mij moet je voor dit soort specifieke dingen als AI gewoon een beleid hebben in je organisatie en medewerkers goed instrueren dat beleid te volgen. Als werknemers dan bewust dat beleid negeren, dan kan dat een officiële waarschuwing of zelfs ontslag betekenen, zeker als het om zoiets gevoeligs gaat als data en privacy.
Reageer
lenwar
@Cybje19 december 2025 13:06
Volgens mij moet je voor dit soort specifieke dingen als AI gewoon een beleid hebben in je organisatie en medewerkers goed instrueren dat beleid te volgen.
Nee, het maakt niet uit of het een LLM is of een willekeurige andere dienst. Zodra je met persoonsgegevens werkt, moet je gewoon je GBV gebruiken, en als je die niet hebt, of weigert te gebruiken, dan moet je niet met die gegevens werken. Ik weiger overigens te geloven dat die ambtenaren niet van die verplichte trainingen krijgen.
Reageer
Cybje @lenwar19 december 2025 13:16
Voor persoonsgegevens moet je juist duidelijke regels hebben. Je kunt niet van mensen hun gezonde verstand uitgaan, voor iedereen betekent dat weer wat anders. Je moet gewoon duidelijk aangeven welke tools mensen wel en niet mogen gebruiken. Je moet je werknemers toch uiteindelijk ook kunnen instrueren welke tools ze wel mogen gebruiken? Zien ze bijv. OpenAI als veilig, of Microsoft, of alles wat binnen AWS draait? Hebben leveranciers een ISO27001 certificaat? Wat is hun privacy beleid, of beleid bij datalekken? De organisatie hoort dat duidelijk te hebben voor werknemers.

Het lijkt me ook totaal niet auditable. Ik zie het al voor me, komt een auditor met de vraag hoe je ervoor zorgt dat je veilig omgaat met persoonsgegevens. En dan is het antwoord "ja, we vertrouwen op het gezonde verstand van onze medewerkers". Ik mag hopen dat je daar niet mee wegkomt in deze tijd.

[Reactie gewijzigd door Cybje op 19 december 2025 13:17]

Reageer
lenwar
@Cybje19 december 2025 13:27
Zoals ik al schreef, weiger ik te geloven dat die ambtenaren geen trainingen krijgen. Het heeft met trainingen weinig nut om specifieke tools/mechanismen ISO-certificeringen te benoemen. Althans. Als uitputtende zwarte lijst heeft dat geen nut, omdat er iedere paar weken wel weer wat nieuws bij komt.

Nu ging het toevallig om een LLM. De volgende keer gaat om een 'app in LinkedIn' (ik verzin maar wat) of een één of andere (semi-publieke) functie in Teams, enzovoorts. Die trainingen moeten er op gespitst zijn dat je gewoon nergens persoonsgegevens 'dropped', en uiteraard kunnen LLMs of die app in LinkedIn als voorbeelden genomen worden, maar de focus moet liggen op het gedrag, en dat gedrag moet het GBV voeden. Het gedrag moet zijn.

Ik heb hier persoonsgegevens. Ik stop dat in een openbare tool op het internet. Is dat een goed idee. Ik heb hier de naam van een applicatie die we hebben gekocht. ik praat er over op social media. Is dat een goed idee? (enzovoorts)
Reageer
YGDRASSIL @lenwar19 december 2025 13:07
Als je de opdracht krijgt om te checken wie van je inwoners x heeft en niet y maar wel dit en dat gedaan heeft dan zegt je GBV dat als je 4 bestanden aan ChatGPT geeft je snel een prima antwoord kan krijgen. En dat moet ook kunnen qua efficientie als de medewerker bij die data mag. Alleen dan wel graag op een lokale beveiligde AI omgeving.
Reageer
lenwar
@YGDRASSIL19 december 2025 13:11
Ik zeg niet dat ze geen LLMs mogen gebruiken. Ze zouden gek zijn om dat niet te doen, maar wel afgeschermde/expliciet goedgekeurde LLMs. (dus bijvoorbeeld die 'intern gehost' worden, of die geen data loggen/behouden.)

Op het moment dat je met persoonsgegevens werkt moet je dat gewoon in je achterhoofd houden.
Reageer
jbhc @nandervv19 december 2025 15:08
Nee want ambtenaren zijn nooit persoonlijk aansprakelijk.
Reageer
Thijs_Rallye @jbhc19 december 2025 15:19
Het pikmeer arrest is iets wat subiet zou moeten verdwijnen.
Reageer
mhaket @theduke198919 december 2025 13:12
Voor veel mensen is hun computer hetzelfde als hun auto, ze weten hoe je hem moet besturen maar geen idee hoe dat ding intern werkt. Dat geld dus ook voor hoe ChatGPT en dergelijke tools werken. Kortom, je moet mensen continue opleiden en websites blokkeren in het bedrijfsnetwerk waarvan je niet wilt dat die website door je medewerkers gebruikt worden. Ontslaan betekend dat je heeeeel snel met een tekort aan geschoold personeel zit.

Zelfs bij high-tech bedrijven is er minimaal een jaarlijkse training en worden websites actief geblokkeerd. En dan hebben we het over een populatie met een bovengemiddeld IQ.
Reageer
theduke1989 @mhaket19 december 2025 15:22
ze worden getraint staat er om chatgpt te gebruiken.

dit is alsof ik een auto heb en ik daar intern training over krijg, dus ze weten dondersgoed waar ze over praten. Dit gewoon absurd, hoe dom kan je zijn om data en vooral van je burgers te delen met CHATGPT, hoe dom, serieus.

daarom, dit soort taverelen kan je alleen oplossen door mensen te ontslaan, en niet meer die functie te geven.#

op mijn werk heb ik ook genoeg mijn teamleider en manager genegeerd, ik ga geen bullshit dingen uitvoeren waarvan ik weet dit gaat fout, ik heb dar genoeg gedaan, ik moet op het matje komen, maar heb dus wel nu 4x een salarisverhoging gehad ....
Reageer
mhaket @theduke198919 december 2025 15:47
En waarom is dat dom? Omdat jij weet hoe chatgpt werkt en wat de consequenties zijn. Dat weet 99% van de bevolking niet, ook niet als ze een interne training hebben gehad op Co-Pilot. En het is nog maar de vraag of ze getraind zijn in wat ze niet mogen doen, waarschijnlijk zijn ze getraind in het gebruik van Co-Pilot, dat is heel iets anders.
Reageer
mhaket @theduke198919 december 2025 20:16
Je kan wel gaan schreeuwen maar dat maakt je argumenten niet beter. Ik deel veel data met in ons geval Co-Pilot want dat is een van de sterke kanten van een AI agent namelijk dat hij snel grote sets van data kan analyseren dus ik snap wel dat dat gebeurt. Kortom, je vraag waarom mensen data delen met ChatGPT lijkt me eenvoudig te beantwoorden, omdat het handig. Dat dat niet wenselijk is, is iets anders maar daar waren we het wel over eens.
Reageer
Bedge85 19 december 2025 11:42
De Autoriteit Persoonsgegevens ziet dit als een datalek, hoewel de kans klein is dat de gegevens uit deze bestanden in handen komen van onbevoegden.
De data is in handen gekomen van OpenAI. OpenAI is onbevoegd.

OpenAI moet gebruikersdata ook voor onbepaalde tijd bewaren op basis van een bevel van een Amerikaanse rechtbank (linkje). Dit geld ook voor chats die zijn verwijderd. Dit bevel komt uit juni 2025. Ik weet niet of er inmiddels veranderingen in deze zaak is.
Reageer
DdeM @Bedge8519 december 2025 11:50
Daarnaast, als het al gebruikt is bij het trainen van nieuwe modellen dan is de geest al uit de fles, daar kan je niet even wat data uit verwijderen.......
Reageer
kodak
@Bedge8519 december 2025 12:23
Ik lees niet waarop deze stelling in het nieuws over oa de kans precies gebaseerd is. In de bron over de toezichthouder lees ik het ook niet terug.
Reageer
pordkert @Bedge8519 december 2025 12:53
Ja, maar de ingehuurde 'experts'.
Volgens door ons geraadpleegde experts is het risico beperkt in vergelijking met bijvoorbeeld een datalek waarbij gegevens zijn gestolen.
Ik zou zelf het risico zelfs hoger inschatten. De kans is namelijk groot dat de uploads gewoon zijn verwerkt en mogelijk gebruikt kunnen worden in responses die ChatGPT gaat genereren in de toekomst. Wellicht kan je jezelf dan opzoeken aan de hand van zinsneden uit je sollicitatiebrief aan de gemeente.
Reageer
mjtdevries @Bedge8519 december 2025 16:38
De zin
hoewel de kans klein is dat de gegevens uit deze bestanden in handen komen van onbevoegden
lijkt van de Tweakers redactie te komen en niet van de AP.
Ik kan die namelijk niet vinden in het artikel van de AP.
Reageer
Zebby 19 december 2025 11:57
Mensen zijn zo lui geworden, niet te geloven. Ik upload ook wel eens stukken naar een AI voor samenvattingen. Weet je wat ik dan doe? Ik neem de 2-3 minuten de tijd om alle herkenbare data te vervangen, telefoonnummers, namen, weet ik het wat.

Sowieso zijn dit bedrijfsgegevens, geen persoonsgegevens, dus meestal al openbare informatie, maar toch. Doe even alsof je competent bent als volwassene in een baan met enige verantwoordelijkheden...
Reageer
NoTechSupport @Zebby19 december 2025 12:12
Het is populair om af te geven op de luiheid van mensen (en mensen zijn lui), maar dit moet ook gewoon niet kunnen. Zelfs als je de moeite neemt om gegevens te verwijderen ga je onvermijdelijk op een dag vergeten iets te verwijderen en dan heb je alsnog een datalek. Minder serieus, maar toch, ook dat zou niet mogen.
Reageer
bobkosse @Zebby19 december 2025 12:18
Ik vraag me af of je dan echt tijd bespaart met die samenvatting. Als je het hele stuk door moet akkeren om persoongegevens aan te passen, kun je net zo goed het stuk zelf lezen.

Overigens kun je voor samenvattingen ook lokale AI modellen gebruiken. Dan loop je ook geen risico op een datalek, hoef je geen persoonsgegevens te anonimiseren en bespaar je echt tijd!
Reageer
Zebby @bobkosse19 december 2025 14:52
De tijd en kosten om een lokaal AI model neer te zetten is een veelvoud van die minuten. Voor bedrijfsdocumenten is het meestal te doen via een snelle find & replace op bedrijfsnaam, telefoonnummer. Dit is allemaal al data die online beschikbaar is, vind het gewoon netjes om het zo te doen, en de gewoonte is goed om erin te houden.

Dat mensen geen vrije toegang moeten hebben tot de openbare AI diensten lijkt me ook goed, maar probeer die maar eens af te schermen nu.
Reageer
bobkosse @Zebby22 december 2025 22:50
Volgens mij valt de tijd wel mee om een eigen lokale model neer te zetten. Kwestie van een paar pakketjes installeren. Kijk maar een naar tools als GPT4ALL.
Reageer
bwerg @Zebby19 december 2025 12:37
Ik upload ook wel eens stukken naar een AI voor samenvattingen. Weet je wat ik dan doe? Ik neem de 2-3 minuten de tijd om alle herkenbare data te vervangen
Of je zorgt ervoor dat je een implementatie gebruikt die de gegevens niet gebruikt om een algemeen beschikbare LLM te trainen, natuurlijk... dat lijkt me een stuk veiliger. Ja, dat kost je werkgever misschien wat. Maar de tijd en het risico van het met de hand weglakken van informatie kost ook geld.
Reageer
FrostyPeet 19 december 2025 11:44
Het ergste van dit soort zaken is dat "niemand" verantwoordelijk is. Iedereen wijst weer naar elkaar. Dan volgtt het ingestudeerde PR script, wat meer procedures of (tijdelijke) supervisie. Misschien dat er nog ergens een zondebok gevonden wordt, een of andere arme admin die zwaar overwerkt de boel aan de gang tracht te houden. Als er al een boete komt is het voor de "gemeente" dus voor de inwoners die dat mogen betalen middels belastingen. Want de managers/bestuurders gaan geen cent inleveren.
Reageer
Yordi- @FrostyPeet19 december 2025 12:24
Wat een kul om die admin maar van enig schuld kwijt te schelden omdat die misschien wel “zwaar overwerkt de boel aan de gang weet te houden”. Als dat je excuus is neem in je in deze tijd ontslag en heb je morgen een andere baan. Gewoon medeverantwoordelijk dus.
Reageer
Z80 @Yordi-19 december 2025 12:53
Een admin voert alleen maar uit wat is opgedragen. als AI door de besluitvorming ergens anders is toegestaan heeft de admin hier part nog deel aan.

lekker makkelijke zondebok zoeken. in plaats van kijken waar het bij het maken en handhaven van beleid is fout gegaan. en daar maatregelen nemen.
Reageer
S.McDuck 19 december 2025 11:46
Daar zit je dan met je awareness trainingen, intranet meldingen, procedures en richtlijnen. Maar dom blijft dom doen. En de burger/klant is elke keer de dupe en vraagt zich af hoe al die linke loetjes en bedirjven aan hun gegevens komen.

[Reactie gewijzigd door S.McDuck op 19 december 2025 11:47]

Reageer
Beeldbuis 19 december 2025 11:51
Ze weten echt niet waar ze mee bezig zijn. Zij zien een handige slimme AI chatbot, andere zien een AI bedrijf die alles hergebruikt voor trainingsdoeleinde van de AI.

Iedereen die daar met persoonsgegevens omgaan zou wat mij betreft een verplichte training moeten krijgen hoe je zorgvuldig met persoonsgegevens omgaat.
Reageer
Dlsruptor 19 december 2025 11:52
Kijk, als ze daar ChatGPT Enterprise hebben dan vind ik het nog steeds niet helemaal prima maar wel een heel stuk beter. Maar ik weet zeker dat ze dit met de gratis variant doen met "learning on data" aan. Want ja... wie weet nou dat dit standaard aan staat?
Reageer
demianmonteverd @Dlsruptor19 december 2025 12:05
In het stuk lijkt de suggestie te worden gedaan dat ze copilot hebben, of dit ten tijde van die uploads ook beschikbaar was gesteld is niet duidelijk voor mij uit het stuk naar voren gekomen.
Reageer
sircampalot 19 december 2025 11:58
"hoewel de kans klein is dat de gegevens uit deze bestanden in handen komen van onbevoegden."

Euhm, die bestanden zijn in handen gekomen van AI diensten, die zijn onbevoegd!
Reageer

Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq