Of je jouw werk mag ondersteunen met genAI is afhankelijk van de context. Om deze context in te kleuren, behandelen we in de video het rubriceringsniveau, persoonsgegevens, risiconiveaus en overeenkomsten met leveranciers. Hierdoor wordt genAI verantwoord ingezet om dienstverlening te verbeteren.
JOOST DE HAAN, strategisch adviseur algoritmes en AI, ministerie van Justitie en Veiligheid: Wanneer mag je gebruikmaken van een generatieve AI-tool? Generatieve AI biedt grote kansen om onze dienstverlening te versnellen en te verbeteren. Ook om ons werk gewoon prettiger te maken. Maar we kunnen het niet klakkeloos inzetten. Het brengt de nodige risico's met zich mee.
♪ RUSTIGE MUZIEK ♪
[Logo Rijksoverheid. Microlearnings: Starten met AI. Wanneer mag ik gebruikmaken van generatieve AI-tools?]
JOOST: Het kabinet heeft in 2025 nieuwe spelregels bepaald voor het Rijk over hoe en waar we generatieve AI kunnen inzetten. In het kort zegt dit kader: 'Hou je aan de wet, gebruik bestaande kaders rondom bijvoorbeeld privacy en maak duidelijke afspraken met leveranciers op het moment dat je een dienst afneemt.' Dat maakt je heel krachtig, maar tegelijkertijd vraagt het ook meer oplettendheid van jou als gebruiker. Want we kunnen vanuit de IT niet zeggen of jij al jouw werk mag ondersteunen met generatieve AI. Die inschatting is niet op zichzelf te maken. Die is heel erg afhankelijk van de context. In deze video gaan we kort langs de onderwerpen waar je in ieder geval aan moet denken om jouw context wat in te kleuren. Tijdens deze video gaan we het kort hebben over: het rubriceringsniveau van een werkproces, of er wel of niet persoonsgegevens worden verwerkt, of er mogelijk sprake is van een hoogrisico AI-systeem en welke overeenkomsten er zijn gesloten met de leverancier.
Niet alle informatie mag zomaar verwerkt worden in een generatief AI-model. Het is daarbij van belang om te weten wat het rubriceringsniveau is van de informatie die je wilt verwerken, en dat is vaak afhankelijk van het werkproces. Daar willen we tijdens deze video op inzoomen. De Baseline Informatiebeveiliging Overheid, beter bekend als de BIO, geeft ons drie basisbeveiligingsniveaus: BBN1 tot en met 3. En deze niveaus worden gekoppeld aan een bedrijfsproces of een informatiesysteem. Op basis van deze inschatting wordt bepaald welke maatregelen noodzakelijk zijn om de beveiliging van de informatie in dit proces te garanderen. Niet elke tool mag zomaar elk type gerubriceerd gegeven verwerken. Dus hou in je achterhoofd, voordat je een stukje informatie aanbiedt aan een generatieve AI-tool, of dit wel of niet geschikt is en toegestaan is in deze tool. Op het moment dat het rubriceringsniveau voor jou onbekend is, is het goed om deze vraag te stellen aan bijvoorbeeld een security-professional die je hierin kan begeleiden of, nog veel beter, aan de proceseigenaar van het proces waarin jij werkt. Vaak is dit het MT.
Een van de meestgestelde vragen aan ontwikkelaars van generatieve AI-applicaties is: mag ik hier ook persoonsgegevens in verwerken? Voor elke verwerking van persoonsgegevens hebben we een grondslag nodig. En vaak wordt ons de vraag gesteld of tools zoals Robin of VLAM persoonsgegevens mogen verwerken. Die kunnen we eigenlijk vanuit de techniek maar deels beantwoorden. We kunnen enkel zeggen dat er rondom de applicatie voldoende waarborgen zijn getroffen dat persoonsgegevens verwerkt mogen worden. Echter heb jij als persoon voor elke verwerking van een persoonsgegeven wel een grondslag nodig. Dus of jij ook dat specifieke persoonsgegeven mag verwerken in de tool is niet aan mij of aan de technische individuen om te bepalen. Twijfel je? Neem dan contact op met de privacy officer en begin bijvoorbeeld al met een pre-scan DPIA om te bepalen of een latere DPIA mogelijk is. Kies er in de tussentijd voor om informatie eerst te anonimiseren of misschien nog helemaal niet te verwerken in een generatieve AI-tool voordat je hier duidelijkheid over hebt.
De derde vraag die we onszelf hebben te stellen is of er sprake is van een hoogrisico AI-systeem bij het gebruik van een generatief AI-model in jouw werk. De AI-verordening is namelijk een Europees stuk wetgeving dat AI-systemen en de inzet daarvan probeert te controleren en beheersen. De classificatie is sterk afhankelijk van hoe en waar een systeem wordt ingezet. Afhankelijk van de inzet worden extra maatregelen vereist. We kunnen niet op applicatieniveau stellen dat het gaat om een bepaald type systeem. Dit is echt afhankelijk van de context. Voor nu is het belangrijk om te weten dat er een aantal praktijken verboden zijn in de AI Act.
Een andere categorie waar we goed over na moeten denken, is Hoog Risico. Hoog Risico is een classificatie die extra maatregelen triggert, en een overheidsorganisatie kan al gauw in deze categorie vallen op het moment dat ze AI toepassen in hun primaire processen. Als je wil weten of deze classificatie ook voor jou echt relevant is, is het vooral handig om hier een expert bij te bevragen uit jouw organisatie. Of gebruik de 'Beslishulp AI-verordening' uit het Algoritmekader van BZK.
Als laatste wil ik het graag hebben over de overeenkomst die er is getroffen met een leverancier van een AI-tool, specifiek een generatieve AI-tool. We leven namelijk in een tijd waar veel applicaties gebruikmaken van computers elders voor extra rekenkracht. Generatieve AI-applicaties zijn hier geen uitzondering op. Dit betekent dat de verwerking van de gegevens niet op jouw laptop gebeurt of op jouw pc, maar ergens in de cloud. Dat is op zichzelf geen probleem, zolang er maar duidelijkheid is over welke cloud dit is, waar deze cloud staat en wat de cloudleverancier wel en niet mag doen met de gegevens die jij invoert. Zolang hier geen afspraken over zijn gemaakt, kunnen er onwenselijke dingen gebeuren met onze informatie en gegevens, en dat is niet de bedoeling. Dit is ook de reden waarom we het verbieden als Rijksoverheid om gebruik te maken van gratis commerciële tools als ChatGPT of Claude.
Mochten er onduidelijkheden zijn over de inkoopafspraken, rubricering of de grondslag voor het werkproces of de applicatie, ga hier dan vooral achteraan, maar doe dat niet alleen. Betrek hier ook jouw MT bij en de relevante professionals zoals privacy officers, inkoopexperts of IB-experts. En deel ook de analyses en inzichten die jullie opdoen onderling met andere afdelingen of directies, zodat vragen niet onnodig vaak moeten worden beantwoord en dezelfde conclusies worden getrokken in gelijke gevallen. Op deze manier proberen we jullie in ieder geval bewust te maken van het feit dat er eerst afspraken gemaakt moeten worden voordat we aan de slag gaan met verschillende generatieve AI-tools.
♪ RUSTIGE MUZIEK ♪
[Logo Rijksoverheid. Veilig en verantwoord versnellen met AI.]