De dagelijkse blootstellingswiskunde
Onderzoek van Cyberhaven heeft aangetoond dat werknemers in ondernemingen gemiddeld 3.8 gevoelige gegevensplakjes in ChatGPT per gebruiker per dag maken. Voor een klantenserviceteam van 100 personen vertaalt dit cijfer zich naar 380 gevallen van gevoelige gegevens die dagelijks ChatGPT binnenkomen — elk geval kan potentieel een schending van de GDPR-gegevensminimalisatie vormen onder Artikel 5(1)(c), dat vereist dat persoonsgegevens "adequaat, relevant en beperkt tot wat noodzakelijk is."
Het cijfer van 3.8 is geen cijfer voor werknemers die het beleid negeren. Het weerspiegelt gewoonlijk gedrag in de workflow: agents kopiëren klantcorrespondentie om antwoorden op te stellen, plakken klachtteksten om empathische vervolgberichten te genereren, en voegen accountgegevens toe om contextbewuste suggesties te krijgen. Elke plakactie is een legitieme productiviteitsactie die toevallig persoonlijke gegevens bevat. De werknemer heeft niet besloten om klantgegevens bloot te stellen; de blootstelling was een bijproduct van de beslissing om een AI-tool efficiënt te gebruiken.
Een EU-audit van 2024 heeft aangetoond dat 63% van de ChatGPT-gebruikersgegevens persoonlijke identificeerbare informatie bevatte. Slechts 22% van de gebruikers wist dat ze zich konden afmelden voor gegevensverzameling via de instellingen van ChatGPT. De combinatie — de meeste gegevens bevatten PII, de meeste gebruikers zijn zich niet bewust van de controles — produceert systematische dagelijkse blootstelling op grote schaal in elke organisatie die geen technische controles heeft geïmplementeerd.
Waarom het gedrag niet kan worden afgeleerd
De copy-paste workflow is diep geworteld. Gebruikers kopiëren en plakken al tientallen jaren tekst als een fundamentele computerinteractie. De toevoeging van een AI-chatbot als bestemming voor geplakte tekst heeft het onderliggende gedrag niet veranderd; het heeft een gevestigde patroon naar een nieuw doel uitgebreid.
Beleidsopleiding die zegt "plak geen klant-PII in ChatGPT" vereist dat werknemers een classificatiebeslissing invoegen — "bevat deze tekst PII?" — in een gewoonlijke actie die van nature geen pauze omvat. Het effect van de training vervaagt naarmate het gedrag terugkeert naar gewoonte. Elke individuele plakbeslissing is een micro-beslissing met lage inzet; het cumulatieve effect van 380 dagelijkse beslissingen is een systematisch compliance-risico dat beleidsopleiding niet betrouwbaar kan aanpakken.
De technische oplossing opereert op de laag waar gewoonte wordt gevormd: de plakactie zelf. De Chrome-extensie onderschept de inhoud van het klembord op het moment van plakken, voordat de inhoud het invoerveld bereikt. De onderschepping is geen beleidshandhavingbarrière (gebruikers kunnen altijd overschrijven) — het is een transparantietool. De preview-modal toont de werknemer wat is gedetecteerd, waardoor ze een moment van zichtbaarheid krijgen in de classificatiebeslissing voordat ze verder gaan.
Voor de teamleider van de Duitse e-commerceonderneming die antwoorden op klantklachten opstelt: de workflow blijft "kopieer klacht, plak in ChatGPT, genereer antwoord." De Chrome-extensie voegt een intermezzo van 2 seconden toe waarin de agent ziet dat namen, adressen en ordernummers zijn gedetecteerd en zullen worden geanonimiseerd voordat ze worden ingediend. De agent klikt op doorgaan. De workflow gaat verder. De compliance-overtreding vindt niet plaats.
Bronnen: