AI en data zijn sterk aan elkaar gekoppeld. Geen data? Geen AI. Slechte of verkeerd gebruikte data? Dan krijg je onbetrouwbare, onveilige of zelfs risicovolle AI. Toch zien we in de praktijk dat veel organisaties enthousiast aan de slag gaan met AI, terwijl één cruciaal fundament ontbreekt: duidelijke data-classificatie. Daar gaan we in dit blog op in. Want zonder te weten wat voor data je hebt, kun je onmogelijk bepalen hoe AI ermee om mag gaan.  

AI-beleid zonder data-classificatie is gokken

Stel je voor. Een werknemer vraagt een AI-tool om een rapport samen te vatten. Handig. Tot blijkt dat het document gevoelige klantinformatie bevatte en is ingevoerd in een publieke AI-dienst. Hoge schade, waar de gebruiker zich waarschijnlijk totaal niet bewust van was. Dit is een voorbeeld van een situatie die ontstaat door onduidelijkheid. Als werknemers niet weten welke data gevoelig zijn en welke niet, nemen ze beslissingen op gevoel. En gevoel is allesbehalve een strategie. Daar komt data-classificatie aan de orde. Het brengt duidelijkheid over welke typen data er binnen de organisatie spelen en hoe je daar zorgvuldig mee om moet gaan. Zeker in combinatie met AI.

Wat is data-classificatie?

Nog even terug naar de basis. Data-classificatie betekent dat je informatie indeelt in categorieën op basis van gevoeligheid en impact. De verdeling kan bijvoorbeeld zijn:

• Openbare data
• Interne data
• Vertrouwelijk data
• Zeer vertrouwelijke data

Belangrijk om te weten is dat data-classificatie niet gaat over techniek, maar over betekenis. Een Excel-bestand is niet per definitie gevoelig. De inhoud ervan bepaalt de classificatie. Dit betekent overigens niet dat het een ingewikkeld ISO-feestje moet worden. Het beste is om vier duidelijke klassen te bepalen die voor iedereen begrijpelijk zijn. Een theoretisch security-model zal nooit gaan spelen onder gebruikers.

De samenwerking tussen data-classificatie en AI-gebruik

Zodra je AI in beeld brengt, wordt data-classificatie ineens heel concreet. Want per dataklasse kan je gerichte AI-afspraken maken:

• Openbare data. Deze data mogen gebruikt worden in vrijwel alle AI-tools;
• Interne data. Dit is alleen toegestaan in goedgekeurde (enterprise) AI-omgevingen;
• Vertrouwelijke data. Dit type data kan worden toegepast op basis van gewaarborgde contractuele en technische afspraken;
• Zeer vertrouwelijke data. In principe is dit niet toegestaan binnen generatieve AI, tenzij het expliciet is goedgekeurd.

Dit soort regels maakt AI-beleid begrijpelijk en toepasbaar voor werknemers. Zij hoeven geen jurist of data scientist te zijn, maar kunnen zelf inschatten wat wél en wat juist niet kan.

Data-classificatie voorkomt Shadow AI

Een actueel probleem is Shadow AI. Dit betekent het gebruik van AI-tools door werknemers, buiten IT en security om. Niet omdat ze regels willen overtreden, maar omdat ze snel resultaat willen en dus gewoon aan de slag gaan. Het is daarom heel belangrijk dat je als organisatie niet alleen meegeeft “gebruik geen publieke AI”, maar aangeeft wat wél toegepast mag worden. Denk aan “voor interne en vertrouwelijke data gebruik je deze goedgekeurde AI-tools”. Maak het concreet en biedt een alternatief. Data-classificatie maakt dit mogelijk. Het verschuift het beleid van verbieden naar richting geven. En dat werkt. Altijd beter dan achteraf brandjes blussen.

Praktisch beginnen

Data-classificatie invoeren hoeft geen meerjarenprogramma te zijn. Sterker nog: hoe makkelijker en sneller, hoe beter. Hoe pak je dit het beste aan? Volg een stappenplan:

1. Definieer 3 tot 4 dataklassen in begrijpelijke taal;
2. Geef per klasse voorbeelden (denk aan: HR-dossier, contracten, marketingteksten);
3. Koppel duidelijke AI-richtlijnen aan elke klasse;
4. Communiceer dit actief (en dus niet alleen via intranet, maar laat het leven).

Bonuspunten als je classificatie zichtbaar maakt in tooling, bijvoorbeeld via labels in Microsoft Purview of documenttemplates. Maar begin bij begrip, niet bij techniek.

AI Act en AVG

Zonder het al te moeilijk te maken: zowel de AVG als de aankomende EU AI Act draaien in de kern om risicobeheersing. Data-classificatie helpt hier dus enorm bij. Als je als organisatie weet welke data persoonsgegevens bevatten en hoe gevoelige die informatie is, kun je:

• Betere risico-inschattingen maken voor AI-toepassingen;
• Sneller bepalen of een use case hoog risico is;
• Aantonen dat je ‘due diligence’ toepast. Dat is onderzoek naar de risico’s en kansen van je organisatie.

Conclusie

AI-beleid zonder data-classificatie is als iets doen zonder regels en richtlijnen. Het gaat misschien even goed, tot het misgaat. Door data te classificeren, leg je een goede basis voor verantwoord AI-gebruik. Je helpt werknemers om betere keuzes te maken, het voorkomt Shadow AI en je organisatie is beter voorbereid op relevante wetgevingen als de AI Act.

Meer weten over een goed AI-beleid of behoefte aan een AI-engineer die meekijkt naar jouw huidige beleid en de toepassing van AI binnen je organisatie? We kunnen altijd een keer vrijblijvend om tafel. Neem contact met ons op of plan zelf iets in met Dirk.