Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Kan een bedrijf dat voor ISO27001 (en NEN7510) gecertificeerd is, gebruik maken van ChatGPT of vergelijkbare tool voor het schrijven en corrigeren van code? Je kunt met deze tools immers makkelijk bedrijfsgeheimen (zoals broncodes) laten uitlekken. Hoe verhoudt zich dat tot zo'n certificering?
Antwoord: Tools zoals ChatGPT of Copilot van Microsoft zijn momenteel erg populair om snel software mee te schrijven of het ontwikkelproces te versnellen. Maar het zijn externe tools, dus alle data die je erin stopt, gaat naar een bedrijf buiten de organisatie dat er van alles mee kan doen. En dat kan dus zomaar eigen vertrouwelijke en waardevolle software-broncode betreffen bijvoorbeeld.
Bekend (of berucht) is het voorbeeld van Samsung, waar werknemers onder meer eigen broncodes aan ChatGPT gaven om deze op fouten te laten controleren. https://mashable.com/article/samsung-chatgpt-leak-details Ook werden meeting-aantekeningen geupload om er notulen van te laten maken. Hoewel de aanbieder van ChatGPT natuurlijk niet direct die gegevens gaat delen met de pers, is de kans aanwezig dat het systeem er wel op bijgetraind wordt, of dat werknemers bij controle van de uitvoer dit tegenkomen en het (al dan niet onbewust) elders inzetten.
De inzet van zo'n tool is daarmee te zien als een risico voor de beveiliging van informatie, en laat dat nu precies zijn waar standaarden als ISO27001 over gaan: het identificeren en beheersen van zulke risico's. Je zou dus verwachten dat een ISO-certified organisatie op zeker moment dit risico signaleert, en processen introduceert om de gevolgen te mitigeren. Dat zou kunnen zijn het blokkeren van ChatGPT als website, maar ook een awarenesstraining voor medewerkers of het sluiten van nieuwe contracten met de aanbieders van zulke tools.
Het is dus niet zo dat een organisatie die ISO27001 gecertificeerd is, zulke tools niet mag gebruiken. Je organisatie hoeft zeker niet volledig statisch te blijven tot de volgende audit. Het is precies omgekeerd: met zo'n certificering ben je in staat om ook dit risico tijdig te onderkennen en maatregelen te nemen.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.