De Autoriteit Persoonsgegevens (AP) waarschuwt dat kunstmatige intelligentie een vliegwieleffect kan hebben op cybercrime in Nederland. De toezichthouder ziet dat aanvallen sneller, goedkoper en geloofwaardiger worden door generatieve AI. Dat vergroot de kans op datalekken en fraude bij bedrijven en overheden. Dit raakt direct aan de AVG en aan de Europese AI-verordening, met gevolgen voor de overheid en leveranciers op het moment van schrijven.
AI versnelt cyberaanvallen
Generatieve AI verlaagt de drempel voor cybercriminelen. Publieke modellen zoals GPT-4o (OpenAI), Gemini (Google) en Llama 3 (Meta) maken foutloos Nederlandstalige phishingmails en overtuigende teksten. Met dezelfde systemen kun je ook snel informatie over doelen verzamelen en samenvatten. Dat maakt gerichte aanvallen schaalbaar.
AI-codeassistenten helpen bovendien bij het schrijven en aanpassen van schadelijke scripts. Denk aan macro’s voor documentinfecties of tools die inloggegevens stelen. Het gaat niet om onbekende zwaktes vinden, maar wel om sneller misbruik maken van bekende gaten. Daardoor neemt de druk op basisbeveiliging verder toe.
Deepfake-audio en -video maken CEO-fraude geloofwaardiger. Stemklonen en realtime vertaling geven oplichters een menselijk gezicht en geluid. In combinatie met geautomatiseerde chatbots en agenten kunnen criminelen duizenden gepersonaliseerde contacten leggen. De kwaliteit van misleiding stijgt, terwijl de kosten dalen.
Datalekken voeden misbruik
Meer succesvolle aanvallen leveren meer persoonsgegevens op. Die gegevens worden weer gebruikt om nog realistischer phishing en identiteitsfraude te plegen. Zo versterken datadiefstal en AI elkaar. De schade groeit per incident én door het hergebruik van gelekte data.
Het vliegwieleffect: meer datadiefstal levert betere munitie op, wat weer leidt tot slimmere aanvallen en nieuwe datalekken.
De AVG vraagt om dataminimalisatie en versleuteling. Wie minder gevoelige data verzamelt en bewaart, loopt minder risico als het misgaat. Pseudonimisering en korte bewaartermijnen beperken impact. Datalekken moeten snel gemeld worden aan de AP en betrokkenen, met duidelijke uitleg over risico’s.
Organisaties moeten ook letten op hoe medewerkers AI gebruiken. Persoonsgegevens horen niet in publieke chatbots of codehulpen zonder verwerkersafspraken. Stel beleid in voor veilige prompts en voer technische blokkades door waar nodig. Zo voorkom je dat gevoelige data via algoritmen weglekt.
AI-verordening vraagt om toezicht
De Europese AI-verordening (AI Act) werkt met risicoklassen. Hoogrisico-systemen krijgen striktere eisen, zoals risicobeheer, goede data, logging en menselijk toezicht. Algoritmen met een algemeen doel (GPAI) krijgen transparantieplichten. Dit raakt ook leveranciers van generatieve modellen en doorbouwers in de EU.
Voor Nederlandse overheden en hun IT-partners betekent dit meer documentatie en controles. Beschrijf het doel, de dataset, de risico’s en wie ingrijpt als het fout gaat. Dit sluit aan op privacy-by-design en de plicht tot een DPIA (gegevensbeschermingseffectbeoordeling) bij hoog risico. Overtredingen kunnen tot hoge boetes leiden, naast reputatieschade.
NIS2 versterkt intussen de cyberplicht voor vitale en belangrijke organisaties. De EU-deadline voor omzetting in nationale wetgeving is 17 oktober 2024. NIS2 legt nadruk op risicobeheer, incidentmeldingen en ketenverantwoordelijkheid. Samen met de AVG en de AI Act ontstaat een strenger, maar ook duidelijker regelkader.
Impact voor publieke sector
Gemeenten, zorginstellingen en onderwijs verwerken veel gevoelige gegevens. Inzet van generatieve AI in loketdiensten of HR vraagt daarom extra zorg. Voer altijd een DPIA uit en test of resultaten uitlegbaar en veilig zijn. Vermijd het delen van BSN, medische gegevens en strafrechtelijke informatie met externe modellen.
Let op contracten, datalokatie en bewaartermijnen bij AI-diensten. Kies waar mogelijk EU-hosting en sluit verwerkersovereenkomsten die voldoen aan de AVG. Pas dataminimalisatie toe en filter of anonimiseer invoer voordat die naar een model gaat. Voor zeer gevoelige taken kan een lokaal model, zoals Llama 3 of Mistral on-premise, de voorkeur hebben.
Transparantie naar burgers is essentieel. Leg uit wanneer een algoritme meeleest of meeschrijft. Bied een menselijk alternatief en duidelijke bezwaarprocedures. Log beslissingen en bewaar bewijs voor audits en Wob/Woo-verzoeken.
Wat organisaties nu doen
Begin met digitale hygiëne: multi-factorauthenticatie, passkeys en sterke mailbeveiliging (SPF, DKIM, DMARC). Segmenteer netwerken en beperk beheerdersrechten. Train medewerkers op AI-gestuurde phishing en deepfakes met herkenbare voorbeelden. Meet voortgang, bijvoorbeeld via simulaties en incidentstatistiek.
Regel governance voor algoritmen. Maak een register van gebruikte AI-toepassingen, met doel, data en risico’s. Pas security- en privacy-by-design toe in elke stap. Voer red-teaming en testen uit op misbruik, bias en hallucinaties, en leg herstelacties vast.
Bereid je voor op incidenten met AI-componenten. Werk met bel-scripts en callbacks om betaalopdrachten of stemverzoeken te verifiëren. Oefen het datalekproces en test back-ups offline tegen ransomware. Evalueer na elk incident wat AI heeft versneld en hoe je dat remt.
