Gemeente Eindhoven kwam recent in het nieuws door een ernstig datalek: medewerkers lekten onbewust persoonsgegevens van inwoners via openbare AI-websites. Dit incident is exemplarisch voor de nieuwe risicoās rond het gebruik van generatieve AI-tools (zoals ChatGPT) op de werkvloer. In deze whitepaper analyseren we wat er misging in Eindhoven en welke lessen hieruit getrokken kunnen worden. We bespreken de risicoās van ongecontroleerd AI-gebruik en laten zien hoe Microsoft 365 Copilot, in combinatie met Microsoft Purview (met functies als Data Loss Prevention, Communication Compliance, Data Security Posture Management en Information Protection), kan helpen om dergelijke datalekken te voorkomen. Doelgroep van dit stuk zijn met name beslissers van middelgrote bedrijven (tot ~300 medewerkers) ā CEOās en IT-managers die vaak zelf de koers uitzetten op IT-gebied. U krijgt inzicht in waarom het gevaar reĆ«el is Ć©n hoe u concreet actie kunt ondernemen om uw bedrijf te beschermen. Uiteindelijk is de boodschap duidelijk: AI biedt enorme kansen, maar zonder de juiste beheersmaatregelen zijn de risicoās te groot. Gelukkig zijn er nu oplossingen beschikbaar om veilig van AI te profiteren ā mits u bereid bent hierin te investeren en eventueel gespecialiseerde hulp in te schakelen. Het incident in Eindhoven: wat ging er mis? Medewerkers van de gemeente Eindhoven hebben in een periode van een maand duizenden documenten met persoonlijke gegevens geĆ¼pload naar openbare AI-platforms. Vermoedelijk probeerden zij gebruik te maken van generatieve AI (zoals ChatGPT) om hun werk te vergemakkelijken, maar daarbij zijn vertrouwelijke persoonsgegevens buiten de beveiligde omgeving van de organisatie terechtgekomen. In eerste instantie bleef dit onopgemerkt. Pas bij een interne steekproef ontdekte men dat er tussen 23 september en 23 oktober 2025 een enorme hoeveelheid potentieel privacygevoelige bestanden naar AI-websites was geĆ¼pload 23 sept ā 23 okt 2025: Datalek ontstaat Medewerkers van de gemeente uploaden in een maand tijd duizenden documenten met persoonsgegevens naar externe AI-tools. Deze gegevens blijven 30 dagen bewaard op de AI-platforms, waardoor het achteraf lastig te achterhalen is om welke personen of data het precies gaat. 23 okt 2025: Ontdekking en eerste maatregelen De gemeente ontdekt het datalek via een steekproef. Er wordt direct een melding gedaan bij de Autoriteit Persoonsgegevens (privacytoezichthouder) en alle openbare AI-websites (zoals ChatGPT) worden per direct geblokkeerd op het gemeentennetwerk. Medewerkers mogen vanaf dat moment alleen nog Microsoft 365 Copilot gebruiken, binnen de eigen beveiligde Microsoft-omgeving. Tevens wordt OpenAI verzocht de geĆ¼ploade data te verwijderen en wordt het toezicht op uitgaand dataverkeer aangescherpt. 19 dec 2025: Openbaarmaking en wake-up call Het incident wordt publiek bekendgemaakt via media. Het gemeentebestuur noemt het lek “heel vervelend” en moeilijk af te bakenen, juist omdat niet duidelijk is welke data zijn gelekt. Brancheorganisaties signaleren dat dit geen opzichzelfstaand geval is, maar onderdeel van een breder probleem: veel organisaties worstelen met hoe ze AI veilig kunnen inzetten. Eindhovenās ervaring zet aan tot scherper nadenken over AI-gebruik en gegevensbescherming. De Eindhoven-case laat zien hoe snel en op grote schaal dingen mis kunnen gaan als er geen duidelijke grenzen of controles zijn bij het gebruik van AI-tools. In dit geval werden getroffen burgers niet individueel geĆÆnformeerd over het lek, omdat simpelweg niet te achterhalen valt welke inwoners het betreft ā de AI-diensten bewaren ingevoerde data slechts kort, en de gemeente had onvoldoende zicht op welke gegevens zijn ingevoerd. Dit betekent dat gevoelige informatie mogelijk toegankelijk is geweest voor derden of voor de AI-leverancier zelf, zonder dat de getroffenen of de gemeente precies weten wat er is uitgelekt. Belangrijk is dat Eindhoven nĆ” ontdekking rigoureuze maatregelen nam: een volledige blokkade van ChatGPT en soortgelijke diensten, en de overstap naar een interne AI-oplossing (Microsoft Copilot) om verdere schade te beperken. Maar eigenlijk kwamen deze stappen te laat ā het kwaad was al geschied. Achteraf moet worden geconcludeerd dat er preventief meer gedaan had kunnen worden om dit te voorkomen. Voordat we ingaan op die preventieve oplossingen, bekijken we eerst hoe breed dit risico speelt en wat de consequenties kunnen zijn. Gemeentes die ChatGPT gebruiken ā 75% van de Nederlandse gemeenten gebruikt ChatGPT, vaak zonder adequaat beleid of richtlijnen. Bedrijven met ChatGPT-verbod 84% van NL-bedrijven overwoog of implementeerde een ban op ChatGPT op werkapparatuur in 2023. AI-gebruik overheid (2024ā2025) 8 ā 81 toename van generatieve AI-toepassingen bij overheidsorganisaties (van 8 in 2024 naar 81 in 2025). Risicoās van ongecontroleerd AI-gebruik op de werkvloer Het datalek in Eindhoven staat helaas niet op zichzelf. Uit bovenstaande cijfers blijkt dat het merendeel van de organisaties al experimenteert met AI ā vaak zonder heldere spelregels. Dit creĆ«ert een gevaarlijke situatie: medewerkers kunnen onbewust bedrijfsgeheimen of persoonsgegevens delen met AI-platformen die buiten de controle van de organisatie vallen. Hieronder zetten we de belangrijkste risicoās op een rij. Samengevat is het risico-dualisme duidelijk: aan de ene kant wil je als organisatie profiteren van de productiviteitswinst die AI kan brengen, aan de andere kant mag dit niet ten koste gaan van security en compliance. Eindhoven gaf onbedoeld het slechte voorbeeld, en veel organisaties zien zich nu geconfronteerd met de vraag hoe dit bij henzelf te voorkomen. In het volgende deel gaan we in op de oplossing: veilige AI implementeren via Microsoftās platform, zodat medewerkers wĆ©l kunnen profiteren van AI-functies maar zonder data in onbeheerde handen te geven. šØ Data is snel “weg” EĆ©n verkeerde prompt kan al leiden tot een datalek. In Eindhoven en bij Samsung gebeurde dit onbedoeld: vertrouwelijke gegevens belandden bij een AI-dienst en waren niet terug te halen. š Privacyrisico en AVG Data in publieke AI kan tegen je werken. Ingevoerde persoonsgegevens kunnen opduiken in antwoorden aan vreemden. Dit schaadt privacy en kan wettelijke consequenties hebben (boetes tot 4% omzet). š Onzichtbaar gebruik Meer dan de helft van de organisaties heeft geen zicht op AI-gebruik door werknemers. Onwetendheid vergroot het risico ā je kunt niet beschermen wat je niet in de gaten hebt. āļø Verbieden of reguleren? Uit angst verbieden veel bedrijven ChatGPT-gebruik. Maar een compleet verbod kan innovatie remmen. Reguleren en veilig faciliteren is de slimmere aanpak: gebruik AI onder eigen voorwaarden. Oplossing deel 1: Veiligere AI met Microsoft 365 Copilot (interne AI-omgeving) Na het
