Met de AI-aangedreven notitie-app Granola kan iedereen met een link standaard gebruikersnotities bekijken, wat aanzienlijke privacyproblemen met zich meebrengt. Het platform, dat op de markt wordt gebracht als een hulpmiddel voor het vastleggen van audio van vergaderingen en het genereren van AI-samenvattende aantekeningen, onthult potentieel gevoelige informatie, tenzij gebruikers hun privacy-instellingen handmatig aanpassen.
Standaard openbare toegang
In de instellingen van Granola staat duidelijk dat notities “voor iedereen met de link zichtbaar zijn”. Dit betekent dat individuen zelfs zonder account toegang hebben tot notities als een link wordt gedeeld of gelekt, wat een groot veiligheidsrisico met zich meebrengt voor vertrouwelijke vergaderingen. Testen bevestigen dat notities toegankelijk zijn vanuit een privé browservenster zonder in te loggen, waardoor zowel de inhoud van de notitie als de aanmaakdetails zichtbaar worden.
Beperkte toegang tot transcripties
Hoewel volledige transcripties alleen toegankelijk zijn voor bijdragers binnen de Granola-app, zijn gedeeltelijke transcriptiefragmenten zichtbaar via de notities met opsommingstekens. Als u een notitiepunt selecteert, worden overeenkomstige citaten en door AI gegenereerde samenvattingen weergegeven, die extra context uit het gesprek bieden. De mate van toegang voor gebruikers met een Granola-account is onduidelijk, omdat het bedrijf niet duidelijk heeft gemaakt of alle accounthouders transcripties kunnen bekijken.
Gegevensgebruik voor AI-training
Granola behoudt zich het recht voor om geanonimiseerde gebruikersgegevens te gebruiken om zijn AI-modellen te verbeteren, tenzij dit expliciet is uitgeschakeld in de instellingen. Enterprise-klanten zijn standaard uitgesloten van AI-training, maar alle andere gebruikers blijven aangemeld. Het uitschakelen van deze functie vereist handmatige aanpassing in de instellingen van de app. Het bedrijf beweert dat externe AI-providers zoals OpenAI of Anthropic geen toegang hebben tot gebruikersgegevens als deze instelling is uitgeschakeld.
Beveiligingsmaatregelen en opslag
Granola slaat notities op in een privécloud van Amazon Web Services, met encryptie in rust en onderweg. Het bedrijf beweert dat het geen audio-opnamen bewaart, maar alleen aantekeningen en transcripties opslaat voor verwerking in de cloud. Ondanks deze maatregelen blijft de standaardinstelling voor een openbare link een kritieke kwetsbaarheid.
Om uw Granola-notities te beveiligen, moeten gebruikers naar het instellingenmenu navigeren (profiel > Instellingen > Standaard delen van links) en de instelling wijzigen van ‘Iedereen met de link’ in ‘Alleen mijn bedrijf’ of ‘Privé’. Als u notities verwijdert, wordt ook de toegang voor mensen met links verwijderd.
Het incident benadrukt een bredere trend waarbij AI-tools prioriteit geven aan gebruiksgemak boven standaardprivacy. Gebruikers moeten instellingen actief beheren om onbedoelde gegevensblootstelling te voorkomen, en bedrijven moeten standaard prioriteit geven aan transparantie en beveiliging.
