image

AP waarschuwt voor datalekken door gebruik van AI-chatbots

woensdag 7 augustus 2024, 09:28 door Redactie, 11 reacties

De Autoriteit Persoonsgegevens (AP) heeft de afgelopen tijd meerdere meldingen binnengekregen van datalekken die zijn veroorzaakt door het gebruik van AI-chatbots binnen organisaties. Het gaat dan bijvoorbeeld om gegevens van patiënten en klanten die bij chatbots worden ingevoerd. De privacytoezichthouder adviseert organisaties om afspraken over het gebruik van AI-chatbots te maken.

Volgens de AP gebruiken medewerkers chatbots vaak op eigen initiatief en tegen de afspraken in met de werkgever. "Als daarbij persoonsgegevens zijn ingevoerd, dan is sprake van een datalek. Soms is het gebruik van AI-chatbots onderdeel van het beleid van organisaties: dan is het geen datalek, maar vaak niet wettelijk toegestaan. Organisaties moeten beide situaties voorkomen."

Doordat de meeste bedrijven achter chatbots ingevoerde gegevens opslaan, komen die gegevens daardoor terecht op de servers van deze bedrijven, vaak zonder dat degene die de data invoerde zich dat realiseert. Daarnaast weten gebruikers ook niet precies wat dat bedrijf met de gegevens gaat doen. De persoon van wie de gegevens zijn, zal dat bovendien ook niet weten.

Bij één van de datalekken waarvan de AP een melding kreeg, had een medewerker van een huisartsenpraktijk - tegen de afspraken in - medische gegevens van patiënten ingevoerd in een AI-chatbot. "Medische gegevens zijn zeer gevoelige gegevens en krijgen niet voor niets extra bescherming in de wet. Die gegevens zomaar delen met een techbedrijf is een grote schending van de privacy van de mensen om wie het gaat", merkt de AP op. De toezichthouder ontving ook een melding van een telecombedrijf, waar een medewerker een bestand met onder meer adressen van klanten had ingevoerd in een AI-chatbot.

De Autoriteit Persoonsgegevens stelt dat het belangrijk is dat organisaties met hun medewerkers duidelijke afspraken maken over de inzet van AI-chatbots. Het gaat dan over het gebruik ervan, welke gegevens mogen worden ingevoerd en het mogelijk maken van afspraken met de aanbieder van de chatbot. Wanneer een medewerker toch tegen de afspraken in persoonsgegevens via een chatbot lekt moet dit bij de AP worden gemeld.

Reacties (11)
07-08-2024, 10:09 door Anoniem
Hoe zit het dan met de AI ondersteuning in producten die bv MS levert binnen Window en Teams, Apple in iOS, IBM in Cognos.

Het doel daarbij is om data doorzoekbaar te maken voor de klant/gerbuikers. (weg met al die mappen structuren, zoekt en gij zult vinden is het tegenwoordige mantra)

Maar om die data doorzoekbaar te maken (ook de inhoud), kan zo'n engine ook persoonsdata tegenkomen. Zeker bij bedrijven. En welke garanties zijn er dat die data of kenmerken daarvan, niet bij de leverancier terecht komt, in welke vorm dan ook.

Is het gebruik van alles wat geintegreerd is met AI tools niet al een potentieel datalek? (incl OS-en)
Want is dat echt allemaal zo duidelijk en gedetailleerd (vooraf) afgesproken, en wordt dat ook door de leveranciers echt gedaan.
Vooral omdat Europa en de VS hier al snel verschillend in zitten qua cultuur en wetgeving.
07-08-2024, 10:47 door Anoniem
Gewoon offline AI gebruiken (Jan AI/Alpaca), of op Android (ChatterUI/Maid) via een lichtgewicht model, (4 tot 7B, GGUF bestand niet groter dan het werkgeheugen of VRAM van het desbetreffende apparaat toestaat) het kost alleen wel wat meer batterij op de telefoon.
Voor afbeeldingen zou ik SDAI (Android) gebruiken.
Gebruik voornamelijk FOSS aangezien de broncode transparant is, dan heeft men tenminste een beetje inzage wat er met eventuele gegevens gebeurd, zet er desnoods een firewall op. (Netguard)

Links:

https://jan.ai/
https://flathub.org/apps/com.jeffser.Alpaca
https://github.com/Vali-98/ChatterUI/releases
https://f-droid.org/en/packages/com.shifthackz.aisdv1.app.foss/
https://f-droid.org/en/packages/com.danemadsen.maid/
https://huggingface.co/docs/hub/en/gguf
https://f-droid.org/en/packages/eu.faircode.netguard/
07-08-2024, 11:43 door Anoniem
Door Anoniem: Hoe zit het dan met de AI ondersteuning in producten die bv MS levert binnen Window en Teams, Apple in iOS, IBM in Cognos.

Het doel daarbij is om data doorzoekbaar te maken voor de klant/gerbuikers. (weg met al die mappen structuren, zoekt en gij zult vinden is het tegenwoordige mantra)

Maar om die data doorzoekbaar te maken (ook de inhoud), kan zo'n engine ook persoonsdata tegenkomen. Zeker bij bedrijven. En welke garanties zijn er dat die data of kenmerken daarvan, niet bij de leverancier terecht komt, in welke vorm dan ook.

Is het gebruik van alles wat geïntegreerd is met AI tools niet al een potentieel datalek? (incl OS-en)
Want is dat echt allemaal zo duidelijk en gedetailleerd (vooraf) afgesproken, en wordt dat ook door de leveranciers echt gedaan.
Vooral omdat Europa en de VS hier al snel verschillend in zitten qua cultuur en wetgeving.

Die data komt dan idd bij de leverancier terecht. In theorie hoort de klant/gebruiker een verwerkersovereenkomst met MS of IBM te sluiten waarin staat dat ze de data alleen voor het gevraagde doel mogen verwerken en niet ook nog hun AI verder mogen trainen. In de praktijk zijn er amper organisaties die een onderhandelingspositie hebben waarmee ze een net contract kunnen bedingen, dus is het slikken van de EULA waarin staat dat ze er van alles en nogwat mee mogen doen en dat jij garandeert dat jij toestemming hebt voor alle data die je ze geeft om dat te delen.

Bijkomend probleem is dat het Amerikaanse cloud bedrijven binnenkort door Schrems 3 waarschijnlijk niet meer legaal persoons gegevens kunnen verwerken: https://noyb.eu/en/european-commission-gives-eu-us-data-transfers-third-round-cjeu
07-08-2024, 13:33 door Bitje-scheef
Hoe zit het dan met de AI ondersteuning in producten die bv MS levert binnen Window en Teams, Apple in iOS, IBM in Cognos.

Waardeloos. Zeker die functie die in outlook werkt.
07-08-2024, 16:57 door Anoniem
Door Anoniem: Hoe zit het dan met de AI ondersteuning in producten die bv MS levert binnen Window en Teams, Apple in iOS, IBM in Cognos.

Het doel daarbij is om data doorzoekbaar te maken voor de klant/gerbuikers. (weg met al die mappen structuren, zoekt en gij zult vinden is het tegenwoordige mantra)

Maar om die data doorzoekbaar te maken (ook de inhoud), kan zo'n engine ook persoonsdata tegenkomen. Zeker bij bedrijven. En welke garanties zijn er dat die data of kenmerken daarvan, niet bij de leverancier terecht komt, in welke vorm dan ook.

Is het gebruik van alles wat geintegreerd is met AI tools niet al een potentieel datalek? (incl OS-en)
Want is dat echt allemaal zo duidelijk en gedetailleerd (vooraf) afgesproken, en wordt dat ook door de leveranciers echt gedaan.
Vooral omdat Europa en de VS hier al snel verschillend in zitten qua cultuur en wetgeving.

Op LinkedIn gaat iedereen al los omdat dit stuk door de AP heel ongelukkig is geschreven. Ik denk dat je het meer moet zien als, maak geen gebruik van niet-geautoriseerde applicaties, want de organisatie heeft geen afspraken, dus a) geen idee of de tool AVG-compliant is en b) daarom dat niet kan aantonen en c) er geen verwerkersovereenkomst is. Het is niet erg dat de leverancier persoonsgegevens krijgt, maar wel als je ze carte blanche geeft. Ook is het per definitie niet zo dat er al direct sprake is van een datalek. Dus goed geprobeert van de AP, maar ze maken het zichzelf wel weer lastig.
07-08-2024, 18:20 door Anoniem
Door Bitje-scheef:
Hoe zit het dan met de AI ondersteuning in producten die bv MS levert binnen Window en Teams, Apple in iOS, IBM in Cognos.

Waardeloos. Zeker die functie die in outlook werkt.

Dat was het onderwerp niet.

Zelfs al is het (nu) waardeloos. Het zit er in.
Dus op de achtergrond gebeuren er allemaal dingen door en voor die AI waar je geen zicht op hebt, en gaat er datasets wie weet waarheen.
07-08-2024, 19:11 door Anoniem
Het bericht van de Autoriteit Persoonsgegevens over datalekken door het gebruik van AI-chatbots is zeer relevant en maakt duidelijk dat organisaties zich bewust moeten zijn van de risico's die gepaard gaan met het gebruik van deze technologieën. Hier zijn enkele belangrijke punten van commentaar:

1. **Verantwoordelijkheid van organisaties**: Het is cruciaal dat organisaties een proactieve aanpak hanteren bij het implementeren van AI-chatbots. Dit betekent niet alleen duidelijke richtlijnen en beleid vaststellen, maar ook het trainen van medewerkers over de implicaties van het gebruik van deze technologieën. Bewustwording is essentieel om datalekken te voorkomen.

2. **Privacy en gevoelige gegevens**: Het gebruik van AI-chatbots voor het verwerken van gevoelige gegevens, zoals medische informatie of klantadressen, moet met de grootste zorg gebeuren. Deze gegevens vallen onder strikte privacywetten en het ondoordacht invoeren ervan in een chatbot kan leiden tot ernstige juridische en ethische gevolgen.

3. **Toezicht en transparantie**: De verantwoordelijkheid ligt niet alleen bij de organisaties, maar ook bij aanbieders van AI-chatbots. Het is belangrijk dat zij transparant zijn over hoe gegevens worden verzameld, opgeslagen en gebruikt. Organisaties moeten goed inzicht hebben in de databeveiligingsmaatregelen die deze aanbieders treffen.

4. **Juridische implicaties**: Het is van belang dat organisaties zich realiseren dat datalekken juridische repercussies kunnen hebben, waaronder boetes en schadeclaims. Dit zou moeten aanzetten tot een zorgvuldige afweging van het gebruik van AI-technologieën en de noodzaak van strikte compliance met privacywetgeving.

5. **Cultuur van dataveiligheid**: Organisaties moeten werken aan een cultuur waarin dataveiligheid en privacy hoog op de agenda staan. Dit kan bijvoorbeeld door het integreren van privacyprincipes in de bedrijfsstrategie en het aanmoedigen van open communicatie over data-ethiek en beveiliging.

In het licht van de snelle ontwikkeling van AI-technologieën is dit onderwerp niet alleen actueel, maar ook van groot belang voor de bescherming van persoonlijke gegevens. Het is essentieel dat zowel werkgevers als werknemers zich bewust zijn van hun verantwoordelijkheden en de mogelijke gevolgen van ondoordacht handelen.

Dit bovenstaande kreeg ik als antwoord van deepai.bot

#laufer
08-08-2024, 01:26 door Anoniem
Hier zijn wat video's over AI van The Hated One:

Mark Zuckerberg Is Unironically Based Now
https://youtu.be/lJ_NRIKbRKc

Has Open Source AI Just Become Too Dangerous?
https://youtu.be/RhsKgvGue0w

DON'T use AI companions apps!
https://youtu.be/6uwVNufVnD8

We Need To Stop OpenAI
https://youtu.be/XyiTDbKndNM

Do NOT trust Apple Intelligence!
https://youtu.be/6YbeGjnqEZ8
08-08-2024, 11:37 door karma4
Volgende de AP is het gebruik van communicatienetwerken een datalek.
Daar gaat iets goed mis want onder de GDPR was dat nu net er buiten gehouden.
08-08-2024, 12:25 door Anoniem
Het gevaar van AI, als het in verkeerde handen belandt,
namelijk van overheden en beslissing nemers en de
massa manipulatoren van giga groot commercie
via moderne technologie.

Voorbeeld: dames boksen, vanwege het algemeen aanvaarde
qua inclusie, kunnen bepaalde deelnemers niet gediskwalificeerd worden.

De werkelijkheid mag de leugen niet ontkrachten
en die wordt weggehouden, net zo lang
tot de massa de verandering accepteert.

AI is hierin een middel tot een doel - divide et impera,
terwijl het ook anders kan gebruikt worden
voor eenwording en verheffing
onder diversiteit van vrije meningsvorming.

Maar dat willen bepaalde krachten op de achtergrond niet.

En de moderne deugd mens verdedigt hun palaver,
desnoods met haat tegen de vrije en onafhankelijke denkers.

#luntrus
08-08-2024, 21:52 door Anoniem
En vermeldt je iets over de BRICS op deepai.bot van Amazon wordt je door verbonden nar de Yandex AI.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.