De Autoriteit Persoonsgegevens (AP) heeft de afgelopen tijd meerdere meldingen binnengekregen van datalekken die zijn veroorzaakt door het gebruik van AI-chatbots binnen organisaties. Het gaat dan bijvoorbeeld om gegevens van patiënten en klanten die bij chatbots worden ingevoerd. De privacytoezichthouder adviseert organisaties om afspraken over het gebruik van AI-chatbots te maken.
Volgens de AP gebruiken medewerkers chatbots vaak op eigen initiatief en tegen de afspraken in met de werkgever. "Als daarbij persoonsgegevens zijn ingevoerd, dan is sprake van een datalek. Soms is het gebruik van AI-chatbots onderdeel van het beleid van organisaties: dan is het geen datalek, maar vaak niet wettelijk toegestaan. Organisaties moeten beide situaties voorkomen."
Doordat de meeste bedrijven achter chatbots ingevoerde gegevens opslaan, komen die gegevens daardoor terecht op de servers van deze bedrijven, vaak zonder dat degene die de data invoerde zich dat realiseert. Daarnaast weten gebruikers ook niet precies wat dat bedrijf met de gegevens gaat doen. De persoon van wie de gegevens zijn, zal dat bovendien ook niet weten.
Bij één van de datalekken waarvan de AP een melding kreeg, had een medewerker van een huisartsenpraktijk - tegen de afspraken in - medische gegevens van patiënten ingevoerd in een AI-chatbot. "Medische gegevens zijn zeer gevoelige gegevens en krijgen niet voor niets extra bescherming in de wet. Die gegevens zomaar delen met een techbedrijf is een grote schending van de privacy van de mensen om wie het gaat", merkt de AP op. De toezichthouder ontving ook een melding van een telecombedrijf, waar een medewerker een bestand met onder meer adressen van klanten had ingevoerd in een AI-chatbot.
De Autoriteit Persoonsgegevens stelt dat het belangrijk is dat organisaties met hun medewerkers duidelijke afspraken maken over de inzet van AI-chatbots. Het gaat dan over het gebruik ervan, welke gegevens mogen worden ingevoerd en het mogelijk maken van afspraken met de aanbieder van de chatbot. Wanneer een medewerker toch tegen de afspraken in persoonsgegevens via een chatbot lekt moet dit bij de AP worden gemeld.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.