Privacytoezichthouder AP heeft meerdere meldingen binnengekregen van datalekken die ontstonden nadat medewerkers persoonsgegevens van klanten en patiënten met een AI-chatbot hadden gedeeld. Niet alle organisaties zijn zich ervan bewust dat chatbots die informatie kunnen bewaren.
Het is niet duidelijk hoeveel meldingen de Autoriteit Persoonsgegevens (AP) precies binnenkreeg. De privacytoezichthouder komt wel met enkele voorbeelden. Zo voerde een medewerker van een huisartsenpraktijk medische gegevens van patiënten in bij een AI-chatbot. Dit soort data zijn doorgaans zeer gevoelig. Om die zomaar te delen met een techbedrijf is volgens de AP "een grote schending van de privacy" van de betrokken patiënten.
Ook kreeg de toezichthouder een melding binnen van een telecombedrijf. Daar had een medewerker een bestand met onder meer adressen van klanten ingevoerd in een AI-chatbot.
AI-chatbots zoals ChatGPT en Copilot worden veel gebruikt op de werkvloer. De programma's versimpelen bepaalde taken, zoals het samenvatten van grote documenten.
Maar de meeste bedrijven die chatbots maken slaan alle ingevoerde gegevens op, waarschuwt de AP. "Die gegevens komen daardoor terecht op de servers van die techbedrijven, vaak zonder dat degene die de data invoerde zich dat realiseert", zegt de toezichthouder.
Het is vervolgens onduidelijk wat er met de ingevoerde gegevens gebeurt. Ook degene van wie de gegevens zijn, heeft daar geen weet van. Omdat techbedrijven toegang krijgen tot persoonsgegevens zonder dat het de bedoeling is, is er volgens de AP sprake van een datalek.
Organisaties moeten daarom duidelijke afspraken maken met medewerkers over de inzet van AI-chatbots, adviseert de toezichthouder. Als organisaties het gebruik van zo'n chatbot al toestaan, dan moeten ze goed overleggen welke gegevens medewerkers wel en niet mogen invoeren. De AP zegt dat organisaties ook met de maker van een chatbot kunnen afspreken dat die ingevoerde gegevens niet opslaat.
Source: Nu.nl economisch