De Chinese AI-app DeepSeek verzamelt grote hoeveelheden gegevens van zijn Europese gebruikers. Zo slaat de app data op over de toetsenbordaanslag van zijn gebruikers. Het is de vraag of dat wel mag. ‘Ik zie het somber voor ze in.’
is techredacteur van de Volkskrant, gespecialiseerd in de impact van kunstmatige intelligentie op de maatschappij.
Terwijl de Amerikanen zich vooral druk maken over de vraag of het jonge Chinese AI-bedrijf DeepSeek de exportrestricties niet heeft omzeild door tóch in China verboden Nvidia-chips te gebruiken, maken Europese toezichthouders zich ernstige zorgen over de privacy van hun burgers.
De Italiaanse privacyautoriteit handelt het meest voortvarend en besloot al tot een blokkade van de app. De informatie die DeepSeek gaf over de gegevensverzameling zou ‘volstrekt onvoldoende’ zijn. Ook de Ierse toezichthouder vroeg al informatie op. De Nederlandse Autoriteit Persoonsgegevens kondigde vrijdag een onderzoek aan. De toezichthouder drukt gebruikers alvast op het hart ‘heel voorzichtig en terughoudend’ om te gaan met de chatbot.
‘De Autoriteit waarschuwt vanwege de ernstige zorgen die er bestaan over het privacybeleid van DeepSeek, dat uit China komt, en over de manier waarop er met de persoonlijke gegevens van de gebruikers lijkt te worden omgegaan’, zegt AP-voorzitter Aleid Wolfsen.
De gratis AI-app veroverde de afgelopen week de harten van consumenten. Hij wist, ook in Nederland, de hoogste positie in de populariteitslijsten van de appstores te veroveren. Het aloude internetmantra ‘gratis bestaat niet’ gaat ook voor DeepSeek op: gebruikers betalen met hun data.
In zijn gebruiksvoorwaarden doet DeepSeek niet geheimzinnig over het brede arsenaal aan gegevens dat de app verzamelt én naar China stuurt. Alles wat mensen invoeren aan teksten, audio of foto gaat sowieso richting de servers van het AI-bedrijf. Bij concurrerende apps als ChatGPT is dat ook het geval, maar hier hebben klanten de mogelijkheid om het delen van data voor trainingsdoeleinden te blokkeren. Bij DeepSeek bestaat die optie niet.
Verder vergaart DeepSeek ook data op de achtergrond, zoals IP-adres, de apparaatgegevens of het besturingssysteem. Dit is allemaal gangbare praktijk, maar DeepSeek gaat nog verder door ook ‘toetsaanslagpatronen of -ritmes’ op te slaan.
Vooral dit laatste bracht de AI-functionaris van het Europees Parlement, Pierluigi Casale, ertoe om op LinkedIn de alarmklok te luiden. Hetzelfde deed de Nederlandse Europarlementariër Bart Groothuis op Bluesky. ‘DeepSeek zou geen plek in de EU moeten hebben’, aldus Groothuis.
All you key strokes. Stored in China. Deepseek AI should have no place in the EU
[image or embed]
Omdat iedereen een geheel eigen manier heeft om te tikken (het tempo, het ritme), zijn deze aanslagen te herleiden tot unieke gebruikers, zegt Casale in een toelichting aan de Volkskrant. De AI-expert wijst ook op onderzoek waaruit naar voren komt dat die toetsenbordaanslagen kunnen worden gebruikt om te detecteren of iemand boos is, of juist vrolijk.
Naar de reden van DeepSeek om dit soort informatie te verzamelen, is het ook voor hem gissen. ‘Mijn indruk is dat ze hun privacyvoorwaarden nogal haastig hebben geschreven. Misschien omdat ze hun app snel wilden lanceren.’
Voor tech- en datatjurist Menno Weij staat niet vast dat alleen het vastleggen van toetsenbordaanslagen daadwerkelijk kan leiden tot unieke gebruikers. Maar ook al is dit niet het geval, dan nog heeft DeepSeek een groot probleem, stelt hij. ‘Hoe dan ook zijn het persoonsgegevens. Die mag je volgens de AVG niet zomaar verzamelen. Je hebt er een grondslag voor nodig.’
En juist dat laatste is onduidelijk: ‘DeepSeek heeft het over een ‘naadloze ervaring’ en over veiligheid. Dat is niet overtuigend. Het is me volstrekt onduidelijk waarom DeepSeek dit soort informatie nodig heeft.’
Het gegeven dat DeepSeek zijn gebruikers ook niet de optie geeft om data niet te delen, maakt het er niet beter op. Weij: ‘Ik zie het somber voor ze in: ze voldoen niet aan de AVG.’
Met de door DeepSeek zelf aangehaalde veiligheid blijkt het ondertussen niet goed te zitten. Het Amerikaanse cybersecuritybedrijf Wiz ontdekte deze week een groot datalek. Meer dan een miljoen chats van gebruikers waren deze week publiekelijk toegankelijk.
Inmiddels is het lek gedicht, maar volgens Wiz was alle informatie zo eenvoudig te vinden dat de experts vermoeden dat meer mensen de gesprekken hebben ingezien.
Alles over tech vindt u hier.
Geselecteerd door de redactie
Source: Volkskrant