Nederlandse werknemers delen gevoelige persoonsgegevens met AI-chatbots. Zo belanden data over klanten, patiënten en collega’s in de databases van AI-bedrijven. De Autoriteit Persoonsgegevens krijgt steeds meer meldingen van dit soort datalekken.
is economieredacteur voor de Volkskrant en schrijft onder meer over kunstmatige intelligentie.
Het kan zo handig lijken, een AI-programma vragen een werkdocument even samen te vatten, of wat gegevens in een grafiekje te zetten. Alleen lijkt niet iedereen te beseffen dat de informatie terecht kan komen bij het bedrijf achter de AI-dienst. Dus ook eventuele persoonsgegevens die niet zomaar met de buitenwereld mogen worden gedeeld.
In 2024 en 2025 zijn bij de Autoriteit Persoonsgegevens (AP) ‘tientallen’ meldingen binnengekomen van dit soort aan AI gerelateerde datalekken. Dat bevestigt de toezichthouder aan de Volkskrant na berichtgeving van Het Financieele Dagblad. Het aantal meldingen was dit jaar hoger dan vorig jaar.
Organisaties die achter een datalek komen, zijn veelal verplicht dit te melden bij de toezichthouder. Omdat niet elke werkgever er weet van zal hebben als dit via AI gebeurt, zijn de meldingen van de afgelopen twee jaar waarschijnlijk slechts het topje van de ijsberg.
Eerder deze maand meldde de gemeente Eindhoven dat er bestanden met persoonsgegevens van inwoners en medewerkers zijn gedeeld met openbare AI-websites als ChatGPT. Het ging onder meer om cv’s en gegevens die te maken hebben met jeugdzorg. De precieze omvang van het lek, dat in oktober aan het licht kwam door een steekproef, is niet meer vast te stellen, omdat de chatbots gesprekken en opdrachten na dertig dagen wissen.
‘Het zou kunnen dat iemands persoonlijke gegevens opduiken in het antwoord van een chatbot’, zegt een woordvoerder van de AP over de gevolgen. ‘Ze kunnen ook gedeeld worden met andere bedrijven en gaan zwerven over het internet.’
Veelal zitten er Amerikaanse bedrijven achter AI-hulpmiddelen, zoals OpenAI in geval van ChatGPT. Deze bedrijven zijn verplicht gegevens te delen met de Amerikaanse overheid als die hierom vraagt.
Vorig jaar beschreef de AP al hoe een medewerker van een huisartsenpraktijk medische patiëntgegevens in een AI-chatbot had ingevoerd. Bij een telecombedrijf had een medewerker een bestand ingevoerd waar adressen van klanten in stonden. In 2026 verwacht de toezichthouder met een meer gedetailleerde update te komen over de manieren waarop werknemers de mist in gaan door data te lekken aan AI.
Niet alleen personeel dat op eigen houtje aan de slag gaat met chatbots vormt een risico. Het is ook mogelijk dat organisaties AI-hulpmiddelen op de werkvloer introduceren zonder goed na te denken over privacy. De AP adviseert hen bijvoorbeeld gebruik te maken van (betaalde) chatbots die ingevoerde gegevens niet extern opslaan.
Na een datalek kan een boete volgen. De kans daarop wordt groter als er sprake is van duidelijke nalatigheid, bijvoorbeeld omdat medewerkers niet bewust zijn gemaakt over de risico’s van AI, legt een woordvoerder van de AP uit.
Gebruikers van AI kunnen ook hun eigen privacy op het spel zetten door persoonlijke informatie te delen. Berucht is een groot lek rond Grok, de chatbot van Elon Musks bedrijf xAI. Deze zomer bleken honderdduizenden gesprekken met Grok voor iedereen vindbaar via zoekmachines als Google, meldde het Amerikaanse zakenblad Forbes. Elke keer dat iemand op de deelknop drukte, om hun gesprek te delen met iemand anders, maakte Grok zonder waarschuwing een openbaar webadres aan voor de chat. Inmiddels is het lek gedicht.
De gemeente Eindhoven heeft dit najaar openbare AI-websites als ChatGPT voor medewerkers geblokkeerd. ‘Dat is een mogelijke maatregel, al sluit ik niet uit dat mensen het op een privélaptop of -telefoon gebruiken’, reageert de woordvoerder van de Autoriteit Persoonsgegevens.
Volgens hem is bewustwording het belangrijkste. ‘Door het gemak waarmee mensen voor privédoeleinden chatbots gebruiken, is de verleiding groot om ook bestanden van je werkgever in dat soort chatbots te stoppen. Dan gaat het mis. We zeggen tegen organisaties: maak je medewerkers bewust van de risico’s.’ Eindhoven had een dergelijke bewustwordingscampagne al opgestart en gaat hiermee door.
De AP is overigens niet zozeer tegen gebruik van kunstmatige intelligentie, benadrukt de woordvoerder. ‘In sommige organisaties kan AI processen versnellen en efficiënter maken. Het gaat erom dat je weet wat je doet.’
Luister hieronder naar onze podcast de Volkskrant Elke Dag. Kijk voor al onze podcasts op volkskrant.nl/podcasts.
Geselecteerd door de redactie
Source: Volkskrant