AP: veel bedrijven schenden privacywet met chatbot
De Autoriteit Persoonsgegevens (AP) drukt organisaties op het hart met hun medewerkers duidelijke afspraken te maken over de inzet van chatbots, geautomatiseerde gesprekspartners op de computer, waarbij gebruikgemaakt wordt van kunstmatige intelligentie (AI). De autoriteit heeft de afgelopen tijd al “meerdere” meldingen binnengekregen van datalekken die waren ontstaan doordat medewerkers persoonsgegevens van bijvoorbeeld patiënten of klanten deelden met zo’n chatbot.
“Door het invoeren van persoonsgegevens in AI-chatbots kunnen de bedrijven die de chatbot aanbieden ongeoorloofd toegang krijgen tot die persoonsgegevens”, waarschuwt de autoriteit.
De AP constateert dat veel werkenden digitale assistenten, zoals ChatGPT en Copilot, gebruiken om bijvoorbeeld vragen van klanten te beantwoorden of om grote dossiers samen te vatten. Vaak doen de medewerkers dit op eigen houtje.
Het is riskant: de meeste bedrijven achter chatbots slaan alle ingevoerde gegevens op. “Die gegevens komen daardoor terecht op de servers van die techbedrijven, vaak zonder dat degene die de data invoerde zich dat realiseert. En zonder dat die precies weet wat dat bedrijf met die gegevens gaat doen. De persoon van wie de gegevens zijn, zal dat bovendien ook niet weten”, legt de autoriteit uit.
Bij een van de meldingen ging het om een medewerker van een huisartsenpraktijk die, in dit geval overigens tegen de afspraken in, medische gegevens van patiënten had ingevoerd in een AI-chatbot. Het zomaar delen van dergelijke gevoelige informatie met een techbedrijf is volgens de AP een “grote schending van de privacy van de mensen om wie het gaat”.
Als organisaties chatbots toestaan, moeten ze volgens de autoriteit aan medewerkers duidelijk maken welke gegevens ze wel en niet mogen invoeren. Ze zouden ook met de aanbieder van een chatbot kunnen regelen dat die de ingevoerde gegevens niet opslaat, stelt de AP voor.