De Autoriteit Persoonsgegevens trekt aan de bel. De AP heeft de afgelopen tijd meerdere meldingen binnengekregen van datalekken doordat medewerkers persoonsgegevens van bijvoorbeeld patiënten of klanten deelden met een AI-chatbot. Door het invoeren van persoonsgegevens in AI-chatbots kunnen de bedrijven die de chatbot aanbieden ongeoorloofd toegang krijgen tot die persoonsgegevens.
De AP ziet dat veel mensen op de werkvloer gebruikmaken van digitale assistenten, zoals ChatGPT en Copilot. Bijvoorbeeld om vragen van klanten te beantwoorden of om grote dossiers samen te vatten. Maar de organisatie waarschuwt voor de risico’s. De techbedrijven achter de AI slaan de ingevoerde gegevens in bijna alle gevallen op, zonder dat de gebruiker daar weet van heeft.
De AP legt uit: “Bij een datalek gaat het om toegang tot persoonsgegevens zonder dat dit mag of zonder dat dit de bedoeling is. Vaak gebruiken medewerkers de chatbots op eigen initiatief en tegen de afspraken met de werkgever in: als daarbij persoonsgegevens zijn ingevoerd, dan is sprake van een datalek. Soms is het gebruik van AI-chatbots onderdeel van het beleid van organisaties: dan is het geen datalek, maar vaak niet wettelijk toegestaan. Organisaties moeten beide situaties voorkomen.”
De AP raadt aan om binnen organisaties duidelijke afspraken te maken over de inzet van AI-chatbots. “Mogen medewerkers chatbots gebruiken, of liever niet? En als organisaties het toestaan, moeten zij aan medewerkers duidelijk maken welke gegevens zij wel en niet mogen invoeren. Organisaties zouden ook met de aanbieder van een chatbot kunnen regelen dat die de ingevoerde gegevens niet opslaat.”
Daarbij benadrukt de AP dat ongeoorloofd persoonsgegevens invoeren in een chatbot geldt als een datalek dat gemeld moet worden.
