Een AI-chatbot zakelijk gebruiken kan leiden tot datalekken. Dat zegt de Autoriteit Persoonsgegevens (AP) na meerdere meldingen van datalekken.
Het gaat dan bijvoorbeeld om medewerkers die persoonsgegevens van patiënten of klanten deelden met zo’n AI-chatbot. De bedrijven achter die bots kunnen daardoor ongeoorloofd toegang krijgen tot persoonsgegevens.
De meeste bedrijven achter chatbots slaan alle ingevoerde gegevens op. Die gegevens komen daardoor terecht op de servers van die techbedrijven, vaak zonder dat degene die de data invoerde zich dat realiseert. En zonder dat die precies weet wat dat bedrijf met die gegevens gaat doen. De persoon van wie de gegevens zijn, zal dat bovendien ook niet weten.
Medische gegevens en adressen van klanten
Bij een van de datalekken waarvan de AP een melding kreeg, had een medewerker van een huisartsenpraktijk medische gegevens van patiënten ingevoerd in een AI-chatbot. Dit was tegen de afspraken, maar om tijd te besparen deed de medewerker het toch. Dit soort gegevens zomaar delen met een techbedrijf is een grote schending van de privacy van de mensen om wie het gaat.
Ook kwam een melding binnen van een telecombedrijf waar iets dergelijks gebeurde. Een medewerker voerde een bestand met onder meer adressen van klanten in een AI-chatbot.
Volgens de autoriteit heeft gebruikmaken van digitale assistenten, zoals ChatGPT en Copilot wel degelijk voordelen. Bijvoorbeeld om vragen van klanten te beantwoorden of om grote dossiers samen te vatten. Dat kan tijd schelen en werknemers minder leuk werk besparen, maar er kleven dus ook grote risico’s aan.
Bij een datalek gaat het om toegang tot persoonsgegevens zonder dat dit mag of zonder dat dit de bedoeling is. Vaak gebruiken medewerkers de chatbots op eigen initiatief en tegen de afspraken met de werkgever in. Als daarbij persoonsgegevens zijn ingevoerd, dan is sprake van een datalek. Soms is het gebruik van AI-chatbots onderdeel van het beleid van organisaties. Dan is het geen datalek, maar vaak niet wettelijk toegestaan.
Maak afspraken, is het devies
Het is belangrijk dat organisaties met hun medewerkers duidelijke afspraken maken over de inzet van AI-chatbots, stelt de AP in een dringend advies. Mogen medewerkers chatbots gebruiken, of liever niet? En als organisaties het toestaan, moeten zij aan medewerkers duidelijk maken welke gegevens zij wel en niet mogen invoeren. Organisaties zouden ook met de aanbieder van een chatbot kunnen regelen dat die de ingevoerde gegevens niet opslaat.
De organisatie voegt eraan toe dat datalekken melden vaak verplicht is, met alle gevolgen van dien. Voorkomen is wat dat betreft beter dan genezen.
Tip:
- 30.000 fraudemeldingen, met meestal een digitale component
- Econocom wijzigt bestuursstructuur om processen te versnellen