In 2025 heeft de Autoriteit Persoonsgegevens tientallen meldingen ontvangen van datalekken die zijn veroorzaakt door het gebruik van AI-chatbots op de werkvloer. Het aantal meldingen ligt dit jaar hoger dan vorig jaar, waarbij vooral gratis versies van chatbots voor problemen zorgen.
De toezichthouder deelt geen concrete cijfers, maar bevestigt aan Het Financieele Dagblad wel dat zowel dit jaar als vorig jaar tientallen meldingen zijn binnengekomen. Daarbij gaat het vermoedelijk grotendeels om werknemers die gratis varianten van chatbots gebruiken, bijvoorbeeld ChatGPT of Copilot. Dit terwijl werkgevers ook contracten hebben voor betaalde diensten. Wil je gebruikmaken van zo’n betaalde service, dan dien je je aan bepaalde afspraken te houden op de werkvloer, die gelden niet als je als werknemer een gratis versie gebruikt.
De problemen ontstaan voornamelijk wanneer medewerkers persoonsgegevens invoeren in AI-chatbots. De AP waarschuwde eerder al dat zakelijk gebruik van AI-chatbots vaak leidt tot datalekken, vooral door medewerkers die onbewust gevoelige data invoeren zoals adressen van klanten of medische gegevens. Dit geeft techbedrijven ongeoorloofde toegang, omdat chatbots data vaak opslaan op hun servers zonder transparantie over het specifieke gebruik daarvan.
Incident bij gemeente Eindhoven was de aanleiding
Het Financieele Dagblad checkte bij de Autoriteit Persoonsgegevens hoe het precies zat met datalekken dankzij AI-bots bij bedrijven. Dit naar aanleiding van een eerder voorval bij de gemeente Eindhoven. Daar werden duizenden bestanden geüploaded naar gratis chatbots, waaronder cv’s van sollicitanten en reflectieverslagen. Gemeente Eindhoven heeft inmiddels maatregelen genomen, waardoor medewerkers geen gebruik meer kunnen maken van gratis varianten, dit om herhaling te voorkomen.
Risico’s van gratis chatbots
De AP benadrukte eerder dus al dat organisaties duidelijke afspraken moeten maken met medewerkers over het gebruik van AI-chatbots. Wanneer werknemers de gratis varianten gebruiken in plaats van de zakelijke versies waarvoor hun werkgever betaalt, ontstaat er een datalek. Gratis versies slaan alle ingevoerde gegevens op, vaak zonder dat gebruikers dit beseffen.
Zelfs bij goedgekeurd gebruik is het vaak niet wettelijk toegestaan onder de AVG, tenzij afspraken zijn gemaakt met de aanbieder om data niet op te slaan. De toezichthouder raadt organisaties aan om te onderhandelen met aanbieders over het niet-opslaan van data en technische blokkades te implementeren waar mogelijk.