De gemeente Eindhoven heeft ChatGPT en andere openbare AI-websites geblokkeerd na een datalek met persoonsgegevens van inwoners en medewerkers. Het incident, op 23 oktober gemeld bij de Autoriteit Persoonsgegevens, volgde na een interne steekproef die liet zien dat medewerkers gevoelige informatie hadden geüpload.
Dat laat Binnenlands Bestuur weten. In een steekproef over de periode van 23 september tot 23 oktober constateerde Eindhoven dat verschillende bestanden met persoonsgegevens waren geüpload naar openbare AI-websites. De totale omvang blijft onduidelijk omdat de gegevens maximaal 30 dagen beschikbaar zijn. Daardoor kan de gemeente betrokkenen niet persoonlijk informeren.
Naar aanleiding van de bevindingen schakelde Eindhoven juridisch adviesbureau Hooghiemstra & Partners in. Dat bevestigde het geschetste beeld. Het college van burgemeester en wethouders en de directieraad zeggen geschrokken te zijn.
Lees ook: JFrog brengt Shadow AI Detection naar platform
Directe blokkade AI-tools
Om herhaling te voorkomen blokkeerde de gemeente direct alle openbare AI-websites, waaronder ChatGPT. Sinds 23 oktober kunnen medewerkers alleen nog Copilot gebruiken binnen de beveiligde gemeente-omgeving. Ook verzocht Eindhoven OpenAI om de geüploade bestanden te verwijderen.
Daarnaast scherpte de gemeente het toezicht op dataverkeer naar externe websites aan. Het incident is slechts een voorbeeld van een breder probleem waarbij gemeenten worstelen met verantwoord AI-gebruik. Driekwart van de Nederlandse gemeenten gebruikt ChatGPT, vaak zonder adequaat beleid of interne richtlijnen. Volgens geraadpleegde experts is het risico beperkt dat individuele gegevens via AI-websites opnieuw zichtbaar worden, al is dat niet volledig uit te sluiten.
Gemeenten worstelen met ChatGPT-beleid
Het gebruik van generatieve AI door Nederlandse overheidsorganisaties is het afgelopen jaar vertienvoudigd, van 8 toepassingen in 2024 naar 81 in 2025. Toch heeft ruim de helft van de gemeenten geen zicht op hoe ambtenaren ChatGPT inzetten.
De Vereniging van Nederlandse Gemeenten (VNG) waarschuwt voor significante risico’s bij het gebruik van ChatGPT met persoonsgegevens. Persoonsgegevens ingevoerd in vooral de gratis versie kunnen als trainingsdata worden gebruikt en elders opduiken. De Autoriteit Persoonsgegevens verbiedt bovendien volledig geautomatiseerde beslissingen over burgers.
De gemeente Eindhoven benadrukt dat gegevensbescherming prioriteit heeft. Het incident moet organisaties hoe dan ook aansporen om scherper na te denken over AI-gebruik met gevoelige informatie.