De Autoriteit Persoonsgegevens (AP) heeft recent meerdere meldingen ontvangen van datalekken veroorzaakt door het gebruik van AI-chatbots door medewerkers. Hierbij werden persoonsgegevens van bijvoorbeeld patiënten of klanten gedeeld met chatbots die gebruikmaken van kunstmatige intelligentie (AI). Dit kan ertoe leiden dat bedrijven die de chatbot aanbieden ongeoorloofd toegang krijgen tot deze gegevens.
De AP merkt op dat veel medewerkers op de werkvloer gebruikmaken van digitale assistenten zoals ChatGPT en Copilot, bijvoorbeeld om klantvragen te beantwoorden of grote dossiers samen te vatten. Hoewel dit tijd kan besparen en minder leuk werk kan verlichten, zijn er ook grote risico's aan verbonden.
Een datalek houdt in dat er toegang is verkregen tot persoonsgegevens zonder toestemming of zonder dat dit de bedoeling was. Vaak gebruiken medewerkers de chatbots op eigen initiatief en in strijd met het beleid van de zorginstelling. Als daarbij persoonsgegevens worden ingevoerd, is er sprake van een datalek. Soms is het gebruik van AI-chatbots onderdeel van het beleid van organisaties, maar dit is vaak niet wettelijk toegestaan. Organisaties moeten beide situaties voorkomen.
De meeste bedrijven achter chatbots slaan alle ingevoerde gegevens op. Deze gegevens komen daardoor terecht op de servers van deze techbedrijven, vaak zonder dat de persoon die de data invoerde zich hiervan bewust is. Ook de persoon van wie de gegevens zijn, zal dit niet weten.
Voorbeelden van datalekken
Bij een van de gemelde datalekken had een medewerker van een huisartsenpraktijk – tegen de afspraken in – medische gegevens van patiënten ingevoerd in een AI-chatbot. Medische gegevens zijn zeer gevoelige gegevens en krijgen extra bescherming in de wet. Het delen van deze gegevens met een techbedrijf is een grote schending van de privacy van de betrokken personen.
Ook ontving de AP een melding van een telecombedrijf waar een medewerker een bestand met onder meer adressen van klanten had ingevoerd in een AI-chatbot.
Maak duidelijke afspraken
Het is belangrijk dat organisaties duidelijke afspraken maken met hun medewerkers over het gebruik van AI-chatbots. Mogen medewerkers chatbots gebruiken, of liever niet? Als het gebruik wordt toegestaan, moeten medewerkers weten welke gegevens zij wel en niet mogen invoeren. Organisaties kunnen ook met de aanbieder van een chatbot afspreken dat ingevoerde gegevens niet worden opgeslagen.
Meld datalekken
Gaat het toch mis en lekt een medewerker persoonsgegevens door tegen de gemaakte afspraken in een chatbot te gebruiken? Dan is een melding aan de AP en aan de betrokken personen in veel gevallen verplicht.
Risico's en maatregelen
Het gebruik van AI-chatbots brengt aanzienlijke risico's met zich mee, vooral wanneer het gaat om de verwerking van gevoelige persoonsgegevens. Organisaties moeten zich bewust zijn van deze risico's en passende maatregelen nemen om datalekken te voorkomen. Dit omvat onder andere het trainen van medewerkers over de gevaren van het invoeren van persoonsgegevens in AI-chatbots en het implementeren van technische maatregelen om te voorkomen dat gevoelige gegevens worden gedeeld met externe partijen.
Conclusie
Het gebruik van AI-chatbots kan veel voordelen bieden, zoals tijdsbesparing en efficiëntieverbetering. Echter, het is cruciaal dat organisaties zich bewust zijn van de privacyrisico's en de nodige stappen ondernemen om de privacy van betrokkenen te beschermen. Door duidelijke afspraken te maken, medewerkers te trainen en technische maatregelen te implementeren, kunnen organisaties de risico's van datalekken minimaliseren en voldoen aan de geldende privacywetgeving.
bron: https://autoriteitpersoonsgegevens.nl/actueel/let-op-gebruik-ai-chatbot-kan-leiden-tot-datalekken
