De Autoriteit Persoonsgegevens waarschuwt voor de privacyrisico's die kleven aan het gebruik van AI-chatbots. De privacytoezichthouder zegt meldingen van datalekken door dergelijke tools te hebben ontvangen.
De Autoriteit Persoonsgegevens ontving de afgelopen tijd 'meerdere meldingen' van datalekken nadat medewerkers van bedrijven persoonsgegevens hadden ingevoerd in AI-chatbots als ChatGPT en Copilot, schrijft de toezichthouder. Als die gegevens worden ingevoerd, kunnen de aanbieders van die chatbot wellicht ongeoorloofd toegang krijgen tot die data. De meeste bedrijven die AI-chatbots aanbieden, slaan namelijk alle ingevoerde gegevens op, zegt de privacyautoriteit.
De AP noemt geen concreet aantal meldingen, maar beschrijft wel een aantal voorbeelden. De toezichthouder kreeg bijvoorbeeld een melding waarbij een medewerker van een huisartsenpraktijk medische gegevens van patiënten had ingevoerd in een AI-chatbot. Medische data vallen onder 'bijzondere persoonsgegevens', waarvan het verboden is om ze zonder uitdrukkelijke toestemming te verwerken onder artikel 9 van de AVG. In een ander geval voerde een medewerker van een telecombedrijf de adressen van klanten in bij een dergelijke chatbot.
Als medewerkers van een organisatie op eigen initiatief en zonder toestemming gegevens in een chatbot invoeren, is er volgens de AP sprake van een datalek. Als een organisatie het gebruik van AI-tools wel goedkeurt, dan is er geen datalek, maar is het doorvoeren van persoonsgegevens vaak alsnog niet wettelijk toegestaan. "Organisaties moeten beide situaties voorkomen."
De Autoriteit Persoonsgegevens roept organisaties op om afspraken te maken met medewerkers, bijvoorbeeld door duidelijk te maken dat het gebruik van chatbots voor werk niet toegestaan is. Als dat wél mag van de organisatie, moet duidelijk gemaakt worden welke gegevens wel en niet ingevoerd mogen worden of moet met de aanbieder van de chatbot geregeld worden dat de ingevoerde gegevens niet worden opgeslagen. Als er toch persoonsgegevens worden ingevoerd in een AI-chatbot, dan moet daarvan melding gemaakt worden bij de AP.