AP waarschuwt voor gebruik van AI-chatbots na datalekmeldingen

De Autoriteit Persoonsgegevens waarschuwt voor de privacyrisico's die kleven aan het gebruik van AI-chatbots. De privacytoezichthouder zegt meldingen van datalekken door dergelijke tools te hebben ontvangen.

De Autoriteit Persoonsgegevens ontving de afgelopen tijd 'meerdere meldingen' van datalekken nadat medewerkers van bedrijven persoonsgegevens hadden ingevoerd in AI-chatbots als ChatGPT en Copilot, schrijft de toezichthouder. Als die gegevens worden ingevoerd, kunnen de aanbieders van die chatbot wellicht ongeoorloofd toegang krijgen tot die data. De meeste bedrijven die AI-chatbots aanbieden, slaan namelijk alle ingevoerde gegevens op, zegt de privacyautoriteit.

De AP noemt geen concreet aantal meldingen, maar beschrijft wel een aantal voorbeelden. De toezichthouder kreeg bijvoorbeeld een melding waarbij een medewerker van een huisartsenpraktijk medische gegevens van patiënten had ingevoerd in een AI-chatbot. Medische data vallen onder 'bijzondere persoonsgegevens', waarvan het verboden is om ze zonder uitdrukkelijke toestemming te verwerken onder artikel 9 van de AVG. In een ander geval voerde een medewerker van een telecombedrijf de adressen van klanten in bij een dergelijke chatbot.

Als medewerkers van een organisatie op eigen initiatief en zonder toestemming gegevens in een chatbot invoeren, is er volgens de AP sprake van een datalek. Als een organisatie het gebruik van AI-tools wel goedkeurt, dan is er geen datalek, maar is het doorvoeren van persoonsgegevens vaak alsnog niet wettelijk toegestaan. "Organisaties moeten beide situaties voorkomen."

De Autoriteit Persoonsgegevens roept organisaties op om afspraken te maken met medewerkers, bijvoorbeeld door duidelijk te maken dat het gebruik van chatbots voor werk niet toegestaan is. Als dat wél mag van de organisatie, moet duidelijk gemaakt worden welke gegevens wel en niet ingevoerd mogen worden of moet met de aanbieder van de chatbot geregeld worden dat de ingevoerde gegevens niet worden opgeslagen. Als er toch persoonsgegevens worden ingevoerd in een AI-chatbot, dan moet daarvan melding gemaakt worden bij de AP.

IT-banen

Reacties (70)

ultimasnake 7 augustus 2024 14:57

Dat je huisarts regelmatig (niet alleen die van mij) je symptonen maar even "googled" vond ik altijd al erg zorgelijk* maar dat ze het vervolgens ook in ChatGPT oid knallen zou bij mij in het verkeerde keelgat schieten! Als ik een arts chatGPT zou zien openen, een tool die ik dagelijks bijna raadpleeg, zou ik mogelijk gewoon het gesprek eindigen. Ondanks dat ik heilig geloof in het gebruik van ChatGPT zou het ontbreken van bronnen en dus het niet kunnen verifiëren van symptoom/ziektebeeld erg zorgwekkend zijn.

* Ik weet dat een huisarts vooral een arts is die van alles een beetje weet, maar je zou zeggen dat er betere databanken beschikbaar zijn voor symptomen dan Google... Ik eindig daar in ieder geval bij het stoten van mijn teen uiteindelijk in 't graf

Janpietertje89 @ultimasnake • 7 augustus 2024 15:31

Vind ik echt onzin. Die huisarts is vanwege zijn achtergrond namelijk veel beter in staat om hetgeen chatGPT uitspuugt te beoordelen. Daarom kan het wel degelijk handig zijn om chatGPT er eens bij te pakken als onderdeel van een "brainstorm" sessie, mogelijk zit er een "oh ja" momentje tussen, ook voor een professional als een huisarts. En natuurlijk zorgt die huisarts er vervolgens met zijn kennis en methodieken voor dat deze informatie geverifiëerd is.

SniperEye @Janpietertje89 • 7 augustus 2024 21:09

Klopt, het ziekenhuis in Tilburg experimenteert met AI bij vragen van patiënten naar alle tevredenheid: https://www.telegraaf.nl/...rg-ai-als-zwitsers-zakmes

magician2000 @Janpietertje89 • 7 augustus 2024 22:05

Weet je dat, denk je dat of hoop je dat?

Als ik zie wat huisartsen allemaal voor onzin bedenken, dan weet ik namelijk wel zeker dat dit niet het geval is. Huisartsen, als ze al echt kunnen luisteren en die informatie weten te verwerken, komen met basis nonsens die vooral dient om je weg te houden van specialisten.

Ja, er zijn mensen waar dit goed genoeg voor is (want die hebben eigenlijk niet echt iets), maar dit wordt vervolgens geprojecteerd op vrijwel iedere patient. Tenzij je zelf je mond open durft te trekken tegen een huisarts en eisen durft te stellen aan de gezondheidszorg die je ontvangt.

Dat ze er vervolgens met kennis en methodieken voor zorgen dat deze informatie gevverifiëerd is mag je hopen.

Janpietertje89 @magician2000 • 8 augustus 2024 08:04

Wat heeft hetgeen jij zegt met het toepassen van ChatGPT in de zorg te maken? Dit lijkt een algemene aanklacht over de staat van zorg via de huisarts?

magician2000 @Janpietertje89 • 8 augustus 2024 20:28

Omdat dit met het gebruik van dit soort tools dus nog veel erger gaat worden. Als het nu al zo'n bende is, hoeveel erger gaat het dan vanaf nu wel niet worden?

Creesch @ultimasnake • 7 augustus 2024 15:06

Ik heb overigens nog nooit een huisarts zien googlen. Wel heb ik ze zien zoeken in iets wat lijkt op Google maar wat een systeem is speciaal voor artsen.
Enfin, zelfs als we uitgaan van Google is er een reden waarom jij denkt dood te gaan en de huisarts wel met nuttig advies kan komen. Het verschil tussen jou en een huisarts is dat deze over het algemeen wel weet waar naar te zoeken en welke informatie bronnen. Daarnaast hebben ze ook de kennis om de informatie die ze vinden kritisch te beoordelen en op basis daarvan verder te zoeken.

ultimasnake @Creesch • 7 augustus 2024 15:25

Het is wat gechargeerd natuurlijk (dat ik dood eindig), maar mijn huisarts en ook die van collega's hebben dit wel eens vaker gedaan. Mogelijk eindigen ze op een van de zovele huisarts portalen, maar die zouden ze niet moeten googlen en direct moeten kunnen raadplegen natuurlijk.

Daarnaast heb ik ook wel wikipedia gezien vervolgens, alleen wel gebeurt bij een waarnemer...

Fathier @ultimasnake • 7 augustus 2024 19:49

Echt. Klinkklare onzin. Het is duidelijk dat je geen kaas hebt gegeten van hoe (huis)artsen te werk gaan. Ronduit beledigend en stuitend. Artsen googlen niet, tenminste niet om een diagnose en eventuele behandeling te stellen. Professionele medische databanken, zoals bv. de NHG-standaarden, kunnen huisartsen rechtstreeks vanuit het HIS (Huisartsen InformatieSysteem) raadplegen. Zij hebben echt geen Google, Wikipedia, e.d. nodig.
En jouw bewering dat "een huisarts een arts die van alles een beetje weet" is volkomen respectloos. Ja, een huisarts is geen medisch specialist (die overigens ook alleen maar specialist is op zijn vakgebied), maar om de huisarts te degraderen tot iemand die maar wat aanrommelt (want dat is wat je de facto beweert), dat kan echt niet.
Wellicht dat boekdelen spreekt dat je "heilig" gelooft in ChatGPT, terwijl het duidelijk is dat er niets onbetrouwbaarder is dan dit soort AI-systemen. (Bovenstaand artikel is daar het bewijs van.) En dat heb ik niet zelf bedacht, maar komt van de vele echte experts op dit gebied. Ga daar maar eens op googlen.

ultimasnake @Fathier • 8 augustus 2024 10:32

Sorry als ik wat denigrerend over kom.. niet echt de bedoeling maar een huisarts weet naar mijn mening ‘een stukje van alles’ of 'de basis + eigen ervaringen uit het verleden' en is de gatekeeper naar de specialist die daadwerkelijke behandelingen/diagnoses kan doen. Dat maakt ze niet "minder dan" en probeer zeker niet te aan te geven dat ze maar aanrommelen.

Ik heb ook geen problemen met het opzoeken van symptomen, ze zijn immers niet alwetend (en zo ook een specialistische arts niet) maar wel de wijze van het verkrijgen van deze informatie door het eerst maar in te voeren in Google wat dus nu blijkbaar al chatGPT is geworden wat een graadje erger is in mijn opinie.

Echter kan je me een hoop voorschotelen over HIS en de medische databanken en het bestaan van deze (mijn vrouw werkt op een poli in t ziekenhuis en ik heb ook een achtergrond uit het verleden in de zorg) maar ik moet je dan toch teleurstellen want ‘ik stond erbij en ik keek ernaar’.

Mijn klacht werd ingevuld in Google, kwam op een site (mogelijk medische databank die ik niet herkende) maar ging ook even langs wikipedia. Dit is mijn vrouw ook overkomen, zij zit in dermatologie (ziekenhuis) en wist wat ons kind had, de huisarts wist er echter niet direct wat van en ging dus naar Google Images om te kijken of het ziektebeeld van mijn kind overeenkwam met wat daar getoond werd en dat vonden we wel bijzonder want zoals je al zegt; daar zijn databanken voor waar getoetste informatie staat op niveau.

Toen mijn collega een keer aan de koffieautomaat vertelde dat zijn Huisarts dat dus ook deed leek het me geen n=1z. In onze eigen gevallen was het trouwens nooit onze huisarts of een van de huisartsen die doorgaans op de praktijk aanwezig zijn.

Nogmaals mocht ik ietwat kort door de bocht zijn gegaan excuses, het is niet bedoeld om de huisarts af te zeiken.

[Reactie gewijzigd door ultimasnake op 8 augustus 2024 10:40]

CivLord

@ultimasnake • 8 augustus 2024 10:21

Je hoeft ChatGPT niet meteen te gebruiken om een diagnose te stellen.

Je kan het bv. ook gebruiken om snel tekst uit een foto (van bv. een brief van een andere arts) te halen, zodat je die niet over hoeft te typen, maar meteen in het eigen systeem kan knippen en plakken. Wanneer je er achter komt dat dat mogelijk is denk je misschien enkel aan hoeveel makkelijker dat het werk maakt en niet over waar die gegevens allemaal terecht kunnen komen.

mocean 7 augustus 2024 13:49

... bijvoorbeeld een melding waarbij een medewerker van een huisartsenpraktijk medische gegevens van patiënten had ingevoerd in een AI-chatbot.

Dit is ook wel extreem dom zeg. Stel je wil iets aan een bot vragen (wat me sowieso al not done lijkt in die functie), hoezo doe je dat dan mét persoonsgegevens?

Puddi Puddin @mocean • 7 augustus 2024 13:50

Twee woorden. Onwetendheid en gemakzucht.

The Zep Man

Datalek
Privacy

@Puddi Puddin • 7 augustus 2024 13:58

Onwetendheid is geen excuus om je niet aan de regels te houden. "Wir haben es nicht gewußt" is geen excuus in een land waar je de wet- en regelgeving hoort te kennen. Dat geldt ook in een professionele context.

friket @The Zep Man • 7 augustus 2024 14:19

Ik ken niet alle regelgeving die bestaat in Nederland uit mijn hoofd hoor! Soms zijn er zulke rare regels. Je mag bijvoorbeeld niet stoepkrijten op de openbare weg... vloek op straat is ook verboden in sommige christelijke gemeenten, laat staan dat ik complexe regelgeving als GDPR van voor naar achter weet, laat staan begrijp.

The Zep Man

Datalek
Privacy

@friket • 7 augustus 2024 14:40

Ik ken niet alle regelgeving die bestaat in Nederland uit mijn hoofd hoor! Soms zijn er zulke rare regels.

Je hoeft niet alle regelgeving uit je hoofd te kennen. Je moet wel handelen naar wet- en regelgeving. Als je wet- en regelgeving niet kent, dan zoek je dat op voordat je iets doet.

Je mag bijvoorbeeld niet stoepkrijten op de openbare weg...

De naam zegt het al: "stoepkrijt".

vloek op straat is ook verboden in sommige christelijke gemeenten,

Als je zo luid vloekt op straat dat dit een probleem wordt in dergelijke gemeenten, dan kom je in de richting van het verstoren van de openbare orde, wat ook verboden is.

laat staan dat ik complexe regelgeving als GDPR van voor naar achter weet, laat staan begrijp.

Je hoeft pas de delen die van jou van toepassing zijn als jij onder bepaalde voorwaarden persoonsgegevens verwerkt. Die voorwaarden kan je gewoon opzoeken. Als je dat niet doet en je verwerkt wel persoonsgegevens zonder dat een uitzondering van jou van toepassing is, dan ben je inderdaad in overtreding.

Vergelijk het met fietsen: je hebt geen rijbewijs nodig, maar je hoort je wel aan de verkeersregels te houden.

sdsnatcher73 @The Zep Man • 7 augustus 2024 14:56

De stoep maakt dan weer onderdeel uit van de openbare weg. Stoepkrijt mag je dus alleen op eigen terrein gebruiken.

The Zep Man

Datalek
Privacy

@sdsnatcher73 • 7 augustus 2024 15:17

De stoep maakt dan weer onderdeel uit van de openbare weg.

Klopt, en gezond verstand is dan weer onderdeel van de meeste handhavers.

warzaw @The Zep Man • 7 augustus 2024 15:08

Uit de GDPR en aanverwanten worden doorgaans ook weer gedragsregels en nadere voorwaarden gedestilleerd waar je je als werknemer naar dient te gedragen in een professionele omgeving. In veel gevallen zou het nalatig van je werkgever zijn om dat niet op een of andere manier vast te leggen en te communiceren.

CivLord

@warzaw • 8 augustus 2024 09:47

Sterker nog, wanneer (jij voor) je werkgever persoonsgegevens verwerkt, moet je werkgever vastleggen welke persoonsgegevens verwerkt worden, hoe ze verwerkt worden en waarom ze verwerkt worden (de verwerkingsgrond). Wordt dat niet vastgelegd, dan heeft je werkgever de eerde GDPR-overtreding al te pakken. (En voor de ZZP-ers onder de tweakers geldt exact hetzelfde, die moeten dat ook allemaal vastleggen.)

asdfqwerty @friket • 7 augustus 2024 14:33

Het niet kennen van de wet is natuurlijk geen argument om dan kaar te doen wat niet mag, anders heeft een wet weinig zin.
Je word geacht de wet te kennen als burger. Dit is natuurlijk moeilijk, omdat er zo veel zijn (en sommigen zijn complex).

watercoolertje @The Zep Man • 7 augustus 2024 14:01

Het is ook helemaal geen excuus maar een uitleg waarom het kan gebeuren...

kodak

Datalek
Autoriteit Persoonsgegevens
Privacy

@watercoolertje • 7 augustus 2024 15:50

Zoals ik de opmerking lees is dat onwetendheid niet als excuus gebruikt hoort te worden. Maar ondertussen laat men het wel ontstaan en bestaan, terwijl er meestal al regels en afspraken zijn zoals dat je hoe dan ook geen middelen gaat en laat gebruiken die niet aan de eisen voldoen.

Natuurlijk kunnen we doen alsof onwetendheid geen excuus is zolang anderen niet uitdrukkelijk onwetendheid als excuus gebruiken. Maar als de toezichthouder stelt dat er ook nog eens duidelijke afspraken nodig zijn over specifiek het gebruik van chatbots dan lijkt de toezichthouder of bedrijven onwetendheid over de bedoeling van de bestaande regels als excuus te zien. Terwijl het juist de bedoeling van de bestaande regels is dat men het niet in het hoofd haalt om zomaar hulpmiddelen voor verwerking te gaan en blijven gebruiken. Waarbij we de toezichthouder ook nog eens geen moeite doet om er op te wijzen dat je niet zomaar extra regels of afspraken nodig hebt als je persoonlijke en bijzondere persoonlijke gegevens verwerkt!

Puddi Puddin @The Zep Man • 7 augustus 2024 14:04

Eens maar zelfs in professionele context komt dit niet vaak voor. Eigenlijk zou je iedere werknemer verplicht een training hierin moeten laten doen. Als je mij nu zou vragen wat de specifieke regeltjes van de AVG zijn dan zou ik het ook niet weten laat staan toepassen. En ja ik werk ook met persoonsgegevens.

warzaw @Puddi Puddin • 7 augustus 2024 16:11

Je kan het vast en zeker ook zelf nagaan bij je werkgever vanuit je eigen verantwoordelijkheidsgevoel

. En als die het niet weet of kan achterhalen dan hebben ze wel een serieus probleem.

Puddi Puddin @warzaw • 7 augustus 2024 16:24

Natuurlijk, ik ben zelf ook capabel genoeg om te bepalen wanneer ik een grens bereik waarbij ik eerst onderzoek moet doen voordat ik actie onderneem. Toch zou het goed zijn als er een algemene verplichte training zou komen. Want er is echt een ontzettend groot gebrek aan kennis op dit gebied.

[Reactie gewijzigd door Puddi Puddin op 7 augustus 2024 16:25]

Helium-3

@mocean • 7 augustus 2024 14:05

Doktersassistent: *moet structureel harder werken in minder tijd vanwege personeelstekort*
Doktersassistent: *opent document/emailtje/pdf-rapport met medisch rapport van een client, pagina's lang*
Doktersassistent: *ctrl-a, ctrl-c, ctr-v in ChatGPT, prompt "Vat het rapport samen en licht de belangrijkste zaken toe"*

Triblade_8472 @Helium-3 • 7 augustus 2024 15:03

Is geen probleem als ze de juiste tools gebruiken. Een offline AI of een professionele cloud versie waarbij ze de prompts verwijderen nadat je klaar bent. (zoals bijvoorbeeld de professionele Copilot licentie doet)

Maurits van Baerle @Helium-3 • 7 augustus 2024 16:02

Het probleem met ChatGPT is dat het niet goed is in samenvatten, alleen in verkorten. Dat is dus best riskant om te doen met medische gegevens omdat er een groot risico is dat cruciale details niet meegenomen worden in de samenvatting, verkorting.

When ChatGPT summarises, it actually does nothing of the kind.
Deze, met Apple Intelligence, is ook wel fascinerend: "Yesterday, I wrote two stories in our @club email newsletter, neither of which mentioned or linked to @gruber. Yet, here's the summary of that newsletter that I and many other readers get from Apple Intelligence"

[Reactie gewijzigd door Maurits van Baerle op 7 augustus 2024 16:04]

RobbieB @mocean • 7 augustus 2024 13:51

Wat voor een Tweaker vanzelfsprekend is, is dat voor >95% van de bevolking niet. Zeker mbt tot innovatieve nieuwe technologie.

invic @mocean • 7 augustus 2024 14:02

Het voorbeeld is niet helemaal duidelijk over welke soort gegevens zijn ingevoerd. Ik kan me voorstellen dat je bv aan een chatbot vraagt: op basis van bepaalde ingevoerde symptomen welk ziektebeeld het meest waarschijnlijke zou zijn.. Maar niet dat je expliciete NAW of persoonlijke gegevens invoert...

[Reactie gewijzigd door invic op 7 augustus 2024 14:14]

NoTechSupport @mocean • 7 augustus 2024 14:04

Er kunnen verschillende redenen zijn. Misschien had die persoon gelezen dat chatbots bepaalde artsenexamens beter afleggen dan toekomstige artsen en wilde die snel een second opinion.

https://m.standaard.be/cnt/dmf20240717_95866760

Of een copy paste error of...

eric.1

@mocean • 7 augustus 2024 15:00

Nouja, een verkeerde copy-paste in een foutief geselecteerd scherm is snel gedaan. En in het geval van Bing (maar vast ook andere zoek-machines) zit het al snel in hun AI model...die koppeling is best sterk tegenwoordig. Het hoeft in dat opzicht niet eens specifiek/bewust aan een AI-model gevoerd te zijn, denk ik.

[Reactie gewijzigd door eric.1 op 7 augustus 2024 15:01]

Triblade_8472 @mocean • 7 augustus 2024 15:06

Aannames!

Wie weet hebben ze een professionele Copilot licentie afgenomen waar dit niet in opgeslagen wordt of op getraind.

De assistent kan bijvoorbeeld een (incomplete) instructie hebben gekregen om "Copilot" te gebruiken en dan via Chrome naar de gratis versie te gaan ipv de juiste zakelijke omgeving.

Wat de AP doet is korte en vooral incomplete voorbeelden geven zonder context! Ik vindt dat ook behoorlijk kwalijk.

slowdive @mocean • 7 augustus 2024 15:19

Op de eerste plaats ligt de fout bij de aanbieder, die wil snel en goedkoop.
Als een bedrijf het goed wil doen runt het de ai als.een eigen instantie, zodat het weet waar de gegevens terecht komen.
Softwarebedrijven zijn als de dood dat hun code door een ai onthouden wordt, ze geven daarmee in feite hun bedrijfsgeheim weg.

Verder overschat je de mensheid als geheel. 50% heeft een iq van onder de 100.
Ik vermoed dat ook mensen met meer geluk niet weten wat het gevolg zou kunnen zijn als.ze iets in een chatbot invoeren.
Ik heb al veel disclaimers gezien maar nog nooit 'wat u hier schrijft kan en zal tegen u gebruikt worden'.

STV @mocean • 7 augustus 2024 17:49

Medische gegevens hoeven niet naar een persoon te herleiden te zijn. In dat geval zijn het geen persoonsgegevens.

Ronwiel 7 augustus 2024 13:51

Recent belde ik met een klantenservice waar je de melding kreeg dat AI voor een transcriptie van het gesprek werd gebruikt. Dat is dus ook al tricky aangezien daar vaak persoonsgegevens worden besproken.

Lisadr @Ronwiel • 7 augustus 2024 13:55

Bijzonder dat je een melding kreeg. Ken veel klantenservices die het doen en het niet melden.

Wraldpyk @Ronwiel • 7 augustus 2024 14:04

Hangt van de implementatie af. OpenAI heeft sowieso bij API gebruik de optie dat de data niet verwerkt wordt voor het leren van het model. Dus als je middels OpenAI API's werkt dan kun je in principe privacy-gevoelige gegevens zoals transcripts prima laten genereren, want niks daarvan komt weer terug bij het model.

mocean @Wraldpyk • 7 augustus 2024 14:35

Maar hoe kan je dat controleren? Zelfs als IT'er kan je dat niet echt goed. Gebeurd zo vaak bij dit soort bedrijven, dat na een jaar blijkt: Oeps, toch bewaard/gebruikt etc.

garriej @mocean • 7 augustus 2024 15:46

Dat kun je niet controleren. Het enige wat je kunt doen is geloven wat een bedrijf je verteld en als dat achteraf onwaar blijkt te zijn dan zijn juridische stappen de enige optie. Maar goed ik ben geen advocaat, dus of dat überhaupt kans van slagen heeft weet ik niet.

invic @Ronwiel • 7 augustus 2024 14:12

Niks nieuws, in het algemeen als ik bel naar een bedrijf, het komt steeds minder voor dat je dit kunt doen, wordt vooraf medegedeeld dat het gesprek opgenomen kunnen worden voor kwaliteitsdoeleinden en dus ook wordt opgeslagen...Tijdens het gesprek bestaat ook de kans dat je privé gegevens mededeelt. Alleen kunnen ze nu het gesprek geautomatiseerd naar tekst vertalen en hoeven ze het gesprek niet zelf te luisteren om te beoordelen.

[Reactie gewijzigd door invic op 7 augustus 2024 14:13]

Lisadr 7 augustus 2024 13:57

Als AP wil dat organisaties het serieuzer gaan nemen, moeten ze zelf serieuzer zijn met handhaven en boetes uitdelen. Zolang regels negeren meer geld oplevert (private sector) of makkelijker is om uit te voeren (publieke sector) zullen mensen ervoor kiezen om regels te negeren.

slaay @Lisadr • 7 augustus 2024 14:12

Dat is een politieke keuze. Als de politiek wil dat er meer gehandhaafd moet worden én dus geld vrijmaakt hiervoor kan de AP meer handhaven.

gbspeel

@slaay • 7 augustus 2024 14:41

In dat geval zou het handig zijn als de AP (deels) een eigen budget kan genereren, bijvoorbeeld doordat ze (een deel van) uitgeschreven boetes als budget kunnen inzetten voor nieuwe medewerkers. Dan hoeft de politiek budgettair weinig tot niets te veranderen, terwijl de handhaving beter kan worden.

Japie api @gbspeel • 7 augustus 2024 17:26

Je loopt dan wel het risico, dat er meer beboet gaat worden om de pot te vullen.

gbspeel

@Japie api • 7 augustus 2024 17:42

Zolang de pot alleen maar gebruikt mag worden om de handhaving te versterken en niet om kunstwerken op te hangen, lijkt het me een beperkt risico. Boetes van de AP moeten nog altijd te verantwoorden zijn tegenover de rechter. Overschot aan boetegelden kan nog altijd naar de staatskas. Uiteindelijk volgt er een nieuwe balans van wat op orde is en wat handhaving nodig heeft.

CivLord

@gbspeel • 8 augustus 2024 10:11

Dan heb je kans dat vooral bedrijven en instanties gecontroleerd gaan worden waar grote boetes uitgedeeld kunnen worden of die zich uit politiek oogpunt of publieke opinie niet kunnen veroorloven om in bezwaar te gaan tegen een twijfelachtige boete.
(Een voorbeeld van dat laatste is de Belastingdienst die een flinke boete kreeg waarvan de leiding en het ministerie vond dat de hoogte en sommige gronden twijfelachtig of volledig onjuist waren, maar waartegen toch geen bezwaar gemaakt werd vanwege de publieke opinie.)

kodak

Datalek
Autoriteit Persoonsgegevens
Privacy

@slaay • 7 augustus 2024 19:05

Om te handhaven is ook genoeg wil nodig de juist prioriteiten te stellen. Dat is een keuze van de AP zelf. Alleen lijkt men die wil met dit bericht niet te tonen, eerder juist af te schuiven.

Ze stellen zelf te zien dat veel mensen op de werkvloer gebruikmaken van digitale assistenten, zoals ChatGPT en Copilot. Ze zijn zich niet alleen bewust dat het grote risico's geeft maar het ook duidelijk vaak en veel te ver mis gaat, waar ze ook voorbeelden van geven.

In plaats van duidelijk een prioriteit te maken daarop te handhaven doen ze wat anders. Ze doen alsof er extra regels nodig zijn in bedrijven naar medewerkers. Alsof het probleem dat gebrek aan regels is, in plaats van dat als je iets absoluut niet hoort te gebruiken je het prima beschikbaar kan houden. In een economisch model werkt dit prima, het kost geld dus schaffen we het niet aan of blokkeren het. Maar de AP kan op haar vingers natellen dat de wetgever niet zomaar ook technische maatregelen vereist. Juist omdat bedrijven bij 'gratis' diensten niet zomaar willen investeren die te blokkeren, niet zomaar technische maatregelen nemen om alleen maar diensten toe te laten die expliciet goedgekeurd en toegestaan zijn, de goedkope regels wel erg makkelijk als oplossing zien om geld te besparen en (tijd)winst te vergroten.

karma4 7 augustus 2024 15:02

Als je een naam in een zoekmachine plaatst dan is er sprake van een datalek. Zoekmachines onthouden de zoekopdracht Het is wel heel ver gezocht zo'n "het zou kunnen zijn dat" redenering.

Bor Coördinator Frontpage Admins / FP Powermod @karma4 • 7 augustus 2024 15:15

Als je een naam in een zoekmachine plaatst dan is er sprake van een datalek.

Zou je dit svp kunnen onderbouwen met een objectieve bron?

karma4 @Bor • 9 augustus 2024 21:39

De ap beweert als jen een naam via een ai tool gebruikt dat het meteen een datlek is omdat externe partijen die naam.kunnen zien.
Dat verhaal gaat op voor telco's ip providers zoekmachines en als we wst masseren veel.meer. De objectieve bron is lezen wat de bewering inhoudt.

fry_35 7 augustus 2024 16:15

Uit nieuwsgierigheid, want ik snap dat je geen persoonlijke / medische gegevens ergens wil hebben staan bij een al dan niet betrouwbare AI-boer. Stel een dokter upload medische gegevens waarin staat dat Pietje een blindedarmontsteking heeft. Hoe wordt dit dan gebruikt als trainingsdata (wat is de relevantie) en is bij een lek/data-diefstal dan nog steeds duidelijk dat Pietje=blindedarmonsteking of staat er ergens los in een bestand Pietje en als andere losse blindedarmontsteking?

[Reactie gewijzigd door fry_35 op 7 augustus 2024 16:22]

CivLord

@fry_35 • 8 augustus 2024 10:35

De informatie blijft sowieso aan elkaar gekoppeld, anders is het nutteloos als trainingsdata. Wanneer het enkel de mededeling is dat Pietje een blindedarmontsteking heeft, dan zou het al naar voren kunnen komen op het moment wanneer je ChatGPT vraagt om wat over Pietje te vertellen. (En misschien zelfs wanneer je het vraagt voor Pietje Jansen, terwijl de blindedarmontsteking bij Pietje Janssen was.) Maar uitgebreidere informatie, bv. uit een consult of een brief naar een andere arts, zou misschien ook naar voren kunnen komen wanneer je ChatGPT zou vragen om voor een artsenopleiding een casus over een blindedarmontsteking samen te stellen.

fry_35 @CivLord • 8 augustus 2024 10:48

thanks voor de toelichting

Dark Angel 58 7 augustus 2024 17:07

Medische data vallen onder 'bijzondere persoonsgegevens', waarvan het verboden is om ze zonder uitdrukkelijke toestemming te verwerken onder artikel 9 van de AVG.

Volgens mij klopt het niet… op voorwaarde dat er helemaal geen persoonlijk gegevens zoals adres, bsn, verzekeringsnemer wordt gebruikt. Dan valt het niet tot bijzondere persoonsgegevens omdat het geanonimiseerd is.

In een ander geval voerde een medewerker van een telecombedrijf de adressen van klanten in bij een dergelijke chatbot.

What the fuck heb je gedaan??? Wat was je van plan??? Verkeerde venster???

Jefrey Lijffijt @Dark Angel 58 • 7 augustus 2024 23:45

Het zijn pas geen persoonsgegevens meer (volgens de AVG) als ze onherleidbaar zijn. Bijvoorbeeld medische beeldvorming is bijna altijd herleidbaar omdat mensen vrij uniek zijn.

Wellicht ging het hier om heel algemene meetgegevens, maar het is niet zo dat alle identificatiegegevens weghalen altijd volstaat om het te anonimiseren.

vDorst 7 augustus 2024 13:55

Ik heb op mijn werk de vraag gesteld of we deze techologie mogen gebruiken en wat de voorwaarde zijn.
Ik hoor in mijn bedrijf om mij heen ook dat het steeds meer wordt gebruikt maar iedereen zal een eigen interpetaie hebben wat wel/niet kan.

Ook in Windows, Office en VSCode is het bij elke update maar weer afwachten welke IA feature ze nu weer hebben toegevoegd/geactiveerd.

OptimusPrima @vDorst • 7 augustus 2024 14:51

Wat betreft het verwerken van persoonsgegevens door derden is de wetgeving vrij helder.

In de AVG staan de volgende 6 grondslagen voor het verwerken van persoonsgegevens:

U heeft toestemming van de persoon om wie het gaat.
Het is noodzakelijk om gegevens te verwerken om een overeenkomst uit te voeren.
Het is noodzakelijk om gegevens te verwerken omdat u dit wettelijk verplicht bent.
Het is noodzakelijk om gegevens te verwerken om vitale belangen te beschermen.
Het is noodzakelijk om gegevens te verwerken om een taak van algemeen belang uit te voeren / openbaar gezag uit te oefenen.
Het is noodzakelijk om gegevens te verwerken om uw gerechtvaardigde belang te behartigen.

Wanneer de verwerking voldoet aan één (of meer) van deze eisen mag deze plaatsvinden.

Als ik klantgegevens in een AI-prompt plaats, moet ik mezelf dus de vraag stellen of de nodige maatregelen zijn genomen om te voldoen aan de wet- en regelgeving. Een AI-model wat in onze eigen omgeving draait, waarbij de verwerkte gegevens de omgeving niet verlaten zal sneller door de keuring heen komen (lees: hier zitten nog steeds voorwaarden aan vast, zoals het eventueel bijwerken van je privacy statement of het opstellen van een verwerkersovereenkomst). Een ChatGPT zal lastiger worden, hoewel er wel technieken zijn om persoonsgegevens te pseudonimiseren, waarbij je na het ophalen van de data de pseudonimisering weer omgedaan kan maken.

Nu ik dit type vraag ik me af of Autoriteit Persoonsgegevens ook komt met specifieke richtlijnen of een checklist voor het verwerken van persoonsgegevens in AI-modellen. "Maak afspraken met je medewerkers" is wat mij betreft niet heel erg behulpzaam.

CivLord

@OptimusPrima • 8 augustus 2024 10:05

Voor elke afzonderlijke verwerking van dezelfde persoonsgegevens heb je afzonderlijk een verwerkingsgrond nodig.

Wanneer je persoonsgegevens nodig hebt om een overeenkomst uit te voeren (zoals een webshop, die NAW gegevens nodig heeft om je bestelling af te kunnen leveren en een emailadres om de bevestiging en factuur te kunnen versturen), betekent dat niet dat die webshop die gegevens ook kan gebruiken om een periodieke nieuwsbrief te versturen (daar moet je apart toestemming voor geven d.m.v. een vinkje, dat tegen de regels in vaak al voor je aangevinkt is).
Sommige gegevens moeten vanwege een wettelijke verplichting vastgelegd worden in de administratie (zodat o.a. de Belastingdienst die kan controleren).
En wanneer de webshop de NAW gegevens over de afgelopen jaren gebruikt om te bepalen waar het beste een nieuw distributiecentrum gebouwd kan worden, dan kan je van gerechtvaardigd belang spreken.

En van elke verwerking moet je vastleggen welke gegevens je nodig hebt, hoe je ze gebruikt en op basis van welke verwerkingsgrond.

BHD294 7 augustus 2024 14:13

Ze zijn wel aan AI begonnen, want het leverd geld op en idd in sommige zaken bv versnellen van onderzoeken naar bv kanker of iets in die trend is het mooi dat AI helpt.
Vd rest is het gewoon onbekend wat de effecten zijn op lange termijn en als het in het begin al zo fout gaat, houd mijn hart vast figuurlijk om het maar zo te zeggen.
Nee AI, ga ik niet gebruiken voorlopig totdat het meer duidelijkheid geeft hoe en wat en wat de risicos zijn.

Alfa1970 7 augustus 2024 14:14

Uhm, "wellicht", yeah sure. Wat dachten ze van met 100% zekerheid.
Je stuurt je gegevens over het internet naar de aanbieder van de dienst, op welke manier denken ze dat de aanbieder van die dienst niet aan je gegevens kan komen die je zelf verzend?

Op dit item kan niet meer gereageerd worden.

AP waarschuwt voor gebruik van AI-chatbots na datalekmeldingen

Lees meer

'Eindelijk geld voor privacybescherming'

Over boetes aan burgers en burgemeesters

Vijf jaar AVG

'We moeten nog te vaak nee verkopen'

IT-banen

Reacties (70)

Lees meer

'Eindelijk geld voor privacybescherming'

Over boetes aan burgers en burgemeesters

Vijf jaar AVG

'We moeten nog te vaak nee verkopen'

IT-banen

Reacties (70)

Sorteer op:

Weergave: