Klant- en patiëntgegevens kunnen uitlekken via AI-chatbots
De Autoriteit Persoonsgegevens (AP) heeft meerdere meldingen ontvangen van datalekken die ontstonden nadat medewerkers persoonsgegevens van klanten en patiënten hadden gedeeld met een AI-chatbot.
Veel organisaties realiseren zich niet dat deze chatbots ingevoerde informatie kunnen opslaan, waardoor privacygevoelige gegevens bij techbedrijven terechtkomen. Hoewel het exacte aantal meldingen onbekend blijft, geeft de AP enkele zorgwekkende voorbeelden. Zo heeft een medewerker van een huisartsenpraktijk medische gegevens van patiënten ingevoerd bij een AI-chatbot. Dit soort gevoelige informatie delen met een techbedrijf vormt volgens de AP 'een grote schending van de privacy' van de betrokken patiënten.
In een ander geval heeft een medewerker van een telecombedrijf een bestand met onder meer adressen van klanten ingevoerd in een AI-chatbot. AI-chatbots zoals ChatGPT en Copilot worden steeds vaker ingezet op de werkvloer vanwege hun vermogen om taken te vereenvoudigen, zoals het samenvatten van grote documenten. Echter, de meeste bedrijven die deze chatbots aanbieden, slaan alle ingevoerde gegevens op.
'Die gegevens komen daardoor terecht op de servers van die techbedrijven, vaak zonder dat degene die de data invoerde zich dat realiseert', waarschuwt de AP. Dit zorgt voor onduidelijkheid over het verdere gebruik van de ingevoerde gegevens. Zowel de invoerder als de betrokken personen weten vaak niet wat er met hun gegevens gebeurt, wat leidt tot datalekken. Daarom adviseert de AP organisaties om duidelijke afspraken te maken met hun medewerkers over het gebruik van AI-chatbots.
De toezichthouder benadrukt dat als het gebruik van een chatbot wordt toegestaan, organisaties goed moeten overleggen welke gegevens wel en niet mogen worden ingevoerd. Daarnaast kunnen organisaties afspraken maken met de makers van chatbots om ervoor te zorgen dat ingevoerde gegevens niet worden opgeslagen.