De Autoriteit Persoonsgegevens (AP) heeft gewaarschuwd voor privacyrisico’s in verband met datalekken die verband houden met het gebruik van AI-chatbots. Dit komt naar voren uit een reactie van de AP op een artikel in het Financieele Dagblad (FD). De meldingen van datalekken betroffen persoonsgegevens van klanten, patiënten en burgers die zijn gedeeld met deze chatbots, meldt Nieuws Impuls.
Privacyzorgen
Volgens de AP kunnen gevoelige gegevens door de inzet van ‘slimme’ vraagbaken, zoals chatbots, gelekt worden. Deze incidenten deden zich voor zowel bij overheidsinstanties als bij bedrijven. Er werden in 2024 meer meldingen geregistreerd dan in 2025, aldus AP-woordvoerder Ernst Moeksis.
Verspreiding van gegevens
Moeksis benadrukt dat als gegevens via een chatbot worden gelekt, deze informatie op het internet kan zwerven. Een chatbot gebruikt deze gegevens om vragen van andere gebruikers te beantwoorden, wat leidt tot een gebrek aan controle over wat er met de informatie gebeurt.
Verbod op delen van gegevens
Het delen van persoonsgegevens met derden is niet toegestaan. Moeksis stelt dat dit soort gevoelige gegevens, of deze nu via een chatbot worden ingevoerd of op andere manieren worden gedeeld, altijd onder de privacywetgeving vallen.
Datalek in Eindhoven
Een recent datalek vond plaats bij de gemeente Eindhoven. De lokale overheid maakte op 18 december bekend dat veel bestanden met persoonlijke gegevens van inwoners en medewerkers bij openbare chatbots terecht waren gekomen.
Tijdlijn van het lek
Tussen 23 september en 23 oktober zijn cv’s en documenten met betrekking tot jeugdzorg en interne verslagen naar openbare chatbots gestuurd. De gemeente kan echter geen exacte omvang van het lek vaststellen.
Beperkingen opgelegd
Als reactie op het datalek heeft de gemeente alle openbare AI-sites, waaronder ChatGPT, geblokkeerd. Medewerkers hebben nu alleen toegang tot het programma Copilot binnen een beveiligde omgeving. Bovendien heeft de gemeente OpenAI gevraagd om de geüploade bestanden te verwijderen.
Initiatieven van werknemers
Het soort datalekken zoals dat bij de gemeente Eindhoven is vaak het gevolg van het eigen initiatief van individuele werknemers die AI-modellen gebruiken. De gratis versies van deze modellen slaan ingevoerde gegevens op, terwijl het onduidelijk is wat de bedrijven erachter verder mee doen. Dit vormt een risico, aangezien persoonlijke details weer in antwoorden van de bots kunnen verschijnen.
