AI-chatbots kunnen klant- en patiëntgegevens uitlekken

De Autoriteit Persoonsgegevens (AP) heeft recentelijk meerdere meldingen ontvangen van datalekken waarbij persoonsgegevens van klanten en patiënten mogelijk zijn blootgesteld door het gebruik van AI-chatbots zoals ChatGPT.

Deze incidenten benadrukken een groeiende bezorgdheid over de privacyrisico’s van kunstmatige intelligentie in de bedrijfswereld.

Volgens de AP zijn er gevallen gerapporteerd waarin medewerkers vertrouwelijke gegevens hebben ingevoerd in AI-chatbots zonder zich bewust te zijn van de privacy-implicaties.

Een opvallend voorbeeld betreft een huisartsenpraktijk waar een medewerker medische gegevens van patiënten in een chatbot invoerde.

Deze gegevens, die vaak zeer persoonlijk en gevoelig zijn, zouden in dit geval op servers van een techbedrijf terecht zijn gekomen, wat wordt beschouwd als een ernstige inbreuk op de privacy van de betrokken patiënten.

Een ander voorbeeld kwam van een telecombedrijf. Hier had een medewerker een bestand met klantadressen in een AI-chatbot ingevoerd. De implicaties van zulke acties zijn groot, aangezien persoonsgegevens op deze manier kunnen worden opgeslagen en mogelijk misbruikt.

AI-chatbots zoals ChatGPT en Copilot worden steeds vaker ingezet op de werkvloer om routinetaken te vereenvoudigen, zoals het samenvatten van documenten en het genereren van teksten.

Deze technologieën beloven efficiënte oplossingen voor veel bedrijfsprocessen, maar brengen ook aanzienlijke risico’s met zich mee. Een van de problemen is dat veel van deze chatbots de ingevoerde gegevens opslaan, vaak zonder dat de gebruiker zich hiervan bewust is.

De AP benadrukt dat deze opgeslagen data vaak belandt op servers van techbedrijven, wat een potentieel privacyrisico vormt.

De Autoriteit Persoonsgegevens heeft daarom een dringend advies voor organisaties die AI-chatbots gebruiken: maak duidelijke afspraken met medewerkers over het gebruik van deze technologieën.

Het is cruciaal dat bedrijven goed communiceren welke gegevens wel en niet mogen worden ingevoerd in chatbots. Bovendien zouden organisaties overeenkomsten moeten afsluiten met de makers van AI-chatbots om te verzekeren dat de ingevoerde gegevens niet worden opgeslagen of misbruikt.

Door deze maatregelen te treffen, kunnen organisaties helpen om de risico’s van datalekken te minimaliseren en de privacy van hun klanten en patiënten beter te beschermen.