De Autoriteit Persoonsgegevens (AP) ontving dit jaar al tientallen meldingen van
incidenten waarbij gevoelige informatie via publieke AI-tools werd gedeeld, meldt het Financieel Dagblad. Een recent datalek bij de gemeente Eindhoven onderstreept volgens de privacytoezichthouder de risico’s van het ondoordacht gebruik van gratis chatbots zoals ChatGPT, Claude en Gemini.
‘AI-gebruik leidt tot meer datalekken’
Het gebruik van AI-chatbots op de werkvloer leidt tot een groeiend aantal datalekken. Daarvoor waarschuwt de Autoriteit Persoonsgegevens.
Vertrouwelijke documenten
Aanleiding voor de waarschuwing is het incident bij de gemeente Eindhoven, dat op 18 december openbaar werd gemaakt. Medewerkers bleken persoonlijke gegevens van inwoners en collega’s te hebben ingevoerd in openbare AI-websites. Het ging onder meer om vertrouwelijke documenten zoals cv’s, documenten uit de jeugdzorg en interne verslagen. De gegevens kwamen aan het licht na een interne steekproef van dertig dagen, uitgevoerd over de periode van 23 september tot 23 oktober.
Vervelende situatie
De gemeente meldde het datalek op 23 oktober bij de AP. Hoeveel bestanden precies zijn gedeeld, is niet vast te stellen. De gebruikte AI-platforms bewaren ingevoerde gegevens maximaal dertig dagen. Daardoor kan Eindhoven betrokkenen ook niet individueel informeren. Het college van burgemeester en wethouders en de directieraad spreken van een ‘vervelende’ situatie voor inwoners en medewerkers en zeggen geschrokken te zijn van de uitkomsten.
Experimenteren
Naar aanleiding van het lek schakelde de gemeente juridisch adviesbureau Hooghiemstra & Partners in, dat het geschetste beeld bevestigde. Om herhaling te voorkomen zijn openbare AI-websites, waaronder ChatGPT, direct geblokkeerd bij de gemeente Eindhoven. Sindsdien kunnen medewerkers uitsluitend gebruikmaken van Copilot binnen de beveiligde gemeentelijke omgeving. Ook is OpenAI gevraagd om de vanuit Eindhoven geüploade bestanden te verwijderen en is het toezicht op dataverkeer naar externe websites aangescherpt.
Volgens de AP ontstaan dit soort lekken vaak doordat medewerkers op eigen initiatief experimenteren met gratis AI-tools. Die slaan ingevoerde gegevens op, terwijl onduidelijk is wat aanbieders daar vervolgens mee doen. In sommige gevallen worden de gegevens gebruikt om AI-modellen verder te trainen, met het risico dat persoonlijke informatie indirect terugkomt in gegenereerde antwoorden.
Heldere afspraken
De AP adviseert organisaties om heldere afspraken te maken over welke gegevens wel en niet in AI-systemen mogen worden ingevoerd. Volgens experts is het risico dat individuele gegevens opnieuw zichtbaar worden via AI beperkt, maar niet volledig uit te sluiten. Dat maakt waakzaamheid noodzakelijk.
Plaats als eerste een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.