Beveiligingnieuws Logo

Onze partners

OSEC

Explicate

Connect Security

HID

Service Centrale Nederland

VideoGuard

Centurion

ADI

VAIBS

Advancis

Hikvision

Aritech

Brivo

CardAccess

NetworxConnect

G4S

CSL

ASSA ABLOY

Nenova

Paraat

20face

Genetec

Add Secure

Seagate

Crown Security Services

CDVI

VEB

SmartSD

Securitas

Seris

HD Security

VVNL

Masset Solutions

Regio Control Veldt

Alarm Meldnet

SmartCell

Avigilon Alta

2N

Bydemes

Milestone

Eizo

Eagle Eye Networks

NIBHV

Multiwacht

SOBA

Secusoft

Network Optix

ASIS

BHVcertificaat.online

ARAS

PG Security Systems

Optex

Paxton

Bosch Security Systems

Dero Security Products

Kiwa

Gold-IP

DZ Technologies

Hanwha Vision Europe

Uniview

IDIS

EAL

Lobeco

VBN

Ajax Systems

Traka ASSA ABLOY

Akuvox

i-Pro

Trigion

Unii

SMC Alarmcentrale

Top Security

Oribi ID Solutions

Sequrix

Alphatronics

AI-chatbot kan leiden tot datalekken

7 augustus 2024
Redactie
11:16

De Autoriteit Persoonsgegevens (AP) kreeg de afgelopen tijd meerdere meldingen binnen van datalekken doordat medewerkers persoonsgegevens van bijvoorbeeld patiënten of klanten deelden met een chatbot die gebruikmaakt van kunstmatige intelligentie (AI). Door het invoeren van persoonsgegevens in AI-chatbots kunnen de bedrijven die de chatbot aanbieden ongeoorloofd toegang krijgen tot die persoonsgegevens.

De AP ziet dat veel mensen op de werkvloer gebruikmaken van digitale assistenten, zoals ChatGPT en Copilot. Bijvoorbeeld om vragen van klanten te beantwoorden of om grote dossiers samen te vatten. Dat kan tijd schelen en werknemers minder leuk werk besparen, maar er kleven ook grote risico’s aan.
Bij een datalek gaat het om toegang tot persoonsgegevens zonder dat dit mag of zonder dat dit de bedoeling is. Vaak gebruiken medewerkers de chatbots op eigen initiatief en tegen de afspraken met de werkgever in: als daarbij persoonsgegevens zijn ingevoerd, dan is sprake van een datalek. Soms is het gebruik van AI-chatbots onderdeel van het beleid van organisaties: dan is het geen datalek, maar vaak niet wettelijk toegestaan. Organisaties moeten beide situaties voorkomen.
De meeste bedrijven achter chatbots slaan alle ingevoerde gegevens op. Die gegevens komen daardoor terecht op de servers van die techbedrijven, vaak zonder dat degene die de data invoerde zich dat realiseert. En zonder dat die precies weet wat dat bedrijf met die gegevens gaat doen. De persoon van wie de gegevens zijn, zal dat bovendien ook niet weten.

Medische gegevens en adressen van klanten
Bij een van de datalekken waarvan de AP een melding kreeg, had een medewerker van een huisartsenpraktijk – tegen de afspraken in – medische gegevens van patiënten ingevoerd in een AI-chatbot. Medische gegevens zijn zeer gevoelige gegevens en krijgen niet voor niets extra bescherming in de wet. Die gegevens zomaar delen met een techbedrijf is een grote schending van de privacy van de mensen om wie het gaat.
Ook kreeg de AP een melding binnen van een telecombedrijf, waar een medewerker een bestand met onder meer adressen van klanten had ingevoerd in een AI-chatbot.
Het is belangrijk dat organisaties met hun medewerkers duidelijke afspraken maken over de inzet van AI-chatbots. Mogen medewerkers chatbots gebruiken, of liever niet? En als organisaties het toestaan, moeten zij aan medewerkers duidelijk maken welke gegevens zij wel en niet mogen invoeren. Organisaties zouden ook met de aanbieder van een chatbot kunnen regelen dat die de ingevoerde gegevens niet opslaat.

Meld datalekken
Gaat het toch mis, en lekt een medewerker persoonsgegevens door tegen de gemaakte afspraken in een chatbot te gebruiken? Dan is een melding aan de AP en aan de slachtoffers in veel gevallen verplicht.

Deel dit artikel via:

Schijn-zzp'ers

Premium partners

Suricat

Aritech

Videoguard

Seagate

SequriX

Wordt een partner