BLOG: AI-chatbots op de werkvloer: de risico's van datalekken
donderdag 05 september 2024
De Autoriteit Persoonsgegevens (AP) waarschuwt dat het gebruik van AI-chatbots op de werkvloer het risico op datalekken vergroot.
Faye Horvest, adviseur bij L2P, vertelt wat er aan de hand is.
Het gebruik van AI-chatbots, zoals ChatGPT en Copilot, heeft een enorme vlucht genomen. Veelzeggend is dat de rechtbank Gelderland onlangs in rechterlijke uitspraak expliciet ChatGPT als bron gebruikte, namelijk om de hoogte van een schadevergoeding te bepalen. Ook in andere werkomgevingen worden AI-tools steeds meer ingezet. Er zijn immers allerlei mogelijkheden om met AI (saaie) werkzaamheden te versnellen, te versimpelen en te ondersteunen.
De Autoriteit Persoonsgegevens waarschuwt voor datalekken door AI
In augustus 2024 waarschuwde de Autoriteit Persoonsgegevens (AP) in een nieuwsbericht dat het gebruik van AI-chatbots op de werkvloer het risico op datalekken vergroot. Door persoonsgegevens in te voeren in AI-chatbots, kunnen de bedrijven die de chatbot aanbieden ongeoorloofd toegang krijgen tot de persoonsgegevens.
Volgens de AP neemt de kans op een datalek toe doordat de meeste aanbieders van AI-chatbots, waaronder OpenAI (het bedrijf achter ChatGPT) en Microsoft (de maker van Copilot), alle ingevoerde gegevens opslaan. Persoonsgegevens die een medewerker invoert in de tool (zoals medische gegevens of adressenbestanden), worden opgeslagen op de servers van de techbedrijven. Hierdoor kunnen derden toegang krijgen tot persoonsgegevens zonder dat de organisatie op de hoogte is van de verwerkingen, zonder dat het de bedoeling van de organisatie is, of zonder dat het wettelijk is toegestaan.
De risico's van AI-chatbots op de werkvloer
De AP onderscheidt twee manieren waarop er ongeoorloofde situaties kunnen ontstaan door het gebruik van AI-chatbots op de werkvloer.
· Allereerst is het mogelijk dat medewerkers op eigen initiatief persoonsgegevens invoeren in AI-systemen, zonder dat
ze zich bewust zijn van de gevolgen of van de regels van de werkgever. Een datalek ontstaat ook als een
medewerker tegen de afspraken in persoonsgegevens deelt met een AI-chatbot.
· Daarnaast ontbreekt er bij organisaties nogal eens formeel beleid over het gebruik van AI-toepassingen. In dat geval
is er niet per definitie sprake van een datalek als een medewerker persoonsgegevens invoert in een AI-chatbot.
Maar vaak is de verwerking van de persoonsgegevens niet toegestaan op grond van de Algemene verordening
persoonsgegevens (AVG), omdat de grondslag ontbreekt.
Afspraken over het gebruik van AI op de werkvloer
Op basis van enkele meldingen constateert de AP dat medewerkers vaak op eigen initiatief - en zonder overleg met collega's of leidinggevenden - AI-chatbots gebruiken. Duidelijke afspraken en regels over de inzet van AI zijn volgens de AP essentieel om datalekken en ongeoorloofde situaties te voorkomen.
Als de werkgever het gebruik van AI-chatbots toestaat, dan is er een helder beleid nodig dat de kaders schetst voor de dagelijkse werkpraktijk. Zo'n beleid geeft antwoorden op vragen zoals:
· Voor welke doeleinden mogen medewerkers AI-chatbots gebruiken?
· Welke tools stelt de organisatie beschikbaar:
Er zijn bijvoorbeeld AI-bots die gebruik maken van tijdelijke chats, zonder dat de ingevoerde (persoons)gegevens
worden gebruikt voor de doorontwikkeling van het model, of voor andere doeleinden van het bedrijf.
· Op welke manier mogen medewerkers informatie delen met de AI-chatbots? Welke soorten data mogen nooit in een
AI-systeem worden ingevoerd? Denk aan medische gegevens, klantdata en informatie uit personeelsdossiers.
· Op welke manier gebruikt de organisatie de output van de AI-tools? Welke (menselijke) controle wordt er uitgevoerd
om de juistheid van AI-gegenereerde gegevens te beoordelen?
De AP adviseert organisaties om ook afspraken te maken met de bedrijven achter de AI-chatbots over de verzameling en opslag van persoonsgegevens.
Risico's verkleinen
Het risico op een datalek is natuurlijk nooit helemaal af te dekken. Maar met goede afspraken - met de gebruikers én leveranciers van AI-chatbots - kan je als organisatie het risico op overtredingen van de AVG wel aanzienlijk verkleinen.