Gebruik van AI-chatbots kan tot datalekken leiden
De Autoriteit Persoonsgegevens (AP) meldt dat het de afgelopen tijd meerdere meldingen heeft ontvangen van datalekken als gevolg van het ‘delen’ van persoonsgegevens met chatbots. Werkgevers doen er goed aan om hierover duidelijke afspraken te maken.
Steeds meer werknemers maken gebruik van generatieve AI-tools voor de dagelijkse werkzaamheden. Vaak gaat het hierbij om chatbots als ChatGPT en Copilot, die veel voordelen en toepassingsmogelijkheden (artikel) hebben. Maar er kleven ook risico’s aan (artikel), waaronder op het gebied van privacy en digitale veiligheid.
Ongeoorloofde toegang tot persoonsgegevens
Omdat een chatbot de door gebruikers ingevoerde gegevens kan opslaan om zichzelf te ‘trainen’, is het niet uitgesloten dat gegevens bij andere personen belanden. Daarnaast hebben de organisaties achter de AI-tools mensen in dienst die de input van gebruikers kunnen inzien en analyseren voor ontwikkeldoeleinden.
De AP geeft enkele voorbeelden van gemelde datalekken (toolbox), waarvan sprake is bij een ongeoorloofde of onbedoelde toegang tot persoonsgegevens. Zo had een werknemer van een huisartsenpraktijk medische gegevens van patiënten ingevoerd in een chatbot, ondanks dat zijn werkgever afspraken had gemaakt over zorgvuldige omgang met persoonsgegevens. En een werknemer van een telecombedrijf had onder meer adresgegevens van klanten ingevoerd.
Afspraken maken over het gebruik van AI-tools
Om het risico te verkleinen dat persoonsgegevens op straat komen te liggen en te voorkomen dat werknemers in strijd handelen met de regels van de Algemene verordening gegevensbescherming (AVG), doen werkgevers er in ieder geval goed aan werknemers te informeren over de risico’s van chatbots. Voor een goede gegevensbescherming is het nog beter om het gebruik van AI-tools te reguleren (tool). Het is ook mogelijk om op individueel niveau afspraken te maken met werknemers om vertrouwelijke gegevens te beschermen. Dat kan in een geheimhoudingsbeding (tool). Werkt een organisatie met een externe partij als verwerker van persoonsgegevens, dan is het raadzaam om ook met die partij duidelijke afspraken te maken.
Meldplicht bij datalek
Vindt er onverhoopt toch een datalek plaats, dan geldt hiervoor een meldplicht (tool) bij de AP. In bepaalde situaties moet de organisatie ook de betrokkenen informeren (tool). Als het gebruik van chatbots onderdeel is van het beleid van een organisatie, is het geen datalek, maar vaak niet wettelijk toegestaan. Dus ook zonder datalek kunnen organisaties de privacyregels overtreden. Houdt een organisatie zich niet aan de regels van de AVG, dan loopt zij het risico op een boete van de AP (infographic).
Ondernemingsraad betrekken bij chatbots
Voor het structureel gebruik van chatbots moeten werkgevers de ondernemingsraad (OR) benaderen. De OR heeft namelijk adviesrecht bij de invoering van AI en het vormgeven van AI-beleid, omdat het gaat om een belangrijke technologische voorziening die bovendien vraagt om een investering. En in het kader van de verwerking van persoonsgegevens, moeten werkgevers het voorgenomen besluit op basis van het instemmingsrecht ook aan de OR voorleggen voor instemming.