ChatGPT is pas twee jaar oud, maar nu al onmisbaar voor velen. Niet voor niets is sindsdien de strijd om de beste AI-chatbot ter wereld losgebarsten. Denk aan het zeer goedkoop ontwikkelde Chinese DeepSeek en het vorige week gelanceerde derde Grok-model van Elon Musk. Met elk nieuw model nemen de zorgen om de privacy toe. Een overzicht van de belangrijkste privacy waarschuwingen tot op heden.

AI-chatbots en AVG

AVG en AI-chatbots blijken in de praktijk geen goede match. Het naleven van de AVG door en tijdens het gebruik van AI-chatbots zorgt voor de nodige uitdagingen.

Welke uitdagingen dit zoal zijn?

  • Het AVG-recht om je gegevens te laten verwijderen of wijzigen is vrijwel onuitvoerbaar als een AI-chatbot de data overal en nergens vandaan haalt.

  • Het is lastig om een AVG-grondslag te vinden voor de verwerking van persoonsgegevens (er zijn er 6: van toestemming tot algemeen belang) om het massaal verzamelen en opslaan van data te kunnen rechtvaardigen.

  • Er bestaat een kans dat elementen uit een gesprek met een (gratis) chatbot elders opduiken, omdat deze gesprekken vaak weer gebruikt worden om het model verder te trainen.

Uiteraard zijn er ook andere issues die zich voordoen bij het gebruik van chatbots. Denk aan het feit dat de chatbot het niet altijd bij het rechte eind heeft en de onderliggende data vooroordelen kan bevatten of aan censuur onderhevig kan zijn.

ChatGPT als toenemende oorzaak van datalekken

Afgelopen zomer stuurde de Autoriteit Persoonsgegevens een waarschuwing uit vanwege het toenemende aantal datalekken door het gebruik van ChatGPT, dat ontwikkeld is door het Amerikaanse bedrijf OpenAI.

Datalekken vinden vaak plaats door het onbewust of per ongeluk invoeren van persoonsgegevens in ChatGPT. Bijvoorbeeld bij het laten samenvatten van een lijvig dossier.

Medewerkers zien vooral het gemak van AI-tools als ChatGPT en verliezen de mogelijke risico’s al snel uit het oog.

Daarom is het volgens de Autoriteit Persoonsgegevens vooral zaak om – naast duidelijke afspraken – te werken aan bewustwording rondom het gebruik van AI. Bijvoorbeeld door middel van concrete richtlijnen, trainingen en uitlegmateriaal.

DeepSeek: voorzichtigheid geboden

Onlangs bracht het Chinese AI-bedrijf DeepSeek een eigen chatbot op de markt. De hele AI-wereld werd opgeschud door dit nieuws.

Het bedrijf DeepSeek bestaat pas twee jaar en heeft in korte tijd een geduchte concurrent van ChatGPT ontwikkeld. De Chinese chatbot lijkt ook nog eens tegen een fractie van de ontwikkelkosten van ChatGPT te zijn gemaakt.

Snel na de komst van DeepSeek blokkeerde de Italiaanse privacytoezichthouder de Chinese chatbot in verband met zorgen over de privacy. Dit deed de Italiaanse toezichthouder overigens ook met ChatGPT, vlak na het verschijnen ervan.

Ook de Autoriteit Persoonsgegevens waarschuwt gebruikers van DeepSeek om er voorzichtig en terughoudend mee om te gaan.

Op de site van de Autoriteit Persoonsgegevens valt het volgende statement van AP-voorzitter Aleid Wolfsen te lezen:

“De AP waarschuwt vanwege de ernstige zorgen die er bestaan over het privacybeleid van het Chinese DeepSeek en over de manier waarop het bedrijf met de persoonlijke gegevens van de gebruikers lijkt om te gaan.”

Het grootste AVG-probleem?

De doorgifte van persoonsgegevens naar China. Het doorgeven van persoonsgegevens van Europese inwoners naar landen buiten de EU waarover geen adequaatheidsbesluit genomen is, mag namelijk alleen onder strenge (privacy)voorwaarden.

De doorgifte van persoonsgegevens naar een Chinees bedrijf als DeepSeek is daardoor al snel onrechtmatig.

Daarnaast is onduidelijk hoe veilig de chatbot is. In januari kwam het nieuws naar buiten dat er een groot datalek had plaatsgevonden bij DeepSeek. Meer dan een miljoen chats van gebruikers waren publiekelijk toegankelijk. Daarbij was ook gevoelige informatie betrokken.

AI Act legt regels op, maar privacy blijft geborgd door de AVG

De AI Act legt regels op aan AI-modellen voor algemene doeleinden, waartoe ook de chatbots behoren. Vanaf 2 augustus van dit jaar gaan deze regels in.

Hoewel de AI Act meer duidelijkheid geeft over de wijze waarop het AI-model achter een chatbot getraind wordt, biedt het geen garanties op het gebied van privacy.

Daarvoor gelden namelijk al de bestaande AVG-regels.

Eerder kwam de European Data Protection Board (EDPB) daarom met een advies over het gebruik van persoonsgegevens bij het ontwikkelen en in gebruik nemen van AI-modellen.

Belangrijkste tip?

Streven naar anonimiteit…..

Blijf op de hoogte!

Abonneert u zich op onze maandelijkse nieuwsbrief en blijf op de hoogte van de ontwikkelingen op het gebied van AI en privacy.