AI-chatbots kunnen gevaarlijk zijn, want ook deze software raakt betrokken bij datalekken. Hiervoor waarschuwt de Autoriteit Persoonsgegevens. Hier zijn de laatste tijd meerdere meldingen binnengekomen van datalekken en daar zitten een paar ernstige voorbeelden tussen: de gegevens van patiënten bijvoorbeeld.
De autoriteit wil nu duidelijk maken dat je echt geen persoonsgegevens in AI-chatbots moet invoeren, want bedrijven achter de chatbots krijgen dan ongeoorloofd toegang tot die persoonsgegevens. Hoe handig ze dus ook zijn op de werkvloer, er is juist op die werkvloer ook dat risico van persoonsgegevens lekken, zoals klantinformatie. Hoewel de AP erkent dat AI-chatbots het werk leuker kunnen maken en tijd kunnen besparen, zijn er risico’s waar het burgers graag bewust van maakt.
Veel mensen zijn zich waarschijnlijk niet eens bewust dat ze een datalek veroorzaken. Chatbots worden vaak op eigen initiatief gebruikt door medewerkers, zonder dat de baas er weet van heeft. Sterker nog, vaak zijn werkgevers erop tegen. Zodra je klantgegevens in zo’n chatbot invoert, is het al te laat: dat is een datalek, tenzij AI-chatbots worden gerund door de systeembeheerder van het bedrijf en dat wel is toegestaan. Echter is het dan alsnog tegen de wet.
Het lastige aan een AI-chatbot-datalek is dat ze vaak ongemeld blijven, omdat mensen niet weten dat ze een datalek veroorzaken. Net als dat mensen wiens informatie in het datalek voorbijkomt niet weten dat die gegevens bekend zijn bij het bedrijf achter de chatbot. Het is dus eigenlijk een soort sneaky datalek, maar dat maakt het niet minder problematisch. Bedrijven slaan die gegevens op, zetten ze op hun servers en niemand geeft hier toestemming voor, want ze weten immers niet dat dat het geval is.
De Autoriteit Persoonsgegevens heeft een tip voor werkgevers: “Het is belangrijk dat organisaties met hun medewerkers duidelijke afspraken maken over de inzet van AI-chatbots. Mogen medewerkers chatbots gebruiken, of liever niet? En als organisaties het toestaan, moeten zij aan medewerkers duidelijk maken welke gegevens zij wel en niet mogen invoeren. Organisaties zouden ook met de aanbieder van een chatbot kunnen regelen dat die de ingevoerde gegevens niet opslaat. Gaat het toch mis, en lekt een medewerker persoonsgegevens door tegen de gemaakte afspraken in een chatbot te gebruiken? Dan is een melding aan de AP en aan de slachtoffers in veel gevallen verplicht.”
Maar je moet dus niet alleen als manager opletten: als medewerker ben je net zo verantwoordelijk voor het zorgvuldig omgaan met persoonlijke gegevens. Houd die dus verre van een AI-chatbot, want die heeft daar niets mee te maken. Net als je eigen gegevens trouwens.
