Let op: gebruik AI-chatbot kan leiden tot datalekken

De Autoriteit Persoonsgegevens (AP) heeft de afgelopen tijd meerdere meldingen binnengekregen van datalekken doordat medewerkers persoonsgegevens van bijvoorbeeld patiënten of klanten deelden met een chatbot die gebruikmaakt van kunstmatige intelligentie (AI). Door het invoeren van persoonsgegevens in AI-chatbots kunnen de bedrijven die de chatbot aanbieden ongeoorloofd toegang krijgen tot die persoonsgegevens.

Autoriteit Persoonsgegevens

9 augustus 2024

De AP ziet dat veel mensen op de werkvloer gebruikmaken van digitale assistenten, zoals ChatGPT en Copilot. Bijvoorbeeld om vragen van klanten te beantwoorden of om grote dossiers samen te vatten. Dat kan tijd schelen en werknemers minder leuk werk besparen, maar er kleven ook grote risico’s aan.

Bij een datalek gaat het om toegang tot persoonsgegevens zonder dat dit mag of zonder dat dit de bedoeling is. Vaak gebruiken medewerkers de chatbots op eigen initiatief en tegen de afspraken met de werkgever in: als daarbij persoonsgegevens zijn ingevoerd, dan is sprake van een datalek. Soms is het gebruik van AI-chatbots onderdeel van het beleid van organisaties: dan is het geen datalek, maar vaak niet wettelijk toegestaan. Organisaties moeten beide situaties voorkomen.

De meeste bedrijven achter chatbots slaan alle ingevoerde gegevens op. Die gegevens komen daardoor terecht op de servers van die techbedrijven, vaak zonder dat degene die de data invoerde zich dat realiseert. En zonder dat die precies weet wat dat bedrijf met die gegevens gaat doen. De persoon van wie de gegevens zijn, zal dat bovendien ook niet weten.

Medische gegevens en adressen van klanten

Bij een van de datalekken waarvan de AP een melding kreeg, had een medewerker van een huisartsenpraktijk – tegen de afspraken in – medische gegevens van patiënten ingevoerd in een AI-chatbot. Medische gegevens zijn zeer gevoelige gegevens en krijgen niet voor niets extra bescherming in de wet. Die gegevens zomaar delen met een techbedrijf is een grote schending van de privacy van de mensen om wie het gaat.

Ook kreeg de AP een melding binnen van een telecombedrijf, waar een medewerker een bestand met onder meer adressen van klanten had ingevoerd in een AI-chatbot.

Maak afspraken

Het is belangrijk dat organisaties met hun medewerkers duidelijke afspraken maken over de inzet van AI-chatbots. Mogen medewerkers chatbots gebruiken, of liever niet? En als organisaties het toestaan, moeten zij aan medewerkers duidelijk maken welke gegevens zij wel en niet mogen invoeren. Organisaties zouden ook met de aanbieder van een chatbot kunnen regelen dat die de ingevoerde gegevens niet opslaat.

Meld datalekken

Gaat het toch mis, en lekt een medewerker persoonsgegevens door tegen de gemaakte afspraken in een chatbot te gebruiken? Dan is een melding aan de AP en aan de slachtoffers in veel gevallen verplicht.

Gerelateerd nieuws

Datacenters zijn energiecentrales voor informatie

7 januari 2026

Elektriciteit is een unieke energiedrager: energie wordt verplaatst door elektronen. De ontdekking ervan was een evolutionair proces, maar met de ontdekking van elektromagnetische inductie door Michael Faraday werden de fundamentele natuurwetten zichtbaar en toepasbaar. Een energiedrager is geen brandstof; hij transporteert slechts energie. Die energie kan worden opgewekt met uiteenlopende brandstoffen: gas, kernenergie, zonne-energie of waterkracht. Uiteindelijk hebben al deze bronnen één historische oorsprong: de zon. Zonder de oerknal en onze zon zouden er geen aarde, geen wind of regen, geen fossiele brandstoffen en zelfs geen uranium bestaan.

VNO-NCW en MKB-Nederland kritisch op heropening UBO-register: privacy en veiligheid onvoldoende beschermd

7 januari 2026

Werkgeversorganisaties VNO-NCW en MKB-Nederland uiten stevige kritiek op het ontwerpbesluit waarmee het kabinet de toegang tot het UBO-register opnieuw wil openstellen voor personen en organisaties met een zogenoemd 'legitiem belang'. Volgens de organisaties schiet het voorstel tekort op het gebied van privacybescherming, rechtszekerheid en handhaafbaarheid, terwijl het wél vergaande toegang biedt tot zeer gevoelige persoonsgegevens.

Digitalisering en AI: wat zijn de kansen en risico's?

22 december 2025

Digitalisering en kunstmatige intelligentie (AI) veranderen de bouw ingrijpend. Wat kun je ermee in je eigen organisatie, welke risico's moet je in het oog houden en hoe krijg je medewerkers mee? We spreken met Patrick van Dongen van Bouwbedrijf Maas-Jacobs, strategisch AI-marketeer Bert Schonewille en 'baaningenieur' Luc Dorenbosch over de inzichten uit onderzoek en praktijk.

Omgeving

Nieuwe Defensiewet: klaar voor de strijd, maar tegen welke prijs?

19 december 2025

De geopolitieke spanning aan de grenzen van Europa neemt toe. Sinds de Russische inval in Oekraïne is veiligheid geen abstract begrip meer, maar een concrete opgave. Binnen Nederland groeit het besef dat de krijgsmacht beter voorbereid moet zijn op crisissituaties en militaire dreiging. Met de Wet op de defensiegereedheid (Wodg) wil het kabinet Defensie in staat stellen sneller te schakelen van vredesorganisatie naar krijgsmacht die direct inzetbaar is bij grootschalige operaties.

Meer nieuws