Let op: gebruik AI-chatbot kan leiden tot datalekken

De Autoriteit Persoonsgegevens (AP) heeft de afgelopen tijd meerdere meldingen binnengekregen van datalekken doordat medewerkers persoonsgegevens van bijvoorbeeld patiënten of klanten deelden met een chatbot die gebruikmaakt van kunstmatige intelligentie (AI). Door het invoeren van persoonsgegevens in AI-chatbots kunnen de bedrijven die de chatbot aanbieden ongeoorloofd toegang krijgen tot die persoonsgegevens.

Autoriteit Persoonsgegevens

9 augustus 2024

De AP ziet dat veel mensen op de werkvloer gebruikmaken van digitale assistenten, zoals ChatGPT en Copilot. Bijvoorbeeld om vragen van klanten te beantwoorden of om grote dossiers samen te vatten. Dat kan tijd schelen en werknemers minder leuk werk besparen, maar er kleven ook grote risico’s aan.

Bij een datalek gaat het om toegang tot persoonsgegevens zonder dat dit mag of zonder dat dit de bedoeling is. Vaak gebruiken medewerkers de chatbots op eigen initiatief en tegen de afspraken met de werkgever in: als daarbij persoonsgegevens zijn ingevoerd, dan is sprake van een datalek. Soms is het gebruik van AI-chatbots onderdeel van het beleid van organisaties: dan is het geen datalek, maar vaak niet wettelijk toegestaan. Organisaties moeten beide situaties voorkomen.

De meeste bedrijven achter chatbots slaan alle ingevoerde gegevens op. Die gegevens komen daardoor terecht op de servers van die techbedrijven, vaak zonder dat degene die de data invoerde zich dat realiseert. En zonder dat die precies weet wat dat bedrijf met die gegevens gaat doen. De persoon van wie de gegevens zijn, zal dat bovendien ook niet weten.

Medische gegevens en adressen van klanten

Bij een van de datalekken waarvan de AP een melding kreeg, had een medewerker van een huisartsenpraktijk – tegen de afspraken in – medische gegevens van patiënten ingevoerd in een AI-chatbot. Medische gegevens zijn zeer gevoelige gegevens en krijgen niet voor niets extra bescherming in de wet. Die gegevens zomaar delen met een techbedrijf is een grote schending van de privacy van de mensen om wie het gaat.

Ook kreeg de AP een melding binnen van een telecombedrijf, waar een medewerker een bestand met onder meer adressen van klanten had ingevoerd in een AI-chatbot.

Maak afspraken

Het is belangrijk dat organisaties met hun medewerkers duidelijke afspraken maken over de inzet van AI-chatbots. Mogen medewerkers chatbots gebruiken, of liever niet? En als organisaties het toestaan, moeten zij aan medewerkers duidelijk maken welke gegevens zij wel en niet mogen invoeren. Organisaties zouden ook met de aanbieder van een chatbot kunnen regelen dat die de ingevoerde gegevens niet opslaat.

Meld datalekken

Gaat het toch mis, en lekt een medewerker persoonsgegevens door tegen de gemaakte afspraken in een chatbot te gebruiken? Dan is een melding aan de AP en aan de slachtoffers in veel gevallen verplicht.

Gerelateerd nieuws

Europese waakhond: ‘AI‑systemen bedreigen grondrechten, menselijk toezicht onvoldoende’

9 december 2025

De Europese grondrechtenwaakhond FRA (European Union Agency for Fundamental Rights) waarschuwt in een vorige week verschenen rapport dat organisaties slecht zijn voorbereid op het beoordelen en beperken van grondrechtenrisico’s bij het gebruik van hoog‑risico‑AI. Volgens de FRA dreigt daardoor een kloof tussen de ambities van de AI Act en de dagelijkse praktijk bij ontwikkelaars en gebruikers van AI‑systemen in onder meer asiel, onderwijs, werk, politie en sociale zekerheid. Die kloof raakt direct aan de manier waarop mensen en AI in de samenleving samen optrekken: als de menselijke kant van die samenwerking – kennis, reflectie en kritisch vermogen – tekortschiet, verliest AI haar grond voor vertrouwen.

De cruciale rol van een veilige meldcultuur bij cybersecurity

8 december 2025

Onlangs publiceerde de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) het Cybersecuritybeeld Nederland (CSBN) 2025. Het rapport schetst een digitale dreigingsomgeving die steeds complexer, diverser en onvoorspelbaarder wordt. Terwijl de dreiging groeit, ligt de verdediging in het versterken van de digitale basishygiëne. Organisatiecultuur speelt hierbij een belangrijke rol in hoe incidenten worden herkend en gemeld. Het CSBN 2025 maakt duidelijk dat digitale veiligheid geen puur technologisch vraagstuk is, maar afhankelijk is van hoe mensen binnen organisaties handelen. Transparency International Nederland (TI-NL) benadrukt daarom de cruciale rol van menselijk gedrag en een veilige meldcultuur bij effectieve cybersecurity.

AI en Auteursrecht: waarom een uitspraak uit München alles verandert

4 december 2025

Op 11 november 2025 deed het Landesgericht München uitspraak in een zaak die de juridische wereld én de techsector op scherp zet: GEMA tegen OpenAI (zaaknummer 42 O 14139/24). Het ging om de vraag of het gebruik van auteursrechtelijk beschermde songteksten door generatieve AI-modellen zoals ChatGPT in strijd is met het auteursrecht. Het antwoord van de rechtbank? Ja. En dat is best baanbrekend.

Topbestuurders zien AI als oplossing voor klimaatambities, niet als bedreiging

28 november 2025

Topbestuurders zien Kunstmatige Intelligentie (AI) als belangrijk hulpmiddel voor het behalen van klimaatdoelen. Dat blijkt uit een wereldwijd onderzoek van KPMG onder ruim 1.200 CEO’s en bestuursvoorzitters in twintig landen. De meeste ondervraagde topbestuurders (87 procent) geven aan dat AI-toepassingen bijdragen aan het realiseren van net-zero-doelen. Hoewel slechts 30 procent van de organisaties op korte termijn prioriteit geeft aan het verbeteren van het energieverbruik door AI, is 96 procent ervan overtuigd dat er in de toekomst voldoende duurzame energie beschikbaar zal zijn om aan de energievraag van AI te voldoen.

Meer nieuws