AI, privacy en dataveiligheid
AI, privacy en dataveiligheid
Leestijd 5 minuten
Geschreven door Els
Leestijd 5 minuten
Geschreven door Els
De Nederlandse privacywaakhond AP vraagt opheldering over ChatGPT, Italië heeft de chat-AI zelfs al even verboden en ook de EU buigt zich over AI, privacy en dataveiligheid. Kunnen we de tool eigenlijk wel veilig gebruiken om teksten te schrijven? We vroegen het de juridische experts van Waterdicht.
[Dit blog is geschreven en gepubliceerd in augustus 2023.]
AI-systemen zoals ChatGPT leren en verbeteren zichzelf, vaak door het verwerken van enorme hoeveelheden gegevens, waaronder persoonlijke gegevens. De Autoriteit Persoonsgegevens (AP) is bezorgd over hoe organisaties die gebruikmaken van generatieve artificiële intelligentie (AI), zoals ChatGPT, omgaan met persoonsgegevens.
Ook andere privacytoezichthouders in Europa zijn bezorgd over ChatGPT. Ze gaan samen aan de slag met een ChatGPT-taskforce binnen hun samenwerkingsverband, de European Data Protection Board (EDPB). Reden om zelf ook stil te staan bij mogelijke problemen van AI met privacy en dataveiligheid?
Hoe AI de privacywetgeving uitdaagt
Privacywetgeving is ontworpen om mensen te beschermen tegen ongeoorloofde toegang tot of het ongeoorloofde gebruik van hun persoonlijke gegevens. Maar hoe past dit in een wereld waar AI-systemen steeds afhankelijker worden van deze gegevens om te leren en te verbeteren?
Eén van de belangrijkste onderdelen van de Algemene Verordening Gegevensbescherming (AVG) is het ‘transparantiebeginsel’. Die is lekker juridisch opgeschreven, maar betekent eigenlijk: bedrijven moeten helder maken hoe en waarom ze persoonsgegevens verwerken en opslaan én hoe mensen hun gegevens bijvoorbeeld kunnen inzien of weer kunnen (laten) verwijderen.
Als schrijver betekent dit dat je je bewust moet zijn hoe en waarom gegevens worden gebruikt. En dat is best lastig bij ChatGPT, want OpenAI is niet heel transparant: je kunt niet controleren welke gegevens ze precies bewaren, hoe lang ze deze gegevens bewaren en waar ze deze gegevens voor gebruiken.
Is dat dan wel legaal? Tsja, dat is juridisch nog onderwerp van gesprek. Want de AVG heeft twee kanten: het verwerken van persoonsgegevens die nodig zijn voor economische en sociale vooruitgang moet in balans zijn met het recht op bescherming van persoonsgegevens.
De risico’s van AI voor privacy en dataveiligheid van je bedrijf
Het gebruik van ChatGPT komt niet helemaal zonder risico’s. Wees je daarvan bewust en beslis van tevoren hoe hiermee om te gaan. Denk bijvoorbeeld aan risico’s als datalekken, schending van de AVG en het op andere manieren onbewust delen van informatie.
- Schending van de AVG
Onderdeel van de AVG is het recht om te worden vergeten. Organisaties zijn verplicht, als iemand daarnaar vraagt, om persoonlijke gegevens te verwijderen of ‘vergeten’. Maar bij AI-technologie is het maar de vraag of dat überhaupt kan. Als schrijver betekent dit je bewust moet omgaan met het toevoegen van informatie van personen waarover je schrijft. Zij kunnen geen gebruikmaken van dit recht.Haal daarom bijvoorbeeld namen uit je input en zorg dat informatie niet te herleiden is. Heb je aantekeningen die je wilt ordenen? Kies er dan bijvoorbeeld voor om de naam te veranderen door een [plaatsvervangende term] of schrijf over [BEDRIJFSNAAM]. Zorg ook dat je geen persoonsgegevens zoals BSN-nummers deelt.
- Dataveiligheid
Alles wat je in ChatGPT invoert, wordt opgeslagen en gebruikt om het taalmodel verder te trainen. Als jij een intern document, gevoelige informatie of zelfs code invoert, dan is die informatie direct onderdeel van de ChatGPT-database. En het zou dus kunnen dat die informatie later opduikt in de antwoorden die anderen krijgen. Dat zou kunnen resulteren in een datalek. Bedrijven – en hun tekstschrijvers – moeten daarom heel voorzichtig zijn als ze AI-technologieën inzetten.Samsung maakte begin 2023 een datalek mee. Medewerkers ontdekten een probleem in de software en probeerden dat op te lossen door de broncode en interne notities in ChatGPT in te voeren. Daarmee lekten ze onbewust gevoelige informatie naar OpenAI en iedereen die specifieke prompts gebruikte. Daarop verbood het bedrijf medewerkers om ChatGPT nog te gebruiken.
Ook Open AI is niet waterdicht: het bedrijf werd in maart 2023 nog verrast door een bug in hun broncode, waardoor de chatgeschiedenis van gebruikers op straat kwam te liggen. Door dit datalek kwam ook informatie rondom gebruikers, zoals betaalgegevens, op straat te liggen. Het werd snel gefixt, maar dat wil niet zeggen dat je gegevens altijd veilig zijn.
- Cookies en jouw data
Elke site, ook OpenAI dat samenwerkt met derde partijen, kan cookies plaatsen. Natuurlijk krijg je een cookiemelding – maar eerlijk, hoe vaak klikken we die zonder iets te lezen weg? En zelfs al geef je in de cookiewall aan wat je wel en niet wilt, dan weet je nog niet precies wie de data ontvangt en er wat mee doet. Dan gaat het niet eens om wát je in de tool stopt, maar slechts het bezoeken van de site.
De toekomst van AI en privacywetgeving
OpenAI is een inhaalslag aan het maken als het gaat om hun privacybeleid, maar is nog weinig transparant. De relatie tussen AI en privacywetgeving is sowieso complex. En de technologie blijft razendsnel ontwikkelen, terwijl het wettelijk landschap alles probeert bij te houden.
Zo werkt de EU bijvoorbeeld aan de AI Act, maar ook aan een Digital Markets Acts, een Digital Services Act, een Data Governance Act én een Data Act. Oh, en dan wordt alles nog aangevuld met nieuwe regels rondom ICT-beveiliging, een plan voor gezondheidsgegevens en een AI Liability-richtlijn. Het gaat voor de EU een hele klus worden om heldere regels op te stellen.
Voor bedrijven en individuen is het wel belangrijk om deze ontwikkelingen in de gaten te blijven houden. Houd jij al rekening met privacy als je werkt met ChatGPT?
AI en copywriting in de praktijk
Wil je meer weten over AI en copywriting, of er nog beter in worden? Volg dan onze cursus of workshop AI en Copywriting.