Smartphone met de ChatGPT-app geopend in de hand van een gebruiker
Nieuws29 juni · 12:445 min leestijd

Vertrekkend AP-baas Wolfsen: gegevens die je in chatbots gooit, krijg je er nooit meer uit

Afzwaaiend privacytoezichthouder Aleid Wolfsen waarschuwt dat persoonsgegevens in chatbots permanent buiten bereik raken. Voor elk bedrijf dat ChatGPT inzet, is dat een direct AVG-beslismoment.

“Mensen gooien hun hele hebben en houden in die chatbots, maar die gegevens krijg je er nooit meer uit.” Met die waarschuwing nam Aleid Wolfsen afscheid als voorzitter van de Autoriteit Persoonsgegevens (AP), na tien jaar aan het hoofd van de Nederlandse privacytoezichthouder. Het is geen abstracte zorg over de verre toekomst. Voor elk bedrijf dat ChatGPT, Copilot of een andere chatbot heeft opengezet, is het een directe vraag: welke gegevens typen jij en je collega's daar eigenlijk in, en waar belanden ze?

Waarom dit een AVG-beslismoment is

Wolfsens punt is dat persoonsgegevens die je in een publieke chatbot plakt het domein van de techbedrijven binnengaan en daar niet meer uitkomen. Dat maakt de partijen achter de modellen “zeer machtig en invloedrijk”, waarschuwt hij, en wat je ten goede kunt gebruiken, kun je ook op een slechte manier inzetten. Voor een ondernemer is dat geen filosofie maar compliance: een prompt met een klantnaam, een cv, een medisch detail of een contract is gewoon een verwerking van persoonsgegevens, met alle AVG-verplichtingen die daarbij horen. En bij veel gratis, consumentgerichte chatbots kan die invoer in de trainingsdata belanden, waarna je hem inderdaad nooit meer terughaalt.

Aleid Wolfsen, die na tien jaar afscheid neemt als voorzitter van de Autoriteit Persoonsgegevens. Bron: Sebastiaan ter Burg / Wikimedia Commons (CC BY-SA 2.0)
Aleid Wolfsen, die na tien jaar afscheid neemt als voorzitter van de Autoriteit Persoonsgegevens. Bron: Sebastiaan ter Burg / Wikimedia Commons (CC BY-SA 2.0)

En precies daar zit de denkfout die ik vaak tegenkom: het idee dat het gevaar in het AI-model zelf schuilt. Het AVG-risico zit zelden in het model en bijna altijd in de rommelige manier waarop een organisatie al jaren met persoonsgegevens omgaat. Een chatbot verandert daar niets aan, hij maakt die rommel alleen zichtbaar en schaalbaar: waar een medewerker vroeger één dossier opvroeg, raakt een AI-pijplijn in één run je hele klantenbestand aan.

Wat dit voor jouw bedrijf betekent

De oplossing is niet de chatbot verbieden, want verbieden is de enige reactie waarmee je gegarandeerd verliest: je personeel gebruikt de tools dan gewoon stiekem. De oplossing is bepalen welke gegevens in welke tool mogen. In de praktijk bepalen medewerkers nu vaak zelf welke chatbot ze openen en welke data ze erin plakken, terwijl maar 18 procent van de organisaties een formeel AI-beleid op papier heeft staan. Dat gat dicht je niet met een verbod, maar met heldere afspraken: een lijst goedgekeurde tools, zakelijke abonnementen waarin je invoer niet voor training wordt gebruikt, een verwerkersovereenkomst met de aanbieder, en de simpele regel dat persoonsgegevens en bedrijfsgeheimen niet in een open consumentenbot gaan.

Een toezichthouder die het tempo niet bijhoudt

Wolfsen waarschuwt niet vanuit een positie van kracht. De AP is naar eigen zeggen zwaar onderbezet en kan daardoor nauwelijks uit zichzelf bij bedrijven en overheden langs, terwijl het aantal klachten door de toenemende digitalisering en datalekken blijft stijgen. “We kunnen dat tempo niet bijhouden”, aldus de toezichthouder. Tegelijk klinkt er een strategische boodschap: Europa moet zelf meer in AI investeren in plaats van te leunen op Amerikaanse dominantie, want “we hebben in Europa de beste bescherming van grondrechten ter wereld”, en die voorsprong is volgens Wolfsen een troef, geen blok aan het been. Wolfsen wordt opgevolgd door Geert Potjewijd.

Dat een onderbezette toezichthouder je niet snel zal betrappen, is precies de verkeerde geruststelling. De verantwoordelijkheid ligt door het ontwerp bij jou: de chatbot is niet je vijand, maar zijn geheugen werkt maar één kant op. Wat erin gaat, gaat er niet meer uit. De vraag is dus niet óf je AI gebruikt, maar of je hebt vastgelegd welke gegevens je eraan toevertrouwt.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

AI inzetten zonder datalek

Ik help je AI veilig en AVG-proof in je werk te zetten: van bepalen welke data in welke tool mag tot een eigen, afgeschermde opzet die jouw gegevens binnen houdt. Ik denk mee als ondernemer, ontwerp het beleid en bouw de techniek, self-hosted waar dat kan.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Gerelateerde artikelen

Welke privacy-veilige AI-chatbot voor je MKB: Proton Lumo, Mistral Le Chat of zelf hosten
Gids
Uitgebreide gids11 min

8 jul 09:00

Welke privacy-veilige AI-chatbot voor je MKB: Proton Lumo, Mistral Le Chat of zelf hosten

Geen bedrijfsdata bij Amerikaanse AI, maar welke Europese of self-hosted route past bij jou? Een koperskeuzegids die Proton Lumo, Mistral Le Chat en zelf hosten afweegt op prijs, EU-databodem en beheerslast.

AP-voorzitter Wolfsen: 'Als Trump het wil, ligt morgen de halve Nederlandse overheid stil'
Nieuws
5 min

19 jun 22:17

AP-voorzitter Wolfsen: 'Als Trump het wil, ligt morgen de halve Nederlandse overheid stil'

Vertrekkend privacytoezichthouder Aleid Wolfsen waarschuwt op de nationale radio voor de gevaarlijke afhankelijkheid van Amerikaanse techbedrijven. Zijn advies aan elke organisatie: maak exitstrategieën en begin nu met afbouwen.

Proton lanceert Lumo 2.0: privacy-chatbot moet ChatGPT en Copilot evenaren
Nieuws
4 min

1 jul 00:29

Proton lanceert Lumo 2.0: privacy-chatbot moet ChatGPT en Copilot evenaren

Proton lanceert Lumo 2.0, een flink krachtigere AI-chatbot die op Europese servers draait onder Zwitsers privacyrecht en zo een concreet, betaalbaar alternatief biedt voor ChatGPT en Copilot.

AI-toolbeleid opstellen voor je bedrijf: van goedgekeurde lijst tot AVG-conforme gebruiksregels
Gids
9 min

26 jun 21:02

AI-toolbeleid opstellen voor je bedrijf: van goedgekeurde lijst tot AVG-conforme gebruiksregels

Je mensen gebruiken al AI, met of zonder toestemming. Zo stel je een werkbaar AI-toolbeleid op: breng het gebruik in kaart, kies goedgekeurde tools, leg vast welke data erin mag en rol het uit zonder weerstand.

Vijf toezichthouders dringen samen aan op digitale autonomie
Nieuws
3 min

10 jul 12:25

Vijf toezichthouders dringen samen aan op digitale autonomie

Voor het eerst roepen alle vijf toezichthouders, ACM, AFM, AP, DNB en RDI, bedrijven en overheid samen op om digitale autonomie te versnellen en bij IT-inkoop overstapbaarheid af te dwingen. Wat verandert er voor jou?

Digitale soevereiniteit is in Den Haag van praat een breekijzer geworden
Signaal
6 min

5 jul 14:54

Digitale soevereiniteit is in Den Haag van praat een breekijzer geworden

In zes weken blokkeerde de staat een Amerikaanse overname, trok DigiD naar een eigen cloud en koos Europees voor zijn supercomputer. Los is het beleid, samen laat het zien dat soevereiniteit van ambitie een instrument werd.