- 24-07-2024
- 08:00
- timer 3 minuten
Waarschijnlijk wordt ChatGPT al veelvuldig gebruikt binnen uw bedrijf, bijvoorbeeld voor het schrijven van een marketingbericht of in het kader van de klantenservice. Uiteraard is ChatGPT erg handig, maar heeft u zich wel eens afgevraagd of de privacy van uw klanten of medewerkers wel worden gewaarborgd door de chatbot? In deze blog geven wij u concrete handvaten om de privacyrisico’s die spelen bij het gebruik van ChatGPT in te perken.
In onze vorige blog hebben we beschreven dat de AVG van toepassing is als er persoonsgegevens worden ingevoerd in de chatbot. In dat geval kan het bedrijf dat gebruikmaakt van ChatGPT worden aangemerkt als verwerkingsverantwoordelijke en ChatGPT (althans OpenAI) als verwerker.
Als verwerkingsverantwoordelijke bent u dan verplicht om de privacyrisico’s van ChatGPT te inventariseren en deze privacyrisico’s zoveel als mogelijk in te perken met passende maatregelen.
Privacyrisico's van ChatGPT
Bij het gebruikmaken van ChatGPT bestaan er verschillende privacyrisico’s. Wanneer persoonsgegevens van klanten in ChatGPT worden ingevoerd komen deze klantgegevens op de servers van ChatGPT terecht. OpenAI gebruikt deze klantgegevens (onder meer) om haar modellen te trainen (voor zover de gebruiker dit niet heeft uitgeschakeld). Tenzij de klant hiervoor toestemming heeft gegeven, bestaat voor deze verdere verwerking van persoonsgegevens mogelijk geen juridische grondslag en is er sprake van strijd met het doelbindingsbeginsel. Ook kan deze verdere verwerking van persoonsgegevens in strijd zijn met het beginsel van dataminimalisatie. Tot slot kunnen de opgeslagen klantgegevens in handen komen van onbevoegden (door een datalek).
In sommige gevallen zijn bedrijven verplicht om een Data Protection Impact Assessment (DPIA) uit te voeren, bijvoorbeeld als er gevoelige en/of op grootschalige wijze persoonsgegevens worden verwerkt in ChatGPT.
Een DPIA is een instrument om de privacyrisico’s van een gegevensverwerking in kaart te brengen en passende (beveiligings)maatregelen te nemen om deze privacyrisico’s in te perken. Ook wanneer dit niet verplicht is gesteld, kan het uitvoeren van een DPIA verstandig zijn.
Het inperken van de privacyrisico’s van ChatGPT
De meest veilige optie is om geen (direct of indirect herleidbare) persoonsgegevens in te voeren in ChatGPT. Op deze wijze bestaan er geen privacyrisico’s en hoeft uw bedrijf niet te voldoen aan de verplichtingen uit de AVG.
Mocht het invoeren van persoonsgegevens niet vermeden kunnen worden, dan zou uw bedrijf de volgende maatregelen kunnen treffen om de privacyrisico’s in te perken en zoveel als mogelijk te voldoen aan de verplichtingen uit de AVG:
1. Dataminimalisatie
Uitsluitend persoonsgegevens invoeren wanneer dit nodig is voor het doeleinde. Indien de ‘gewone versie’ van ChatGPT wordt gebruikt, dan raden wij aan om bij instellingen de optie ‘het model verbeteren voor iedereen’ uit te schakelen, zodat de persoonsgegevens niet worden gebruikt om modellen te trainen.
2. Geen gevoelige persoonsgegevens invoeren
Verder is het verstandig om geen bijzondere categorieën persoonsgegevens (zoals medische gegevens) of gevoelige persoonsgegevens (bijvoorbeeld een BSN) in te voeren in ChatGPT. ChatGPT is (op dit moment) namelijk niet ingericht op het verwerken van dergelijke gegevens en de daarmee gepaard gaande risico’s.
3. Het sluiten van een verwerkersovereenkomst met OpenAI
Op grond van de AVG zijn bedrijven verplicht om een verwerkersovereenkomst te sluiten met OpenAI (als verwerker). Bedrijven kunnen – indien gebruik wordt gemaakt van de business versies van ChatGPT - via de website van ChatGPT een verwerkersovereenkomst sluiten met OpenAI.
4. Het treffen van beveiligingsmaatregelen
Neem beveiligingsmaatregelen die privacyrisico’s bij het gebruik van ChatGPT (kunnen) verminderen, zoals het inschakelen van multi-factor-authenticatie (via instellingen).
5. Het instrueren van medewerkers
Geef personeel duidelijke instructies over het gebruik van ChatGPT en welke gegevens wel en niet mogen worden ingevoerd.
6. Het informeren van betrokkenen
Het is van belang om te zorgen dat klanten, medewerkers en andere personen van wie persoonsgegevens worden ingevoerd in ChatGPT daarvan op de hoogte zijn. Zij moeten op de hoogte zijn dat uw bedrijf persoonsgegevens deelt met OpenAI. Deze informatie kunt u opnemen in uw privacy statement.
Tot slot
Bent u van plan om ChatGPT te gebruiken binnen uw bedrijf en wilt u meer informatie over de privacyregels waaraan uw bedrijf moet voldoen? Of wilt u meer weten over de (mogelijke) privacyrisico’s die zijn verbonden aan het gebruik van ChatGPT en het inperken ervan? Neem dan contact op met Hillie Lunter, Tom Klatter of Esther van den Worm. Verder kunt u ook onze algemene ICT-recht pagina en privacyrecht pagina raadplegen.
