ChatGPT en de AVG: over privacy en het gebruik van ChatGPT door bedrijven

ChatGPT kan door bedrijven voor verschillende doeleinden worden toegepast. Misschien dat ChatGPT binnen uw bedrijf wordt gebruikt, bijvoorbeeld voor het schrijven van een vacaturetekst of marketingbericht, bij het screenen van sollicitanten of in het kader van de klantenservice. Het lijkt handig, maar heeft u zich wel eens afgevraagd wat er gebeurt met de gegevens die worden ingevoerd in ChatGPT? Wordt de privacy van uw klanten of medewerkers eigenlijk wel gewaarborgd door deze innovatieve chatbot? In de driedelige serie ‘ChatGPT en de AVG: over privacy en het gebruik van ChatGPT door bedrijven’ wordt besproken in hoeverre bedrijven rekening moeten houden met de AVG wanneer zij gebruikmaken van ChatGPT. De AVG is de Europese privacywet die gaat over het beschermen van persoonsgegevens. Na een korte introductie wordt in dit eerste deel gekeken of de AVG van toepassing is op bedrijven die gebruikmaken van deze chatbot.

Sinds november 2022 kunnen bedrijven gebruikmaken van ChatGPT. Deze chatbot is ontwikkeld door OpenAI; een Amerikaans onderzoeks- en ontwikkelingsbedrijf op het gebied van kunstmatige intelligentie. ChatGPT is een taalmodel dat is getraind met een grote hoeveelheid gegevens. Met behulp van deze gegevens produceert de chatbot bijvoorbeeld een tekst over een bepaald onderwerp of geeft het antwoord op een gestelde vraag. Zelfs deze blog hadden wij door ChatGPT kunnen laten schrijven. De gegevens waarmee ChatGPT is getraind, kunnen onder meer afkomstig zijn van nieuwsartikelen, blogs en boeken die zijn te vinden op het internet. Aangezien op het internet persoonsgegevens staan, kunnen ook deze zijn gebruikt als trainingsgegevens voor ChatGPT.

Daarnaast kan de gebruiker zelf informatie invoeren in de chatbot. Denk bijvoorbeeld aan sollicitatiebrieven die met behulp van ChatGPT worden gescreend op bepaalde functie-eisen. De gebruiker heeft wel de mogelijkheid om het bewaren van de chatgeschiedenis uit te schakelen. Als de chatgeschiedenis uitstaat, worden de gesprekken niet gebruikt voor het trainen en verbeteren van de modellen. Wel bewaart OpenAI de gesprekken nog dertig dagen voor eventuele misbruikcontrole.

De AVG is van toepassing wanneer er persoonsgegevens worden verwerkt. Bij persoonsgegevens gaat het om alle informatie over een natuurlijke persoon van wie de identiteit bekend is of achterhaald kan worden. Anders gezegd zijn het gegevens die herleidbaar zijn naar een individueel persoon. Bij persoonsgegevens kunt u denken aan iemands naam, e-mailadres, telefoonnummer en IP-adres. Persoonsgegevens kunnen op verschillende manieren worden verwerkt. Gedacht kan worden aan het opslaan, gebruiken of verzamelen van deze gegevens. In die gevallen is de AVG van toepassing.

Daarom moet worden gekeken of bedrijven persoonsgegevens verwerken indien zij gebruikmaken van ChatGPT. Indien een bedrijf bijvoorbeeld een sollicitatiebrief, met daarin persoonsgegevens van de sollicitant, invoert in ChatGPT verwerkt dit bedrijf persoonsgegevens met behulp van ChatGPT en dient het te voldoen aan de regels uit de AVG. Een bedrijf verwerkt echter niet altijd persoonsgegevens wanneer het ChatGPT gebruikt. Wanneer de chatbot bijvoorbeeld wordt ingezet om een algemene vacaturetekst te schrijven, verwerkt het bedrijf geen persoonsgegevens en is de AVG niet van toepassing. Het is dus van belang om onderscheid te maken tussen de verschillende doeleinden in het kader waarvan ChatGPT kan worden ingezet door bedrijven.

Indien persoonsgegevens worden verwerkt, kunnen daar verschillende partijen bij betrokken zijn. Deze partijen kunnen volgens de AVG (onder meer) worden aangemerkt als de “verwerkingsverantwoordelijke” of de “verwerker”. Het onderscheid tussen deze twee rollen is van belang om te bepalen welke specifieke privacyregels van toepassing zijn. In het volgende deel van deze serie wordt besproken welke rol ChatGPT (en het bedrijf dat gebruikmaakt van ChatGPT) heeft in de zin van de AVG en welke specifieke privacyregels van toepassing zijn. In het derde en laatste deel van deze serie wordt gekeken in hoeverre persoonsgegevens, van bijvoorbeeld klanten of medewerkers, voldoende beschermd zijn indien een bedrijf gebruikmaakt van ChatGPT. Daarnaast wordt ingegaan op de mogelijkheden voor bedrijven om eventuele privacyrisico’s, verbonden aan het gebruik van deze chatbot, te beperken.   

Wilt u meer informatie over de privacyregels waaraan uw bedrijf moet voldoen bij het gebruik van ChatGPT? Of wilt u weten welke (mogelijke) privacyrisico’s er zijn wanneer uw bedrijf gebruikmaakt van ChatGPT? Neem dan contact op met Hillie Lunter, Tom Klatter of Esther van den Worm of kijk op onze algemene ICT-recht pagina.