Gratis uitproberenzonder verplichtingen
Home » Kennisbank » Persoonsgegevens in ChatGPT geplakt, wat nu?

Persoonsgegevens in ChatGPT geplakt, wat nu?

Persoonsgegevens in ChatGPT

Een medewerker plakt een tekst in ChatGPT om ‘even snel te herschrijven’. Of vraagt een AI-tool om mee te denken over een lastige casus. Handig, tot blijkt dat er persoonsgegevens in die tekst stonden. Let op, dit kan een datalek zijn!

De Autoriteit Persoonsgegevens (AP) waarschuwde onlangs nadrukkelijk voor dit risico. Aanleiding was onder meer een incident bij de gemeente Eindhoven. Medewerkers voerden daar duizenden documenten met persoonsgegevens in bij openbare AI-chatbots, zoals ChatGPT.
Het ging om gevoelige informatie: Jeugdwet-dossiers, reflectieverslagen en cv’s van sollicitanten. Inmiddels heeft de gemeente de toegang tot openbare AI-websites geblokkeerd.

Dit voorbeeld laat zien: het gaat niet alleen mis bij grote techbedrijven of ‘onhandige medewerkers’. Elke organisatie loopt dit risico.

Wanneer is dit een datalek?

Zodra persoonsgegevens buiten jouw organisatie terechtkomen, zonder dat je daar controle of afspraken over hebt, spreek je al snel van een datalek. Bij veel gratis AI-tools geldt:

  • je weet niet precies wat er met de ingevoerde data gebeurt,
  • gegevens kunnen worden opgeslagen of gebruikt voor training,
  • en ze worden vaak verwerkt buiten de EU.

Dat maakt het invoeren van persoonsgegevens in zo’n tool risicovol en in veel gevallen niet AVG-proof.

Gratis versus betaald: dit is het verschil

Niet elke AI-tool is hetzelfde. Het verschil zit vaak in de voorwaarden:

  • Gratis AI-tools
    • weinig tot geen garanties
    • data kan worden opgeslagen of hergebruikt
    • meestal geen verwerkersovereenkomst
  • Betaalde of enterprise-varianten
    • betere afspraken over datagebruik
    • vaak geen training op jouw data
    • soms Europese hosting of extra beveiliging

Dat betekent niet dat betaalde tools automatisch ‘veilig’ zijn, maar je hebt wél meer grip.

Wat moet je doen bij een datalek?

Blijf niet hopen dat het meevalt. Doe dit:

  1. Breng in kaart wat er is ingevoerd en door wie.
  2. Beoordeel het risico voor de betrokken personen.
  3. Leg vast wat je hebt gedaan en welke maatregelen je neemt.
  4. Meld het bij de AP als er een reëel risico is, binnen 72 uur.

Een fout hoeft niet meteen tot een boete te leiden, maar niet handelen kan dat wél. In de online werkomgeving van AVG-support.nl zit een handig stappenplan voor datalekken.

Probeer AVG-support.nl 30 dagen gratis

Wil je eenvoudig voldoen aan de AVG regels? AVG-support.nl helpt je te doen wat nodig is.

  • toets je organisatie en neem noodzakelijke maatregelen
  • maak gebruik van alle juridische documenten
  • behaal het AVG OK-vignet en laat zien dat je privacy serieus neemt

Ontdek zelf hoe het werkt. Maak een gratis proefaccount aan.

Probeer 30 dagen gratis

Meer nieuws

Veilig AI-gebruik: begin met één A4

Steeds meer organisaties krijgen te maken met AI-gebruik door medewerkers. Met duidelijke afspraken op één A4 voorkom je dat persoonsgegevens in AI-tools belanden en voldoe je aan de AVG, zonder ingewikkeld beleid. Lees meer

Persoonsgegevens in ChatGPT geplakt, wat nu?

Steeds vaker belanden persoonsgegevens in AI-tools zoals ChatGPT. Soms onbewust, soms uit gemak. Maar wat betekent dit onder de AVG? Wanneer is er sprake van een datalek en welke stappen moet je als organisatie direct nemen? Lees meer

AP waarschuwt voor AI op de werkvloer

De Autoriteit Persoonsgegevens waarschuwt dat AI-gebruik op de werkvloer snel tot datalekken kan leiden. Medewerkers voeren persoonsgegevens in bij tools als ChatGPT, vaak zonder beleid of toezicht. Organisaties moeten nu inventariseren, duidelijke afspraken maken en medewerkers trainen. Lees meer