Het grote nieuws van de afgelopen dagen is dat de AP (Autoriteit Persoonsgegevens) eindelijk waarschuwt voor chatbots. Wat iedereen die deze hype al langer volgt is daarmee bevestigd. Het gebruik van chatbots en AI leidt te makkelijk en te snel tot datalekken.
De melding van de AP wordt geïllustreerd met voorbeelden van medische gegevens die met een chatbot zijn gedeeld. Medische gegevens zijn onder de AVG bijzonder gevoelige gegevens. Daarmee een AI bot testen is natuurlijk compleet onacceptabel en een ondubbelzinnig datalek.
Datalekken moeten zoals bekend onder de AVG gemeld worden. Wie dat niet doet, of te laat, kan bij onderzoek rekenen op extra belangstelling van de AP en het werk boeteverhogend. Het excuus “wij wisten het niet” wordt daarbij niet geaccepteerd. Daarnaast – maar dat zegt AP niet over – valt in het geval van medische gegevens nog gerekend worden op belangstelling van de IGJ (Inspectie Gezondheidszorg en Jeugd).
Andere sectoren
Het signaal dat de AP afgeeft gaat verder dan huisartsenpraktijken waarschuwen. De telecomsector wordt aan de hand van een voorbeeld eveneens expliciet genoemd. Iedereen die iets doet met chatbots en/of AI doet er goed aan zijn eigen toepassingen of wat bij klanten wordt aangezet kritisch te bekijken. Juist ook het voorbeeld van de telecomsector is heel herkenbaar. Reken maar dat er tal van andere sectoren en bedrijven op dezelfde wijze de mist ingaan.
Ook als MSP kun je behoorlijk in de problemen komen als een chatbot-datalek het gevolg is van iets dat jij hebt mogelijk gemaakt. Je verschuilen achter “de klant wilde het” gaat niet werken. Ja, de klant neemt de beslissing, maar als jij hem niet waarschuwt voor evident grote risico’s van diensten die je levert dat heb je een probleem. Van elke dienst of product moet je weten wat het wel of niet doet. Meer dan ooit geldt: iets verkopen of leveren zonder over de juiste kennis te beschikken is uitermate onverstandig.