Een datalek, onvoldoende transparantie en grootschalige gegevensverwerking zonder grondslag hebben ertoe geleid dat de Italiaanse privacy toezichthouder onlangs de chatbot ChatGPT tijdelijk heeft verboden. Dat meldde zij op haar website. Een dergelijk verbod wordt door meer nationale toezichthouders onderzocht, waardoor een Europese ChatGPT task force is gelanceerd. Al met al een reden om bedacht te zijn op het delen van (klant)data binnen ChatGPT.
Italiaans verbod
Afgelopen 31 maart heeft de Garante per la Protezione dei Data Personali (GPDP) – de Italiaanse privacy toezichthouder – de inmiddels zeer bekende chatbot ChatGPT verboden. Deze chatbot is ontwikkeld door het Amerikaanse bedrijf OpenAI die producten ontwikkelt op gebied van kunstmatige intelligentie. De chatbot is gespecialiseerd in het genereren van teksten die aansluiten op de verzoeken van de gebruiker en de context van het gevoerde gesprek middels machine learning algoritmes.
De Italiaanse privacy waakhond stelde dat OpenAI in strijd handelde met de AVG omdat zij onvoldoende transparant was over welke (persoons)gegevens van gebruikers precies worden verwerkt bij gebruikmaking van de chatbot en dat OpenAI geen (geldige) grondslag had om op massale schaal persoonsgegevens te verwerken van gebruikers met het doel om de onderliggende algoritmes van de chatbot te ‘trainen’. Daarnaast ontbrak er een filtermechanisme om de leeftijd van gebruikers van de chatbot vast te stellen. Hierdoor liepen minderjarigen, met name kinderen onder de dertien jaar, het risico te worden blootgesteld aan antwoorden en teksten die niet voor hen geschikt zijn. Tot slot wees de GPDP op een datalek dat afgelopen maart plaatsvond, waardoor sommige abonnementhouders van ChatGPT onder andere elkaars e-mailadressen, factuuradressen en een deel van de creditcardgegevens konden inzien.
De GPDP heeft na een reeks besprekingen met OpenAI, een aantal privacy bevorderende voorwaarden gesteld. De persoonsgegevensverwerking van ChatGPT diende daar uiterlijk 30 april 2023 aan te voldoen. In reactie daarop heeft OpenAI in een brief aan de GPDP laten weten verschillende maatregelen te hebben genomen. Zo is onder andere aanvullende informatie beschikbaar op de website van OpenAI waarin wordt toegelicht welke persoonsgegevens worden verwerkt voor algoritmische trainingsdoeleinden, welke verwerking Europese gebruikers kunnen weigeren. Naar dit privacy beleid wordt bovendien verwezen op een ingevoerde welkomstpagina bij de heractivering van ChatGPT in Italië. Tevens is op deze pagina een knop toegevoegd waarmee de meerderjarigheid van gebruikers moet worden bevestigd dan wel dat een minderjarige gebruiker toestemming heeft van zijn ouders of voogden om ChatGPT te gebruiken. In dit niet gebeurt, wordt toegang tot de dienst geweigerd.
Naar aanleiding van deze maatregelen heeft de GPDP inmiddels het verbod opgeheven. Zij zal ook niet overgaan tot het opleggen van een boete, die overigens kan oplopen tot 20 miljoen euro of 4 procent van haar wereldwijde omzet, afhankelijk van welk bedrag hoger is.
Europees vervolg
Naar aanleiding van het tijdelijke verbod van de Italiaanse toezichthouder, zijn meerdere toezichthouders inmiddels aan het onderzoeken in hoeverre een verbod op de chatbot wenselijk zou zijn. In Nederland zijn hieromtrent tevens Kamervragen gesteld. In dat kader heeft de European Data Protection Board (EDPB) – het Europese overkoepelende toezichtsorgaan – afgelopen 13 april toegezegd om een task force op te richten, om de samenwerking tussen de verschillende toezichthouders te bevorderen en de handhaving van ChatGPT te stroomlijnen.
Meer weten?
Ondanks de opheffing van het Italiaanse verbod, achten wij het raadzaam om – tot nader bericht van de EDPB – terughoudend en secuur om te gaan met het delen van bedrijfs- en/of privacygevoelige informatie binnen ChatGPT zoals klantdata, contractgegevens en persoonsgegevens van medewerkers. Voor vragen of meer informatie omtrent privacy en gegevensbescherming, kunt u contact opnemen met het team IE, IT & Privacy.
Neem contact op