De hoofdthema’s van de DPO-studiedag van 2024 de VTC waren AI en gegevensbescherming.

Je integreert een chatbot op de website die werkt op basis van een (standaard) chatclient van een leverancier die werkt met generatieve AI.

Je bent verwerkingsverantwoordelijke voor je website en de chatbot.

Je moet minimaal de bezoekers van de website duidelijk verwittigen dat ze geen persoonsgegevens mogen vrijgeven, dat de antwoorden niet de antwoorden zijn van de instantie zelf en niet noodzakelijk een betrouwbaar antwoord.

Risico’s voor persoonsgegevens

Het gebruik van AI kan een datalek vormen.

Een risicoanalyse is noodzakelijk.

Wat een onschuldige vraag lijkt, kan verkeerd geïnterpreteerd worden of er kan uit een vraag andere gevoelige informatie over een persoon afgeleid worden bv. info van mensen die hulp zoeken bij noodopvang, depressie, … of bv. waaruit de intentie om een procedure tegen het bestuur op te starten blijkt.

Hoe meer bronnen gebruikt worden en hoe meer partnerorganisaties betrokken worden, hoe groter de risico’s, bv. dat de vragen opduiken als antwoord bij een van de andere organisaties.

Maatregelen gegevensbescherming

Bewustmaking: de medewerkers moeten weten dat ze geen AI-tool mogen gebruiken of installeren zonder eerst het advies van de DPO en de CISO te hebben ingewonnen.

Outputfilters: de keuze van filters kan niet aan leverancier overgelaten worden. Iemand binnen de organisatie moet hier over waken.

Bewaren gegevens:

• identificatoren zoals IP-adres niet bijhouden;
• maak het mogelijk om een vraag snel terug in te trekken;
• de inhoud van de vraag niet bijhouden;
• de bewaartermijn van de chats beperken tot wat strikt noodzakelijk is;
• de toegang tot de logs strikt beperken.

Periodieke evaluatiemomenten: kijk naar eventuele nevenverschijnselen en schat de impact van volgende generaties AI op tijd in.

v.2.0