De gemeente Eindhoven maakt er opnieuw een puinhoop van.
Medewerkers hebben zonder nadenken persoonsgegevens van kwetsbare inwoners
ingevoerd in een openbare AI-tool zoals ChatGPT. Dat is niet alleen een
overtreding van de privacywetgeving, maar ook een grove schending van de
kerntaak van de overheid. Wie mensen dwingt hun meest gevoelige informatie te
delen, heeft de plicht daar extreem zorgvuldig mee om te gaan. In Eindhoven
blijkt die verantwoordelijkheid opnieuw weinig waard.
Medewerkers hebben zonder nadenken persoonsgegevens van kwetsbare inwoners
ingevoerd in een openbare AI-tool zoals ChatGPT. Dat is niet alleen een
overtreding van de privacywetgeving, maar ook een grove schending van de
kerntaak van de overheid. Wie mensen dwingt hun meest gevoelige informatie te
delen, heeft de plicht daar extreem zorgvuldig mee om te gaan. In Eindhoven
blijkt die verantwoordelijkheid opnieuw weinig waard.
Het incident komt extra hard aan omdat Eindhoven de
afgelopen jaren al onder een vergrootglas lag. De gemeente stond twee jaar lang
onder verscherpt toezicht van de Autoriteit Persoonsgegevens. Aanleiding waren
eerdere datalekken die te laat werden gemeld en persoonsgegevens die te lang
werden bewaard. Dat er nu opnieuw iets misgaat, roept vragen op over interne
controle en bewustzijn bij medewerkers.
Volgens AI-expert Dimitri van Iersel van Omroep Brabant is
het invoeren van persoonsgegevens in openbare AI-tools simpelweg geen goed
idee. Tegelijkertijd benadrukt hij dat de exacte gevolgen moeilijk te overzien
zijn. “We weten nog niet in hoeverre dit een probleem gaat zijn. De gegevens
die zijn ingevoerd staan nu misschien wel op een server ergens buiten Europa.
Als daar ooit een datalek plaatsvindt, ligt alles op straat. Dat risico speelt
bij alle software- en cloudservices waar je gegevens in stopt.”
het invoeren van persoonsgegevens in openbare AI-tools simpelweg geen goed
idee. Tegelijkertijd benadrukt hij dat de exacte gevolgen moeilijk te overzien
zijn. “We weten nog niet in hoeverre dit een probleem gaat zijn. De gegevens
die zijn ingevoerd staan nu misschien wel op een server ergens buiten Europa.
Als daar ooit een datalek plaatsvindt, ligt alles op straat. Dat risico speelt
bij alle software- en cloudservices waar je gegevens in stopt.”
Juist omdat het hier om kwetsbare burgers gaat, is de impact
potentieel groot. Het vertrouwen dat inwoners in hun gemeente moeten kunnen
hebben, staat hiermee onder druk.
Geen afspraken, wel data
Wanneer persoonsgegevens met een externe partij worden
gedeeld, moeten daar duidelijke afspraken over bestaan. Denk aan verwerking,
opslag en gebruik van de data. In dit geval zijn die afspraken niet gemaakt.
Als medewerkers gebruikmaken van gratis of persoonlijke accounts, is de kans
groot dat de ingevoerde gegevens zijn gebruikt voor het trainen van de AI-tool.
gedeeld, moeten daar duidelijke afspraken over bestaan. Denk aan verwerking,
opslag en gebruik van de data. In dit geval zijn die afspraken niet gemaakt.
Als medewerkers gebruikmaken van gratis of persoonlijke accounts, is de kans
groot dat de ingevoerde gegevens zijn gebruikt voor het trainen van de AI-tool.
Van Iersel verwoordt het zo: “Data kan meegenomen zijn in
trainingsdata voor toekomstige modellen. Als dat eenmaal is gebeurd en het
model is klaar, dan is die data niet meer te verwijderen. Dat is een grijs
gebied in de wetgeving rond generatieve AI.”
De gemeente Eindhoven heeft inmiddels een verzoek ingediend
bij OpenAI om de ingevoerde gegevens te verwijderen. Of dat zin heeft,
betwijfelt Van Iersel. “Als je een verzoek doet binnen 24 uur nadat je de
informatie hebt ingevoerd, is er wel een mogelijkheid. Maar zodra het langer
geleden is, zit die informatie al in trainingsmodellen.” Het volledig
terughalen van de data zou betekenen dat een compleet trainingsmodel moet
worden verwijderd.
Steun De Dagelijkse Standaard!
De overheid probeert kritische stemmen het zwijgen op te leggen, online en offline. Wij laten ons niet blokkeren! Help ons om de macht te blijven controleren. Steun ons via BackMe of maak uw bijdrage over op NL95RABO0159098327 t.n.v. Liberty Media. En let op: als u ons via BackMe steunt, krijgt u gratis en voor niets elke dag onze exclusieve SubStack-column zo, hop, in uw email inbox!
De overheid probeert kritische stemmen het zwijgen op te leggen, online en offline. Wij laten ons niet blokkeren! Help ons om de macht te blijven controleren. Steun ons via BackMe of maak uw bijdrage over op NL95RABO0159098327 t.n.v. Liberty Media. En let op: als u ons via BackMe steunt, krijgt u gratis en voor niets elke dag onze exclusieve SubStack-column zo, hop, in uw email inbox!
Wat is er precies ingevoerd?
Onderzoek van strategisch en juridisch adviesbureau
Hooghiemstra & Partners laat zien hoe gevoelig de gegevens zijn. Het gaat
onder meer om Jeugdwet-documenten met informatie over de mentale en fysieke
gezondheid van minderjarige kinderen. Vaak bevatten deze dossiers ook gegevens
van broertjes en zusjes, inclusief burgerservicenummers en soms foto’s.
Hooghiemstra & Partners laat zien hoe gevoelig de gegevens zijn. Het gaat
onder meer om Jeugdwet-documenten met informatie over de mentale en fysieke
gezondheid van minderjarige kinderen. Vaak bevatten deze dossiers ook gegevens
van broertjes en zusjes, inclusief burgerservicenummers en soms foto’s.
Daarnaast zijn WMO-documenten ingevoerd met details over
diagnoses, verslavingen en schulden. Deze bestanden bevatten namen, adressen,
woonplaatsen en burgerservicenummers. Ook cv’s van sollicitanten en
reflectieverslagen van medewerkers met informatie over functioneren zijn in de
AI-tool terechtgekomen.
.
