1. Inleiding
Chatbots zijn de voorbije jaren alsmaar populairder geworden. Ook in een professionele context worden ze meer en meer ingezet. Uit cijfers van cybersecuritybedrijf Kaspersky blijkt dat 42% van de werknemers commercieel gevoelige informatie deelt met ChatGPT.[1] Niet zonder risico’s, zoals zal blijken.
[1] M. VAN DER VEN, “42 procent van de Belgen deelt bedrijfsgegevens met ChatGPT”, DataNews 27 juli 2023, https://datanews.knack.be/nieuws/innovatie/ai-robotica/42-procent-van-de-belgen-deelt-bedrijfsgegevens-met-chatgpt/.
2. Soorten chatbots
Sommige types chatbots kunnen een impact hebben op vlak van privacy- en gegevensbescherming voor de gebruikers. Wanneer mensen chatbots gebruiken, geven ze hun eigen persoonsgegevens en die van anderen uit handen zonder echt te weten wat er met deze persoonsgegevens gebeurt achter de schermen. Om dit risico te beoordelen worden chatbots in dit artikel onderverdeeld naargelang hun primair gebruik:
- Communicatiemiddel. Veel organisaties zetten een chatbot of virtuele assistent in als eerste aanspreekpunt voor klanten, leveranciers en werknemers. In de meeste gevallen is zo'n chatbot niet meer dan een uitgebreide beslissingsboom om de veelvoorkomende vragen op een interactieve manier te beantwoorden.[2]
- Hulpmiddel. Bijvoorbeeld door werkgevers die een enorme hoeveelheid cv’s te verwerken hebben in het kader van een sollicitatieprocedure, kunnen chatbots gebruiken om een eerste selectie uit te voeren.[3] Ook in advocatenkantoren wordt er naarstig geëxperimenteerd om met behulp van chatbots rechtspraak samen te vatten of zelfs om contracten mee te analyseren. Soms gaat het zelfs zo ver dat de chatbot quasi een volwaardige medewerker is.
[2] Zo heeft de Balie van Antwerpen
bijvoorbeeld Chatbot Robin die rechtzoekenden helpt bij het zoeken naar juridische bijstand. Hier
beschikbaar: www.balieantwerpen.be/. Ook de Spaande gegevensbeschermingsautoriteit (AEPD)
gebruikt een eenvoudige chatbot om websitebezoekers wegwijs te maken in de AVG.
Hier beschikbaar: www.aepd.es/.
[3] Zie bv. X.
VUYLSTEKE DE LAPS, “Bedrijven gebruiken ChatGPT ook al om je cv te beoordelen”,
VRTNWS 30 oktober 2023, www.vrt.be/vrtnws/nl/2023/10/30/chatgpt-bij-sollicitaties/.
3. Omkadering gebruik chatbots
Een organisatie die een chatbot wil implementeren moet een duidelijk actieplan hebben. Dit wordt nog essentiëler als de chatbot persoonsgegevens gaat verwerken. In dit artikel worden de belangrijkste aandachtspunten besproken op basis van het verslag van de ChatGPT Taskforce van de European Data Protection Board (EDPB)[4] en de aanbevelingen van de gegevensbeschermingsautoriteiten van Liechtenstein (Datenschutzstelle),[5] Frankrijk (CNIL)[6] en Hamburg (HmbBfDI)[7] (hierna gezamenlijk ‘de Autoriteiten’).
[4] EDPB, Report of the work undertaken by the
ChatGPT Taskforce, 23 mei 2024, 14 p.(Hierna: EDPB, ChatGPT).
[5]
DATENSCHUTZSTELLE, “Chatbots”, (webpagina), www.datenschutzstelle.li/datenschutz/themen-z/chatbots. (Hierna: DATENSCHUTZSTELLE).
[6] CNIL,
“Chatbots : les conseils de la CNIL pour respecter les droits des personnes”,
19 februari 2021 (webpagina), www.cnil.fr/fr/chatbots-les-conseils-de-la-cnil-pour-respecter-les-droits-des-personnes. (Hierna : CNIL, “Chatbots”)[7] HMBBFDI, Checklist
for the use of LLM-based chatbots, 13 november 2023, 4 p.
3.1 Gepaste rechtsgronden
Voor het gros van de verwerkingen uitgevoerd met behulp van chatbots zijn de hiernavolgende drie rechtsgronden het meest toepasselijk.[8]
3.1.1 Toestemming
Toestemming onder artikel 6.1.a AVG vereist speciale aandacht omdat er een aantal geldigheidsvoorwaarden zijn. Over het algemeen is toestemming het meest geschikt wanneer de betrokkene de verwerking van zijn of haar persoonsgegevens niet verwacht.[9]
Als er een machtsverschil is tussen de organisatie en de betrokkene, kan dat de toestemming onvrij en bijgevolg ongeldig maken. Dit doet zich voornamelijk voor bij chatbots gebruikt door overheidsinstanties[10] of in het kader van een arbeidsverhouding[10]. Toestemming als rechtsgrond is dan niet onmogelijk, maar wel moeilijker.
In het specifieke geval waar cookies of vergelijkbare technologieën worden gebruikt voor de werking van de chatbot kan toestemming verplicht zijn gelet op de ePrivacy regelgeving. Dit is bijvoorbeeld het geval om de gespreksgeschiedenis te onthouden van chatbots die als communicatiemiddel worden ingezet op websites. In dit kader merkte de CNIL op dat de organisatie twee opties heeft voor het plaatsen van cookies:[12]
- Vóór de interactie met de chatbot is toestemming van de betrokkene sowieso vereist.
- Na de interactie met de chatbot, is geen toestemming vereist in zover de cookies uitsluitend gebruikt worden ter uitvoering van een dienst zoals verzocht door de gebruiker. Deze uitzondering kan niet ingeroepen worden voor bijvoorbeeld analytische of marketing doeleinden.
[8]
Zie ook DATENSCHUTZSTELLE; EDPB, ChatGPT,
6-7, rn. 13-22.
[9] Zie ook DATENSCHUTZSTELLE.
[10]
Overweging 43 AVG.
[11]
EDPB, Richtsnoeren 05/2020 inzake toestemming overeenkomstig Verordening
2016/679, 4 mei 2020, 9, rn. 21
[12] CNIL,
“Chatbots”.
3.1.2 Uitvoering overeenkomst
De uitvoering van een overeenkomst conform artikel 6.1.b AVG kan zelden worden ingezet voor chatbots. Voor de Datenschutzstelle is dit de gepaste rechtsgrond voor chatbots die gebruikt worden om een bestelling te plaatsen, herroepingsrecht uit te oefenen en garantie in te roepen.[13]
In dit verband is het de moeite waard om te wijzen op de Canadese rechtszaak waarin Air Canada een vergoeding moest betalen aan een passagier die door de chatbot van Air Canada foutief was ingelicht.[14] Charlie, de chatbot van Brussels Airlines, zal deze zaak ongetwijfeld met veel belangstelling hebben gevolgd.
[13] DATENSCHUTZSTELLE.
[14] Civil Resolution Tribunal (CAN) 14
februari 2024, Moffatt v. Air Canada,
2024 BCCRT 149 (CanLII), https://canlii.ca/t/k2spq.
3.1.3 Gerechtvaardigd belang
Gerechtvaardigd belang volgens artikel 6.1.f AVG is doorgaans de meest geschikte rechtsgrond in de hypothese dat de betrokkene redelijkerwijs kan verwachten dat zijn of haar persoonsgegevens voor welbepaalde doeleinden worden verwerkt.[15] De redelijke verwachting van de betrokkene is één van de criteria dat wordt onderzocht in het kader van de zogenaamde driestappentoets. De organisatie moet uiteraard aan alle cumulatieve voorwaarden van de driestappentoets voldoen.[16]
Gerechtvaardigd belang is wellicht de enige gepaste rechtsgrond om de input en output van de chatbot te hergebruiken voor trainingsdoeleinden.[17]
Voor overheden is deze rechtsgrond geen optie gelet op art. 6.1, tweede lid AVG en de beslissingspraktijk van de Belgische Gegevensbeschermingsautoriteit (GBA).[18] Overheden kunnen zich mogelijk wel beroepen op de noodzaak om een taak van algemeen belang uit te oefenen.
[15]
Zie
ook overweging 47 AVG; DATENSCHUTZSTELLE.
[16]
Zie HvJ 4 mei 2017, C‑13/16, ECLI:EU:C:2017:336, Rīgas, rn. 28.
[17]
Zie ook naar analogie EDPB, Report of the work undertaken by the
ChatGPT Taskforce, 23 mei 2024, 7, rn. 20-22.
[18]
Zie bv. Geschillenkamer GBA 21 februari 2023, nr. 15/2023, rn. 26-29.
3.2 Bijzondere categorieën van persoonsgegevens
Bij chatbots met een open invulveld bestaat het risico altijd dat er bijzondere categorieën van persoonsgegevens in de zin van art. 9 AVG worden ingegeven. In specifieke gevallen kan dit zelfs gewenst zijn. Bijvoorbeeld bij chatbots in een medische context. Zo toonde een studie aan dat de antwoorden van een chatbot op vragen van patiënten als meer kwaliteitsvol en empathisch werden ervaren.[19]
De CNIL maakt hierbij een onderscheid tussen twee situaties:[20]
- De input is voorzienbaar en pertinent. In dit geval acht de CNIL de uitzonderingsgronden expliciete toestemming conform art. 9.2.a AVG of het zwaarwegend algemeen belang conform art. 9.2.g AVG als meest gepaste uitzonderingsgronden.
- De input is niet voorzienbaar. Dit is bijvoorbeeld het geval is voor elke chatbot met een vrij invulveld. In dit geval stelt de CNIL dat er geen toestemming vereist is, noch maakt ze melding van een andere toepasselijke uitzonderingsgrond.
De CNIL stelt wel dat de gebruiker gewaarschuwd moet worden om geen bijzondere categorieën persoonsgegevens in te voeren. Bovendien moet er een systeem in plaats zijn om deze persoonsgegevens meteen te verwijderen zodra er wordt vastgesteld dat het om een bijzondere categorie gaat.
In dit verband kan de vraag gesteld worden of de uitzonderingrond onder artikel 9.2.e AVG voor bijzondere categorieën persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaakt toepasselijk is. Het antwoord daarop is wellicht negatief gelet op het verslag van de ChatGPT Taskforce van de EDPB.[21]
[19] J.W.
AYERS, A. POLIAK, M. DREDZE, E.C. LEAS, Z. ZHU, J.B. KELLEY, D.J. FAIX, A.M.
GOODMAN, C.A. LONGHURST, M. HOGARTH, D.M. SMITH, Comparing Physician and
Artificial Intelligence Chatbot Responses to Patient Questions Posted to a
Public Social Media Forum. JAMA Intern Med. 2023; 183(6):589-596
[20] CNIL,
“Chatbots”.
[21] Zie EDPB, ChatGPT,
7, rn. 18.
3.3 Voorafgaande analyses en raadplegingen
3.3.1 Gegevensbeschermingseffectbeoordeling (GEB)
Voor het gebruik van chatbots kan het in sommige gevallen verplicht zijn om voorafgaand een GEB conform art. 35 AVG uit te voeren. De noodzaak om een GEB uit te voeren zal sterk afhankelijk zijn van de context en kan ook veranderen bij latere herzieningen van de GEB. De adviezen en voorbeelden van de CNIL in dit verband vormen een nuttige leidraad.[22]
Bij wijze van voorbeeld zal een GEB wellicht verplicht zijn voor een arts die een GPT-chatbot gebruikt om de vragen van zijn of haar patiënten te beantwoorden. In dat geval wordt er gebruik gemaakt van een innovatieve technologie om een bijzondere categorie persoonsgegevens te verwerken.[23] De CNIL benadrukt in dit kader dat AI-systemen die al jaren experimenteel gevalideerd en in de praktijk getest zijn, niet meer als innovatief worden beschouwd.[24]
De GEB mag geen eenmalige ‘check the box’ oefening zijn. Zoals recent nogmaals bevestigd werd door de ChatGPT Taskforce van de EDPB dient de GEB op periodieke basis opnieuw beoordeeld te worden.[25]
Naast een GEB kan het bij een doorgifte van persoonsgegevens buiten de Europese Economische Ruimte noodzakelijk zijn om deze doorgifte eveneens te beoordelen.[26]
[22]
CNIL, “Chatbots”.
[23]
Zie WP29, Richtsnoeren voor gegevensbeschermingseffectbeoordelingen
en bepaling of een verwerking "waarschijnlijk een hoog risico inhoudt"
in de zin van Verordening 2016/679, 4 oktober 2017, 10-13; CNIL, “Carrying
out a data protection impact assessment when necessary”, 16 oktober 2023
(webpagina), www.cnil.fr/en/carrying-out-data-protection-impact-assessment-when-necessary; Information Commissioner’s Office, How to
use AI and personal data appropriately and lawfully, 8 november 2022, 7.
[24] CNIL,
“Chatbots”.
[25] EDPB, ChatGPT,
11.
[26]
Zie EDPB, Aanbevelingen 01/2020 inzake maatregelen ter aanvulling op
doorgifte-instrumenten teneinde naleving van het beschermingsniveau van
persoonsgegevens in de Unie te waarborgen, 18 juni 2021, 55 p.
3.3.2 Vendor due diligence en overleg
Daarnaast zijn organisaties zich er best ook van bewust dat een analyse op het gebied van privacy- en gegevensbescherming niet de enige overweging mag zijn. Ze controleren de aanbieders van chatbots best ook grondig op andere gebieden. Bijvoorbeeld naar wat er in de gebruiksvoorwaarden staat over auteursrechten. Dit kan snel relevant worden bij chatbots die als hulpmiddel worden ingezet.
Daarnaast speelt op arbeidsrechtelijk vlak CAO nr. 39 betreffende de voorlichting en overleg inzake sociale gevolgen van de invoering van nieuwe technologieën ook mee voor ondernemingen met minstens 50 werknemers.[27] Zodra een chatbot belangrijke collectieve gevolgen heeft voor de werkgelegenheid, werkorganisatie of arbeidsvoorwaarden heeft de organisatie een voorafgaande informatieverplichting en is overleg met de werknemersvertegenwoordigers vereist.[28]
Volgens een onderzoek van het HR-dienstenbedrijf Tempo-Team uit 2017 wordt CAO nr. 39 slechts in 3 op de 10 bedrijven toegepast.[29] Dit zal in de toekomst mogelijk wijzigen op vlak van chatbots die AI gebruiken. Diverse vakbonden hebben hieromtrent al standpunt ingenomen.[30]
[27]
Art. 1.1 CAO 39.
[28] Art. 2.1 CAO
39.
[29] Tempo-Team,
“Kwart Belgische werknemers getroffen door digitale kloof op de werkvloer”, HRsquare
19 oktober 2017 (blog), https://hrsquare.be/nl/kwart-belgische-werknemers-getroffen-door-digitale-kloof-op-de-werkvloer-2/.
[30] ACV, “Artificiële intelligentie op de werkvloer”, 2022 (brochure), 7;
ACLVB, “Gebruik artificiële intelligentie op de werkplek: ACLVB roept op tot
regelgevend kader”, 12 april 2024 (blog), https://www.aclvb.be/nl/artikels/gebruik-artificiele-intelligentie-op-de-werkplek-aclvb-roept-op-tot-regelgevend-kader
3.4 Gebruiksvoorwaarden en beleidsregels
3.4.1 Ten aanzien van betrokkenen
In de gebruiksvoorwaarden van chatbots voor communicatiedoeleinden (bv. op een website) neemt de organisatie best de volgende minimale informatie op:
- Het specifieke doel van de chatbot. Bijvoorbeeld, zo wilt chatbot Regi van de gemeente Rumst en enkele andere gemeenten op een interactieve manier toegang verlenen tot relevante informatie over haar diensten.[31] Daarnaast staat er in de voorwaarden dat de input ook wordt vastgelegd voor analytische doeleinden.
- Het is daarnaast verstandig om een disclaimer over de nauwkeurigheid en een aansprakelijkheidsbeperking toe te voegen.[32] Sommige chatbots met AI hebben immers de neiging om antwoorden te verzinnen, zoals bijvoorbeeld gebeurde met de eerder genoemde chatbot van Air Canada.
- Daarnaast is het noodzakelijk om transparant te zijn over het eventuele gebruik van AI.
- De organisatie kan bepalen wat voor soort input is toegestaan en zo de input van bijzondere categorieën persoonsgegevens[33] of alle persoonsgegevens verbieden. De organisatie kan bovendien andere ongewenste input verbieden, zoals seksuele of beledigende vragen. Zo moest de chatbot Ruby van DPD offline worden gehaald nadat deze zowel zichzelf als de organisatie beledigde in een “gesprek” met een klant [34].
- In het geval er persoonsgegevens worden verwerkt via de chatbot is een link naar de privacyverklaring vereist. Idealiter is deze link al zichtbaar op het eerste scherm van de chatbot.
- Tot slot wensen niet alle betrokkenen te communiceren met een chatbot. Organisaties bieden daarom best een alternatief communicatiemiddel aan.
[31]
Hier
beschikbaar: www.rumst.be/regi.
[32] Zie VLAIO-bot, de GPT-assistent van VLAIO, beschikbaar via: https://www.vlaio.be/nl/content/chatbot-disclaimer.
[33]
CNIL, “Chatbots”.
[34] L. EL
BAKKALI, “Koeriersdienst "ontslaat" chatbot omdat hij bedrijf
beledigt”, VRTNWS 21 januari 2024, www.vrt.be/vrtnws/nl/2024/01/21/chatbot-ai-dpd-koerierdienst-ontslagen-ashley-beauchamp/.
3.4.2 Ten aanzien van werknemers
Chatbots, met of zonder AI, zijn meestal gemakkelijk beschikbaar. Het is bijgevolg waarschijnlijk dat werknemers chatbots inzetten voor hun werk. De HmbBfDI raadt daarom aan om een intern beleid te ontwikkelen. Zonder zo'n beleid, zegt de HmbBfDI dat organisaties moeten veronderstellen dat werknemers ongeautoriseerd en ongecontroleerd gebruik zullen maken van de chatbots.[35]
De implementatie van een AI-beleid is eveneens in lijn met artikel 24.2 AVG. Dit beleid kan op zichzelf bestaan of mee geïmplementeerd worden in de bestaande ICT-policy. De loutere implementatie van een beleid volstaat op zich niet. Organisaties voorzien idealiter ook trainingen, opfrissingscursussen en bewustwordingsessies.
Organisaties kunnen in dergelijk beleid het gebruik van chatbots als hulpmiddel ook zonder meer verbieden. Zo verbood de Nederlandse overheid ambtenaren om gebruik te maken van generatieve AI-toepassingen zoals ChatGPT, Bard en Midjourney.[36] Het regelrecht verbieden lijkt echter eveneens het risico met zich mee te brengen dat dat werknemers er toch ongeautoriseerd en ongecontroleerd gebruik van zullen maken (shadow AI).
Het is bijgevolg een best practice om een duidelijk beleid te implementeren met minstens de volgende inhoud:
- Een overzicht van de goedgekeurde chatbots en de doeleinden waarvoor ze mogen worden ingezet. Het is raadzaam om ook concrete voorbeelden te geven.
- Hoe de naleving van het beleid gecontroleerd kan worden en de gevolgen bij overtredingen.
- Naar analogie met de professionele mailbox geeft de organisatie best aan of privégebruik is toegelaten. De HmbBfDI raadt sterk af om privé gebruik toe te laten bij professionele chatbots.[37]
[35] HMBBFDI, Checklist
for the use of LLM-based chatbots, 13 november 2023, 1. (Hierna: HMBBFDI).
[36] A.C. VAN
HUFFELEN, Voorlopig standpunt voor Rijksorganisaties bij het gebruik van
generatieve AI, Ministerie van Binnenlandse Zaken Koninkrijksrelaties 11
december 2023 (kamerbrief), 3.
[37] HMBBFDI, 2.
3.5 Privacyverklaring
De informatieverplichtingen uit artikels 13 en 14 AVG gelden onverminderd bij het gebruik van chatbots waar persoonsgegevens verwerkt worden. Bijzondere aandacht moet gegeven worden aan verdere verwerkingen voor trainingsdoeleinden.
Voor chatbots die gebruikt worden als communicatiemiddel kan de organisatie een link voorzien naar de privacyverklaring in het eerste scherm van de chatbot.[38] Wanneer de chatbot als hulpmiddel wordt ingezet, geldt er mogelijk zowel een informatieverplichting ten aanzien van de werknemer als ten aanzien van betrokkenen wiens persoonsgegevens in de chatbot worden verwerkt (bv. klanten en leveranciers).
3.6 Aanmaak account
Nadat alle bovenstaande analyses zijn uitgevoerd en de nodige documentatie is opgesteld, zijn er enkele praktische overwegingen met betrekking tot de aanmaak van een account voor een chatbot. Dit is in het bijzonder relevant voor chatbots die als hulpmiddel worden ingezet.
De HmbBfDI adviseert om te vermijden dat er persoonsgegevens in de accounts worden opgenomen. Organisaties dienen dus bij de aanmaak van het account een algemeen e-mailadres te gebruiken (bv. departement@organisatie.be) in plaats van het professioneel e-mailadres van een werknemer (bv. voornaam.achternaam@organisatie.be).[39]
Hoewel het vanuit de geest van minimale gegevensverwerking in art 5.1.c AVG een begrijpelijk standpunt is, is dit niet altijd realistisch. In veel situaties zal het handig of zelfs essentieel zijn om te weten welke specifieke werknemer een bepaalde taak heeft uitgevoerd met de hulp van de chatbot.
De HmbBfDI adviseert vervolgens om de gegevens in de chatbot te beveiligen met geschikte maatregelen. In de eerste plaats moeten de organisaties de toegang tot de chatbot beperken. Alleen de werknemers die de chatbot nodig hebben voor hun werk, mogen inloggegevens hebben (access control). Dit zal waarschijnlijk niet zo moeilijk zijn in de praktijk, want vaak worden er kosten per gebruiker en/of sessie aangerekend. Uiteraard moeten de accounts aanvullend beschermd worden met sterke wachtwoorden en een soort van multi-factor authenticatie.
De HmbBfDI raadt aan om de chatgeschiedenis uit te schakelen voor gedeelde accounts.[40] Dit punt is echter betwistbaar, want organisaties kunnen perfect legitieme redenen hebben om de chatgeschiedenis te raadplegen. Bijvoorbeeld om een eerder gebruikte en succesvolle ‘prompt’ te hergebruiken, maar ook eventueel ter controle van hun beleid omtrent het gebruik van de chatbots.
Een bijzonder belangrijkste maatregel tot slot is het afmelden voor trainingsdata. Chatbots hebben vaak als standaardinstelling dat de input en output hergebruikt mag worden door de aanbieder van de chatbot voor eigen trainingsdoeleinden. Voor ChatGPT is het in elk geval mogelijk om deze optie uit te schakelen.[41]
[39]
HMBBFDI, 2.
[40]
HMBBFDI, 3.
[41]
Dit kan via ‘Settings’, ‘data controls’, ‘chat history & training’
uitvinken.
4 Input
4.1 Data minimalisatie bij invoer (persoons)gegevens
De Autoriteiten vertrekken vanuit het principe van minimale gegevensverwerking in art 5.1.c AVG. Als principe dienen organisaties de input van zowel persoonsgegevens, auteursrechtelijk beschermde gegevens, bedrijfsgeheimen als alle andere commercieel gevoelige gegevens te vermijden. Bij wijze van voorbeeld kan in dit kader verwezen worden naar de werknemers van Samsung die per ongeluk gevoelige informatie gelekt hadden via ChatGPT.[42]
Bovendien moeten organisaties ook controleren of de contracten met hun klanten het gebruik van de klantgegevens via AI niet verbieden. Dit soort contractuele bepalingen wordt namelijk steeds vaker voorzien.
De HmbBfDI zegt dat het verwijderen van namen en adressen uit de input onvoldoende kan zijn. AI-systemen kunnen immers met kruisverwijzingen in ongestructureerde gegevens informatie over gebruikers en andere betrokkenen afleiden.[43] Bij wijze van voorbeeld geeft de HmbBfDI aan dat de volgende prompt best wordt vermeden: “Stel een functieomschrijving op voor een verkoper bij een autodealer X”. Aan de hand van deze prompt zou het volgens de HmbBfDI mogelijk kunnen zijn om de identiteit van de verkoper bij de autodealer te achterhalen.
[42] M.
GURMAN, “Samsung Bans Staff’s AI Use After Spotting ChatGPT Data Leak”, Bloomberg
2 mei 2023 (artikel), www.bloomberg.com/news/articles/2023-05-02/samsung-bans-chatgpt-and-other-generative-ai-use-by-staff-after-leak
[43]
HMBBFDI, 2-3.
4.2 Bewaartermijnen
De Autoriteiten verwijzen naar het principe van opslagbeperking in art. 5.1.e AVG om de gepaste bewaartermijn te bepalen.
Hierbij biedt de CNIL aan de hand van voorbeelden de volgende leidraad:[44]
- In de meeste gevallen kunnen alle gegevens verwijderd worden op het einde van de conversatie met de chatbot. Bijvoorbeeld wanneer de betrokkene zijn of haar antwoord heeft ontvangen en vervolgens de chatbot of webpagina sluit.
- In sommige gevallen kan de specifieke context vereisen dat een langere bewaartermijn is aangewezen. Bijvoorbeeld wanneer er via een chatbot een klacht werd ingediend na een aankoop.
[44]
CNIL, “Chatbots”.
4.3 Input hergebruiken voor eigen trainingsdoeleinden
Het trainen van een chatbot met AI is noodzakelijk om deze te verbeteren. Zo kan ontbrekende kennis geïdentificeerd worden, verbanden gelegd worden om eventuele opvolgvragen te suggereren en is het mogelijk om op maat gemaakte antwoorden aan te bieden.
Om de trainingsdata voor eigen doeleinden te kunnen gebruiken, moet de organisatie beschikken over een aparte rechtsgrond. Een mogelijke rechtsgrond is toestemming, op voorwaarde dat deze voldoende specifiek wordt verleend. Het gerechtvaardigd belang van de organisatie is eveneens een mogelijkheid wanneer er aan de cumulatieve voorwaarden in de driestappentoets wordt voldaan. In elk geval doen organisaties er goed aan om de trainingsdata zo snel mogelijk te anonimiseren, aangezien toestemming op elk moment kan worden ingetrokken en betrokkenen ook steeds bezwaar zouden kunnen maken.
5 Output
5.1 Persoonsgegevens in de resultaten
De HmbBfDI wijst op het aandachtspunt dat de manier waarop een prompt wordt geformuleerd ervoor kan zorgen dat er al dan niet persoonsgegevens in de resultaten terechtkomen.[45] De meeste chatbots zijn namelijk getraind op grote hoeveelheden data, waaronder eerdere input of zelfs data die via het internet kan worden geraadpleegd.
De HmbBfDI geeft bij wijze van voorbeeld de volgende voorbeelden mee:[46]
- De prompt “Welke mensen zullen wellicht geïnteresseerd zijn in product X” wordt door haar gezien als een problematische input.
- Alternatief kan de organisatie een prompt als “Schrijf een advertentie voor product X” gebruiken.
[45]
HMBBFDI, 2.
[46]
Ibid.
5.2 Geautomatiseerde individuele besluitvorming
Een ander belangrijk aandachtspunt voor de output van chatbots is het verbod op geheel geautomatiseerde individuele beslissingen in art. 22.1 AVG. In overweging 71 AVG gaat het bijvoorbeeld om het afwijzen van een online kredietaanvraag of een sollicitant.
Artikel 22.2 AVG voorziet in enkele uitzonderingen. In het bijzonder met betrekking tot het analyseren van een groot aantal sollicitaties zou een organisatie zich op de uitzondering kunnen beroepen voor een besluit dat noodzakelijk is voor de totstandkoming van een overeenkomst. Dit volgt ook uit richtsnoeren van de WP29.[47]
Wanneer een chatbot besluiten formuleert die gevalideerd moeten worden door een mens, wijst de HmbBfDI op een belangrijk intern aandachtspunt. De werknemers die de menselijke tussenkomst voorzien, moeten beschikken over voldoende kennis, tijd en middelen om een waardevolle beoordeling uit te voeren.[48]
[47] WP29, Richtsnoeren
inzake geautomatiseerde individuele besluitvorming en profilering voor de
toepassing van Verordening (EU) 2016/679, 6 februari 2018, 28.
[48]
HMBBFDI, 4.
6 Besluit
Chatbots hebben veel te bieden. Ze kunnen betrokkenen sneller en soms empathischer van informatie voorzien, en ze kunnen werknemers ondersteunen om hun werk efficiënter uit te voeren.
Toch zijn er veel privacy- en gegevensbeschermingskwesties waar rekening mee moet worden gehouden. Met behulp van het voorgestelde actieplan aan de hand van de Autoriteiten kunnen veel risico's op voorhand worden aangepakt, zodat de voordelen nog meer tot hun recht komen.