Mag je clientgegevens in ChatGPT? AI en de AVG
Herleidbare clientgegevens horen niet in een gratis, publieke AI-tool. Gezondheidsgegevens zijn bijzondere persoonsgegevens onder de AVG. Wil je AI met casussen gebruiken, anonimiseer dan grondig of werk met een goedgekeurde zakelijke omgeving met verwerkersovereenkomst.
Waarom gezondheidsgegevens extra bescherming krijgen
De AVG kent een aparte categorie: bijzondere persoonsgegevens (artikel 9). Daar vallen gegevens over iemands gezondheid onder. Voor het verwerken ervan gelden strengere eisen dan voor gewone persoonsgegevens. Een naam met een diagnose, of zelfs een combinatie van details die samen naar een persoon wijzen, valt daaronder.
Waarom de gratis tool een risico is
- Verwerking buiten de EU is bij publieke tools vaak niet uit te sluiten.
- Hergebruik voor training van het model kan in de gratis versie aan de orde zijn.
- Geen verwerkersovereenkomst: er is niets vastgelegd over hoe met de gegevens wordt omgegaan.
Die drie punten samen maken dat herleidbare clientgegevens er niet thuishoren, hoe verleidelijk het gemak ook is.
Zo gebruik je AI wel veilig
Anonimiseren of pseudonimiseren is de eenvoudigste route: haal naam, geboortedatum, woonplaats en andere herleidbare details weg, zodat een casus niet tot een persoon te herleiden is. Wil je structureel met echte gegevens werken, dan is een zakelijke AI-omgeving met verwerkersovereenkomst nodig, met passende waarborgen voor de verwerking en doorgifte (verwerking binnen de EU verdient de voorkeur), die je organisatie heeft beoordeeld en goedgekeurd.
Praktijkpunt: twijfel je of iets herleidbaar is? Combineer de losse details in gedachten. Als ze samen naar een persoon wijzen, anonimiseer dan verder of laat ze weg.
Volg het beleid van je organisatie
Dit artikel geeft algemene uitleg, geen juridisch advies. Veel organisaties hebben een AVG-beleid, een functionaris voor gegevensbescherming en afspraken over welke tools wel en niet gebruikt mogen worden. Raadpleeg die voordat je AI inzet met gevoelige informatie; de regels kunnen per werkgever verschillen.
Veelgestelde vragen
Mag ik clientgegevens in ChatGPT zetten?
In de gratis, publieke versie in principe niet. Ingevoerde gegevens kunnen buiten de EU verwerkt of voor training gebruikt worden en er is geen verwerkersovereenkomst. Zonder die waarborgen horen herleidbare clientgegevens daar niet thuis.
Wat zijn bijzondere persoonsgegevens?
Dat zijn gevoelige gegevens met extra bescherming onder artikel 9 van de AVG, waaronder gegevens over iemands gezondheid. Voor het verwerken ervan gelden strengere eisen dan voor gewone persoonsgegevens.
Hoe gebruik ik AI dan wel veilig met een casus?
Anonimiseer of pseudonimiseer: haal naam, geboortedatum, adres en andere herleidbare details weg, zodat een voorbeeld niet tot een persoon te herleiden is. Of gebruik een zakelijke AI-omgeving met verwerkersovereenkomst en passende waarborgen (verwerking binnen de EU verdient de voorkeur) die je organisatie heeft goedgekeurd.
Wat is een verwerkersovereenkomst?
Een verwerkersovereenkomst legt vast hoe een externe partij, zoals een AI-leverancier, met persoonsgegevens omgaat namens jouw organisatie. De AVG verplicht een dergelijke overeenkomst wanneer je persoonsgegevens door een ander laat verwerken.