Datalek in Eindhoven: persoonsgegevens van kinderen belanden in openbare AI-tools

Binnenland•21 dec , 12:00

De gemeente Eindhoven maakt er opnieuw een puinhoop van. Medewerkers hebben zonder nadenken persoonsgegevens van kwetsbare inwoners ingevoerd in een openbare AI-tool zoals ChatGPT. Dat is niet alleen een overtreding van de privacywetgeving, maar ook een grove schending van de kerntaak van de overheid. Wie mensen dwingt hun meest gevoelige informatie te delen, heeft de plicht daar extreem zorgvuldig mee om te gaan. In Eindhoven blijkt die verantwoordelijkheid opnieuw weinig waard.

Het incident komt extra hard aan omdat Eindhoven de afgelopen jaren al onder een vergrootglas lag. De gemeente stond twee jaar lang onder verscherpt toezicht van de Autoriteit Persoonsgegevens. Aanleiding waren eerdere datalekken die te laat werden gemeld en persoonsgegevens die te lang werden bewaard. Dat er nu opnieuw iets misgaat, roept vragen op over interne controle en bewustzijn bij medewerkers.

Lees ook

Volgens AI-expert Dimitri van Iersel van Omroep Brabant is het invoeren van persoonsgegevens in openbare AI-tools simpelweg geen goed idee. Tegelijkertijd benadrukt hij dat de exacte gevolgen moeilijk te overzien zijn. “We weten nog niet in hoeverre dit een probleem gaat zijn. De gegevens die zijn ingevoerd staan nu misschien wel op een server ergens buiten Europa. Als daar ooit een datalek plaatsvindt, ligt alles op straat. Dat risico speelt bij alle software- en cloudservices waar je gegevens in stopt.”

Juist omdat het hier om kwetsbare burgers gaat, is de impact potentieel groot. Het vertrouwen dat inwoners in hun gemeente moeten kunnen hebben, staat hiermee onder druk.

Geen afspraken, wel data

Wanneer persoonsgegevens met een externe partij worden gedeeld, moeten daar duidelijke afspraken over bestaan. Denk aan verwerking, opslag en gebruik van de data. In dit geval zijn die afspraken niet gemaakt. Als medewerkers gebruikmaken van gratis of persoonlijke accounts, is de kans groot dat de ingevoerde gegevens zijn gebruikt voor het trainen van de AI-tool.

Van Iersel verwoordt het zo: “Data kan meegenomen zijn in trainingsdata voor toekomstige modellen. Als dat eenmaal is gebeurd en het model is klaar, dan is die data niet meer te verwijderen. Dat is een grijs gebied in de wetgeving rond generatieve AI.”

De gemeente Eindhoven heeft inmiddels een verzoek ingediend bij OpenAI om de ingevoerde gegevens te verwijderen. Of dat zin heeft, betwijfelt Van Iersel. “Als je een verzoek doet binnen 24 uur nadat je de informatie hebt ingevoerd, is er wel een mogelijkheid. Maar zodra het langer geleden is, zit die informatie al in trainingsmodellen.” Het volledig terughalen van de data zou betekenen dat een compleet trainingsmodel moet worden verwijderd.

Steun De Dagelijkse Standaard! De overheid probeert kritische stemmen het zwijgen op te leggen, online en offline. Wij laten ons niet blokkeren! Help ons om de macht te blijven controleren. Steun ons via BackMe of maak uw bijdrage over op NL95RABO0159098327 t.n.v. Liberty Media. En let op: als u ons via BackMe steunt, krijgt u gratis en voor niets elke dag onze exclusieve SubStack-column zo, hop, in uw email inbox!

Wat is er precies ingevoerd?

Onderzoek van strategisch en juridisch adviesbureau Hooghiemstra & Partners laat zien hoe gevoelig de gegevens zijn. Het gaat onder meer om Jeugdwet-documenten met informatie over de mentale en fysieke gezondheid van minderjarige kinderen. Vaak bevatten deze dossiers ook gegevens van broertjes en zusjes, inclusief burgerservicenummers en soms foto’s.

Daarnaast zijn WMO-documenten ingevoerd met details over diagnoses, verslavingen en schulden. Deze bestanden bevatten namen, adressen, woonplaatsen en burgerservicenummers. Ook cv’s van sollicitanten en reflectieverslagen van medewerkers met informatie over functioneren zijn in de AI-tool terechtgekomen.