Al binnen een paar maanden nadat het was uitgekomen, heeft ChatGPT het record van snelst groeiende consumentenapplicatie ooit verbroken. Meer dan 100 miljoen mensen hebben de vooruitstrevende mogelijkheden van deze chatbot uitgeprobeerd: het beantwoorden van vragen op een redelijk accurate en tamelijk menselijk klinkende manier, evenals het schrijven van computercode en zelfs muziek.
Er is al veel gediscussieerd over de mogelijkheid dat AI sectoren als kunst en rechtspraak overhoop kan schoppen, maar er is veel minder gesproken over de implicaties voor onze privacy. Nu ChatGPT in conflict is gekomen met de wetgeving in Italië — en het land de dienst van 31 maart tot 28 april heeft geschorst— gaat dat eindelijk veranderen.
AI wordt immers getraind door het gebruiken van informatie uit het web: als jij ooit iets online hebt gezet, is de kans reëel dat ChatGPT het heeft gelezen. En wat zit er tussen die enorme berg informatie? Een deel van onze privégegevens.
Hoe verzamelt ChatGPT je privégegevens?
Een van de manieren waarop ChatGPT privé-informatie te pakken kan krijgen, is wanneer data massaal worden geüpload om het model te trainen. Dat alleen al is zorgelijk omdat je niet de kans krijgt om toestemming te geven voor het gebruik van jouw data. Als je bijvoorbeeld een persoonlijk verhaal hebt gedeeld op een Reddit AMA, kan die bijdrage worden gebruikt door OpenAI (de maker van ChatGPT) om ChatGPT te trainen.
Nog een manier? Door ChatGPT te gebruiken. De chatbot verzamelt allerlei informatie over je sessie, waaronder je gesprekken en alles wat je verder typt. Volgens het privacybeleid van OpenAI vallen onder de verzamelde gegevens:
- Loginformatie. Je IP-adres, soort browser, instellingen, datum en tijd van je gebruik en hoe je met de tool hebt gecommuniceerd. ChatGPT verzamelt en bewaart ook je chats.
- Gebruiksinformatie. Behalve hoe je de dienst gebruikt en ermee communiceert, omvat gebruiksinformatie ook het verzamelen van je locatie door middel van tijdzone en land, softwareversie, soort apparaat, verbindingsinformatie en meer.
- Informatie over je apparaat. Het besturingssysteem en het apparaat dat je gebruikt om naar ChatGPT te gaan, worden verzameld, evenals informatie over je browser.
- Cookies. OpenAI gebruikt cookies om informatie over je browsingactiviteit op te slaan, je over het web te volgen, en voor analyses.
- Gebruikerscontent. OpenAI verzamelt de informatie die je uploadt of in ChatGPT invoert. Dat wil zeggen dat alles wat je in de tool hebt ingetypt of geüpload, wordt opgeslagen.
- Informatie over je communicatie. Als je contact zoekt met de helpdesk van OpenAI of je aanmeldt voor hun nieuwsbrieven, worden je privé-informatie en de berichten die je stuurt, opgeslagen.
- Informatie over je sociale media. Als je op sociale media communiceert met OpenAI, verzamelen zij de informatie die in je profiel te vinden is. Dat kunnen ook je telefoonnummer en je e-mailadres zijn, als je die velden hebt ingevuld.
- Accountinformatie. De informatie die je verschaft om een account aan te maken, zoals je naam, contactinformatie en betalingsinformatie, wordt opgeslagen.
Praten over zoekresultaten
Misschien denk je wel dat dat niet zoveel anders is dan wat andere websites verzamelen, en daar heb je dan gelijk in. Maar laten we even stilstaan bij het verzamelen van ‘gebruiksinformatie’ en hoe ChatGPT werkt.
ChatGPT is niet gemaakt om te werken als zoekmachine; het is ontwikkeld om met je te communiceren. Je kunt het wel gebruiken om het recept voor chocoladetaart op te zoeken, maar het geeft je je resultaten op een andere manier dan Google zou doen. In plaats daarvan ‘praat’ ChatGPT met je over het recept.
Dit kan leiden tot een onterecht gevoel van veiligheid, en kan gebruikers ertoe verleiden om informatie te delen waar ze dat in een Google-zoekopdracht niet zouden doen. De effectiviteit van ChatGPT als hulpmiddel voor het werk heeft ook geleid tot het lekken van vertrouwelijke informatie. Samsung is daar op pijnlijke wijze achter gekomen toen medewerkers de chatbot vergaderingen lieten opnemen en eigendomscodes lieten checken. Omdat OpenAI al deze gebruikersinformatie verzamelt, privé of niet, wordt het nooit gewist.
ChatGPT tijdelijk verboden in Italië
Op 31 maart heeft Italië ChatGPT tijdelijk verboden vanwege het gebruik van privé-informatie in de trainingen. De Italiaanse Registratiekamer (Garante per la Protezione dei Dati Personal) heeft geargumenteerd dat OpenAI wettelijk niet het recht heeft om privé-informatie te gebruiken bij het trainen van ChatGPT. Eind april is het verbod weer opgeheven nadat ChatGPT het privacybeleid heeft aangepast voor Europese gebruikers.
Andere landen doen ook nauwkeurig onderzoek naar de privacybescherming (of het gebrek daaraan) van ChatGPT. Dus waar had Italië nu precies bezwaar tegen?
Als lid van de Europese Unie hanteert Italië de GDPR-regels, die eisen dat mensen bewust moeten instemmen met het verzamelen van hun data. Dit gebeurt gewoonlijk met een pop-up waarmee je het verzamelen van je data kunt accepteren of weigeren. En dat heeft OpenAI niet gedaan. Italië vindt dat ChatGPT op vier gebieden de GDPR-regels heeft geschonden. Dat waren:
- Geen leeftijdscontrole om te verhinderen dat mensen jonger dan 13 jaar ChatGPT gebruiken;
- ChatGPT zou verkeerde informatie over mensen kunnen geven;
- Het werd de mensen niet verteld dat hun data werden verzameld;
- Er was geen ‘wettelijke basis’ voor het verzamelen van privé-informatie in de data die werden gebruikt om ChatGPT te trainen.
Het tijdelijke verbod op ChatGPT in Italië markeert de eerste keer dat een Westers land actie onderneemt tegen dit generatieve AI-hulpmiddel, en waarschijnlijk is het niet de laatste keer.
Privacyklachten over ChatGPT motiveren meer Europese registratiekamers tot actie
Artiesten en mediabedrijven hebben geklaagd over het onbevoegd gebruiken van hun werk om generatieve AI te trainen. Europese registratiekamers zeggen nu hetzelfde over de privé-informatie van de gebruikers. Sinds Italië ChatGPT heeft geschorst, zijn verschillende andere Europese landen begonnen de AI-tool te onderzoeken vanwege de privacyproblemen.
In Frankrijk onderzoekt de privacyregistratiekamer CNIL ChatGPT na ‘diverse’ klachten over de privacy. Het Franse Ministerie van Digitale Zaken heeft gezegd dat ChatGPT niet in overeenstemming is met de GDPR maar heeft de chat-app nog net niet geschorst. Maar de CNIL kan nog steeds een verbod uitvaardigen.
Intussen heeft Spanje de medewerking van de European Data Protection Board gevraagd bij het aanpakken van privacyproblemen met ChatGPT. Dit zou ertoe kunnen leiden dat ChatGPT op de agenda wordt geplaatst van de plenaire vergadering van het European Data Protection Committee. Het kan ook leiden tot gecoördineerde actie van de Europese GDPR met betrekking tot AI-modellen.
ChatGPT-privacyproblemen
Laten we de belangrijkste privacy-problemen rond ChatGPT nog eens samenvatten.
1. ChatGPT verzamelt veel van je data
Hierboven hebben wij dat al behandeld, maar het kan niet genoeg benadrukt worden. Alles wat je invoert in ChatGPT kan worden toegevoegd aan de database van ChatGPT. Dat kan over gevoelige informatie gaan (zoals de verslagen van de vertrouwelijke vergadering van Samsung) of informatie over cliënten die een advocaat in wettelijke documenten wil invoegen.
2. Transparantie over het gebruik van data en medewerking aan de GDPR
Een van de belangrijkste klachten van Italië was dat ChatGPT gebruikers niet informeerde over welke privé-informatie werd verzameld. Er was ook geen wettelijke basis voor het verzamelen en bewaren van privé-informatie in de database die wordt gebruikt om de algoritmen van het platform te trainen.
ChatGPT heeft sindsdien een beschrijving geleverd van de privé-informatie die wordt gebruikt voor het trainen van de AI-algoritmen, en zegt expliciet dat iedereen zich daarvoor kan afmelden. Maar deskundigen zeggen dat ze nog steeds geen sterke wettelijke basis hebben getoond voor het verwerken van informatie van gebruikers.
ChatGPT heeft het privacybeleid ook zichtbaarder gemaakt op de homepage van OpenAI.
3. De mogelijkheid om je af te melden voor het verzamelen van privé-informatie
Sinds het Italiaanse verbod op ChatGPT heeft de website het voor gebruikers makkelijker gemaakt om het afmeldingsformulier te vinden waarmee ze hun gebruikerscontent kunnen uitsluiten van gebruik voor het verbeteren van het AI-prestatiemodel. Ze hebben ook een nieuw formulier toegevoegd waarmee EU-gebruikers kunnen protesteren tegen het gebruik van hun privé-informatie voor het trainen van modellen.
Maar deskundigen hebben vraagtekens gezet bij de manier waarop ChatGPT zou kunnen tegemoetkomen aan het ‘recht om vergeten te worden’ — hiermee kunnen mensen in de EU verzoeken om uitgesloten te worden van zoekresultaten. Alle informatie die je onbedoeld aan ChatGPT geeft, zou gebruikt kunnen worden om de algoritmen te trainen. Analisten hebben gezegd dat het bijna onmogelijk is om dit met terugwerkende kracht uit te filteren.
4. Registratie van telefoonnummers
Als je je aanmeldt bij ChatGPT, moet je een telefoonnummer opgeven en een verificatiecode invoeren die naar je wordt gestuurd. Deze maatregel stelt vast dat je een mens bent. En het helpt het platform om te voorkomen dat bots zijn diensten gebruiken. Maar het is ook aanleiding tot bezorgdheid over het gebrek aan anonimiteit voor gebruikers.
5. Leeftijdscontroles
Landen overal ter wereld hebben wetten die het verzamelen en gebruiken van informatie van kinderen beschermen. Onder de regels van de GDPR is het onwettig voor bedrijven om de data van kinderen onder de 16 jaar te gebruiken zonder toestemming van de ouders, maar lidstaten kunnen die leeftijdsgrens verlagen tot 13 jaar.
In de gebruiksvoorwaarden van OpenAI wordt gesteld dat gebruikers van ChatGPT “minstens 13 jaar oud moeten zijn”. Een van de veranderingen van april is het toevoegen van een button voor Italiaanse gebruikers om te bevestigen dat ze voldoen aan de leeftijdseis.
Zoals bij talloze platforms het geval is, is het ook hier moeilijk om de leeftijdsgrens te handhaven, en de gegevens van jonge kinderen worden gaandeweg eenvoudig meegenomen.
Hoe kun je je privacy beschermen als je ChatGPT gebruikt?
1. Deel geen gevoelige informatie
Vertrouwelijke informatie is niet voor niets vertrouwelijk. Je moet voorkomen dat je welk soort gevoelige informatie dan ook deelt, of het nu werkgerelateerd of persoonlijk is, want alles wat je invoert in ChatGPT wordt opgeslagen op de servers van OpenAI. Je kunt maar het beste aannemen dat er iemand is die toegang heeft tot deze informatie. Bovendien, als er een veiligheidslek is, kan je privé-informatie makkelijk in verkeerde handen vallen.
2. Gebruik een VPN
Als je verbindt met het internet via een VPN voor ChatGPT wordt je verkeer van en naar de ChatGPT-servers versleuteld; zo blijft het beschermd tegen kwaadwillenden die je data willen stelen of corrumperen. Een VPN kan ook helpen je anonimiteit te vergroten bij het gebruiken van ChatGPT door je IP-adres en locatie te maskeren; zo verminder je de hoeveelheid data die je inlevert bij ChatGPT.
3. Meld je af voor het verwerken door ChatGPT van je privé-informatie
Als onderdeel van de verhoogde zorgvuldigheid heeft OpenAI nieuwe ChatGPT-datacontrole geïntroduceerd. Je kunt je chatgeschiedenis uitzetten in je accountinstellingen. Als je dat doet, worden je gesprekken met ChatGPT na 30 dagen gewist. Dit lijkt echter niet te voorkomen dat je data worden gebruikt bij het trainen van ChatGPT. Om je data en privé-informatie af te melden voor gebruik bij het trainen van ChatGPT moet je het Google-formulier OpenAI Data Opt Out invullen. Wie zich in Europa bevindt, wordt beschermd door de GDPR-regels en kan OpenAI verzoeken zijn privé-informatie te verwijderen met een ander formulier.
Bescherm je online privacy en veiligheid
30 dagen geld-terug-garantie