Privacywaakhond krijgt tientallen meldingen over datalekken door AI-gebruik

Dat zegt de Autoriteit Persoonsgegevens (AP) tegen RTL Z, in reactie op een artikel in het Financieele Dagblad (FD). Bij de datalekken die bij de privacywaakhond werden gemeld, gaat het om persoonsgegevens van klanten, patiënten en burgers die gedeeld zijn met AI-chatbots.

De AP waarschuwt dat door de inzet van deze ‘slimme’ vraagbaken gevoelige gegevens gelekt kunnen worden. De datalekken waren zowel bij overheidsinstanties als bij bedrijven. In 2025 waren er overigens meer meldingen dan in 2024, aldus AP-woordvoerder Ernst Moeksis.

Zwerven

Het gevaar is dat de gegevens die worden gelekt via een chatbot gaan zwerven door het internet, zegt hij. Zo’n chatbot gebruikt dat soort informatie om antwoord te geven op vragen die andere mensen stellen. “Dan heb je geen zicht meer op wat er met die informatie gebeurt.”

Het is overigens ook niet toegestaan om persoonsgegevens met anderen te delen. Persoonsgegevens zijn gevoelige gegevens, of je die nou in een chatbot invoert, op een andere manier deelt met de buitenwereld, aldus Moeksis.

Eerder deze maand was er een datalek bij de gemeente Eindhoven. Het lokale bestuur maakte op 18 december bekend dat veel bestanden met persoonlijke gegevens van inwoners en medewerkers bij openbare chatbots waren beland.

Lek

Tussen 23 september en 23 oktober waren cv’s en documenten met betrekking tot jeugdzorg en interne verslagen naar openbare chatbots gestuurd. De gemeente Eindhoven zegt niet precies te weten hoe groot het lek is.

De gemeente heeft inmiddels openbare AI-sites, zoals ChatGPT, geblokkeerd. Daardoor kunnen de medewerkers van de gemeente alleen nog het programma Copilot gebruiken, binnen een beveiligde omgeving. Verder heeft de gemeente Open AI verzocht de bestanden die vanuit Eindhoven zijn geüpload te verwijderen.

Op eigen initiatief

Het soort datalekken, zoals bij de gemeente Eindhoven, ontstaat vaak doordat individuele werknemers op eigen initiatief AI-modellen gebruiken.

De gratis versies daarvan slaan de ingevoerde gegevens op, terwijl onbekend is wat de bedrijven erachter er vervolgens mee doen. Ze kunnen er bijvoorbeeld hun eigen modellen mee trainen, en de vrees is dat op die manier persoonlijke details terug kunnen komen in antwoorden van de bots.

In deze video legt RTL Nieuws-journalist Daniël Verlaan uit waarom cybercriminelen zich richten op zorgorganisaties: