Risico's van informatie lekken bij ChatGPT: Vier te nemen maatregelen
De recent veelbesproken ‘ChatGPT’ is een generatieve AI die niet alleen manuscripten kan schrijven en programmeren, maar ook partituren kan genereren en tekeningen kan maken, waardoor het in verschillende domeinen de aandacht trekt.
De ‘GPT’ in ChatGPT staat voor ‘Generative Pre-training Transformer’, een systeem dat door het vooraf trainen met een grote hoeveelheid tekst, afbeeldingen en audio (via uitbreidingsfuncties) in staat is om natuurlijke gesprekken te voeren zoals een mens dat zou doen.
ChatGPT wordt geprezen als een tool die niet alleen complexe taken aankan, maar ook de efficiëntie van werkzaamheden kan verhogen en een hoge kostenprestatie kan bieden. Het gebruik van ChatGPT is al in verschillende domeinen gevorderd, en er is een trend waarbij veel techbedrijven hun eigen AI-systemen ontwikkelen.
Hoewel AI-technologieën zoals ChatGPT veel zakelijke kansen bieden, worden er ook potentiële risico’s benoemd, zoals auteursrechtkwesties, de verspreiding van onjuiste informatie, het lekken van vertrouwelijke informatie, privacyproblemen en de mogelijkheid van misbruik voor cyberaanvallen.
In dit artikel zal een advocaat uitleggen welke maatregelen genomen moeten worden met betrekking tot het risico op informatielekken bij het gebruik van ChatGPT.
Risico’s van Informatielekken Gerelateerd aan ChatGPT
De risico’s verbonden aan de implementatie van ChatGPT in bedrijven omvatten voornamelijk de volgende vier punten:
- Beveiligingsrisico’s (informatielekken, nauwkeurigheid, kwetsbaarheden, beschikbaarheid, etc.)
- Risico’s op schending van auteursrechten
- Risico’s op misbruik (zoals cyberaanvallen)
- Ethische vraagstukken
Het risico op informatielekken met ChatGPT houdt in dat wanneer vertrouwelijke informatie wordt ingevoerd in ChatGPT, deze informatie mogelijk zichtbaar kan zijn voor medewerkers van OpenAI of andere gebruikers, of gebruikt kan worden als trainingsdata.
Volgens het datagebruikbeleid van OpenAI, tenzij de gebruiker de ‘API’ van ChatGPT gebruikt of ervoor kiest om ‘opt-out’ aan te vragen, zal OpenAI de door gebruikers ingevoerde data in ChatGPT verzamelen en gebruiken (voor training) (dit wordt later gedetailleerder uitgelegd).
Gebruik van ChatGPT leidt tot informatie lekken
Hier introduceren we gevallen waarin het gebruik van ChatGPT heeft geleid tot het lekken van geregistreerde persoonlijke informatie en ingevoerde vertrouwelijke informatie.
Gevallen waarin persoonlijke informatie is uitgelekt
Op 24 maart 2023 kondigde OpenAI aan dat ze ChatGPT op 20 maart voor korte tijd offline hadden gehaald vanwege een bug waardoor sommige gebruikers de laatste vier cijfers van de creditcardnummers van andere gebruikers, de vervaldatum van de kaart en andere persoonlijke informatie te zien kregen. Het lek betrof een deel van de abonnees van het betaalde ‘ChatGPT Plus’-plan (ongeveer 1,2% van de leden).
Tegelijkertijd met deze bug werd ook bekendgemaakt dat er een bug was waardoor chatgeschiedenissen van andere gebruikers zichtbaar werden in de chatgeschiedenis.
Als reactie hierop heeft de Italiaanse gegevensbeschermingsautoriteit op 31 maart 2023 een verbeteringsbevel uitgevaardigd dat OpenAI tijdelijke beperkingen oplegt aan de verwerking van gegevens van Italiaanse gebruikers, omdat er geen wettelijke basis was voor het verzamelen en opslaan van persoonlijke gegevens door ChatGPT voor leerdoeleinden. Als gevolg hiervan blokkeerde OpenAI de toegang tot ChatGPT vanuit Italië. Deze blokkade werd opgeheven op 28 april van hetzelfde jaar nadat OpenAI verbeteringen had aangebracht in de omgang met persoonlijke gegevens.
Gevallen waarin bedrijfsgevoelige informatie is uitgelekt
In februari 2023 publiceerde het Amerikaanse cybersecuritybedrijf Cyberhaven een rapport over het gebruik van ChatGPT door klantbedrijven.
Volgens het rapport had 8,2% van de 1,6 miljoen werknemers van klantbedrijven die Cyberhaven-producten gebruiken, ChatGPT minstens één keer op het werk gebruikt, en 3,1% van hen had bedrijfsgevoelige gegevens ingevoerd in ChatGPT.
In een Zuid-Koreaans geval rapporteerde de Koreaanse media ‘Economist’ op 30 maart 2023 dat een afdeling binnen Samsung Electronics toestemming had gegeven voor het gebruik van ChatGPT, wat leidde tot het invoeren van gevoelige informatie.
Hoewel Samsung Electronics waarschuwingen had gegeven voor interne informatiebeveiliging, waren er werknemers die broncodes van programma’s en inhoud van vergaderingen hadden ingevoerd.
In deze context zijn er landen en bedrijven die het gebruik van ChatGPT beperken, terwijl anderen een beleid promoten dat het gebruik ervan aanmoedigt. Bij de introductie van ChatGPT moet men de risico’s van informatie lekken goed begrijpen en overwegen.
Vier maatregelen om informatielekken te voorkomen met ChatGPT
Eenmaal voorgekomen, kunnen informatielekken niet alleen leiden tot juridische aansprakelijkheid, maar ook tot aanzienlijke schade aan vertrouwen en reputatie. Daarom is het van cruciaal belang om een goed informatiebeheersysteem en training binnen de organisatie te implementeren om lekken te voorkomen.
Hier introduceren we vier maatregelen om informatielekken te voorkomen wanneer u ChatGPT gebruikt.
Maatregel 1: Het opstellen van gebruiksregels
Bepaal eerst de positie van uw bedrijf ten aanzien van ChatGPT en neem in de bedrijfsreglementen bepalingen op over het gebruik van ChatGPT. Het is belangrijk om duidelijke regels te stellen, zoals het niet invoeren van persoonlijke en vertrouwelijke informatie, en deze te handhaven.
In dit verband is het wenselijk om een eigen ChatGPT-gebruikersrichtlijn voor uw bedrijf op te stellen. Zorg er ook voor dat in contracten met externe partijen bepalingen worden opgenomen over het gebruik van ChatGPT.
Op 1 mei 2023 (Reiwa 5) heeft de General Incorporated Association Japanese Deep Learning Association (JDLA) de ethische, juridische en sociale vraagstukken (ELSI) met betrekking tot ChatGPT samengevat en de ‘Richtlijnen voor het gebruik van generatieve AI’ gepubliceerd.
In verschillende sectoren, waaronder industrie, academische wereld en overheid, wordt ook gestart met het overwegen van het opstellen van richtlijnen. Door deze als referentie te gebruiken en een duidelijke, schriftelijke richtlijn voor het gebruik van ChatGPT binnen uw bedrijf op te stellen, kunt u bepaalde risico’s vermijden.
Referentie: General Incorporated Association Japanese Deep Learning Association (JDLA) | Richtlijnen voor het gebruik van generatieve AI[ja]
Het heeft echter geen zin om richtlijnen op te stellen als deze niet bekend en strikt nageleefd worden. Alleen richtlijnen zijn als maatregel niet voldoende.
Maatregel 2: Een structuur opzetten om informatielekken te voorkomen
Als maatregel om menselijke fouten te voorkomen, is het mogelijk om een systeem genaamd DLP (Data Loss Prevention) te implementeren, dat specifiek ontworpen is om het lekken van bepaalde gegevens te voorkomen en zo de verzending en het kopiëren van vertrouwelijke informatie tegen te gaan.
DLP is een systeem dat niet de gebruiker, maar de data continu monitort, en automatisch vertrouwelijke en belangrijke gegevens identificeert en beschermt. Met DLP kan, wanneer gevoelige informatie wordt gedetecteerd, een waarschuwing worden gegeven of de actie worden geblokkeerd.
Hoewel het mogelijk is om interne informatielekken te voorkomen met beheersbare kosten, is een geavanceerd begrip van beveiligingssystemen noodzakelijk, en kan de soepele implementatie ervan in bedrijven zonder technische afdeling uitdagend zijn.
Maatregel 3: Gebruik van tools om datalekken te voorkomen
Zoals eerder vermeld, kunt u als directe preventieve maatregel ‘opt-out’ aanvragen om te voorkomen dat de door u ingevoerde gegevens in ChatGPT worden verzameld.
U kunt ‘opt-out’ aanvragen via het instellingenmenu van ChatGPT. Echter, als u opt-out aanvraagt, wordt uw promptgeschiedenis niet bewaard, wat door velen als onhandig kan worden ervaren.
Een alternatieve methode, naast de opt-out instelling, is het implementeren van tools die gebruikmaken van de ‘API’ van ChatGPT.
‘API (Application Programming Interface)’ verwijst naar de interface die OpenAI beschikbaar heeft gesteld om ChatGPT te integreren in uw eigen diensten of externe tools. OpenAI heeft duidelijk verklaard dat informatie die via de ‘API’ van ChatGPT wordt ingevoerd of uitgevoerd, niet wordt gebruikt.
Dit is ook expliciet vermeld in de gebruiksvoorwaarden van ChatGPT. Volgens de gebruiksvoorwaarden:
3. Inhoud
(c) Gebruik van inhoud om de dienst te verbeteren
We gebruiken geen inhoud die u aan onze API levert of ontvangt van onze API (“API-inhoud”) om onze diensten te ontwikkelen of te verbeteren.
Wij gebruiken geen inhoud die u aan onze API levert of ontvangt van onze API (“API-inhoud”) om onze diensten te ontwikkelen of te verbeteren.
We kunnen inhoud van diensten die niet onze API zijn (“Niet-API-inhoud”) gebruiken om onze diensten te helpen ontwikkelen en verbeteren.
Wij kunnen inhoud van diensten die niet onze API zijn (“Niet-API-inhoud”) gebruiken om onze diensten te helpen ontwikkelen en verbeteren.
Als u niet wilt dat uw Niet-API-inhoud wordt gebruikt om diensten te verbeteren, kunt u zich afmelden door dit formulier in te vullen. Let op dat dit in sommige gevallen de mogelijkheid van onze diensten om uw specifieke gebruikssituatie beter aan te pakken kan beperken.
Als u niet wilt dat uw Niet-API-inhoud wordt gebruikt om diensten te verbeteren, kunt u zich afmelden door dit formulier in te vullen. Houd er rekening mee dat dit in sommige gevallen de mogelijkheid van onze diensten om uw specifieke gebruikssituatie beter aan te pakken kan beperken.
Citaat: OpenAI officiële site | ChatGPT gebruiksvoorwaarden[ja]
Maatregel 4: Het uitvoeren van interne trainingen in IT-geletterdheid
Naast de tot nu toe geïntroduceerde maatregelen is het ook van belang om de veiligheidsbewustzijn van uw werknemers te verhogen door middel van interne trainingen.
Zoals het voorbeeld van Samsung Electronics laat zien, kan ondanks het waarschuwen voor informatiebeveiliging binnen het bedrijf, het invoeren van vertrouwelijke informatie leiden tot datalekken. Het is dus wenselijk om niet alleen vanuit het systeem datalekken te voorkomen, maar ook interne trainingen te verzorgen over kennis van ChatGPT en IT-geletterdheid.
Aanpak bij een datalek via ChatGPT
In het ongelukkige geval dat er een datalek plaatsvindt, is het van cruciaal belang om snel onderzoek naar de feiten en maatregelen te treffen.
Bij een lek van persoonsgegevens is het volgens de Japanse Wet Bescherming Persoonsgegevens (2003) verplicht om dit te melden bij de Japanse Commissie voor de Bescherming van Persoonsgegevens. Ook moet de betrokkene geïnformeerd worden over het voorval. Als het lek van persoonsgegevens de rechten of belangen van de andere partij schendt, kan dit leiden tot civielrechtelijke aansprakelijkheid voor schadevergoeding. Bovendien kan, als persoonsgegevens met onrechtmatige bedoelingen zijn gestolen of verstrekt, ook strafrechtelijke aansprakelijkheid aan de orde zijn.
In het geval van een lek van bedrijfsgeheimen of technische informatie, kan men op basis van de Japanse Wet op de Preventie van Oneerlijke Concurrentie (1993) maatregelen eisen zoals het verwijderen van informatie bij de partij die de informatie heeft gelekt. Als het lek van bedrijfsgeheimen of technische informatie de andere partij onrechtmatig voordeel heeft verschaft, kan dit leiden tot civielrechtelijke aansprakelijkheid voor schadevergoeding. Daarnaast kan, als bedrijfsgeheimen of technische informatie door onrechtmatige middelen zijn verkregen of gebruikt, ook strafrechtelijke aansprakelijkheid aan de orde zijn.
Als er informatie is gelekt door schending van de beroepsgeheimhoudingsplicht, kan men op grond van het strafrecht of andere wetten strafrechtelijk aansprakelijk worden gesteld. Ook kan men civielrechtelijk aansprakelijk worden gesteld voor schadevergoeding als door de schending van de beroepsgeheimhoudingsplicht schade aan de andere partij is toegebracht.
Daarom is het noodzakelijk om snel te reageren op gelekte informatie, afhankelijk van de inhoud ervan, en het is belangrijk om van tevoren een systeem op te zetten om dergelijke incidenten aan te pakken.
Gerelateerd artikel: Wat bedrijven moeten doen met betrekking tot informatieverschaffing bij een datalek[ja]
Gerelateerd artikel: Wat te doen bij een lek van persoonsgegevens? Uitleg over de te nemen bestuurlijke maatregelen door bedrijven[ja]
Samenvatting: Bereid je voor op de risico’s van informatie lekken met ChatGPT
In dit artikel hebben we de risico’s van informatie lekken met ChatGPT en de te nemen maatregelen besproken. In de snel evoluerende wereld van AI-gedreven zaken, zoals die met ChatGPT, is het raadzaam om te overleggen met ervaren advocaten die goed thuis zijn in de juridische risico’s en om van tevoren een intern systeem op te zetten dat is afgestemd op deze risico’s.
Niet alleen voor informatie lekken, maar ook voor het beoordelen van de wettigheid van een AI-gedreven bedrijfsmodel, het opstellen van contracten en gebruiksvoorwaarden, het beschermen van intellectuele eigendomsrechten en het omgaan met privacykwesties, biedt samenwerking met advocaten die kennis en ervaring hebben in zowel AI als recht zekerheid.
Maatregelen van ons kantoor
Het Monolith Advocatenkantoor is een juridisch kantoor met een rijke ervaring in IT, en in het bijzonder op het gebied van internet en recht. De AI-business brengt veel juridische risico’s met zich mee, en de ondersteuning van een advocaat die goed thuis is in juridische kwesties rondom AI is onmisbaar. Ons kantoor biedt geavanceerde juridische ondersteuning voor AI-bedrijven, inclusief ChatGPT, met een team van advocaten die gespecialiseerd zijn in AI en ingenieurs. We verzorgen contractopstelling, beoordeling van de wettelijkheid van bedrijfsmodellen, bescherming van intellectuele eigendomsrechten en privacykwesties. De details vindt u in het onderstaande artikel.
Expertisegebieden van Monolith Advocatenkantoor: AI (zoals ChatGPT) juridische diensten[ja]
Category: IT
Tag: ITTerms of Use