Autoriteit Persoonsgegevens (AP) har nyligen tagit emot ett antal anmälningar om dataintrång som orsakats av att anställda delat personuppgifter om exempelvis patienter eller kunder med en chattbot som använder artificiell intelligens (AI). Genom att ange personuppgifter i AI-chattbotar kan de företag som erbjuder chattboten få obehörig tillgång till dessa personuppgifter. Mot denna bakgrund vill AP nu varna för att felaktig användning av AI-chattbottar kan leda till dataintrång.
AP har noterat att många människor på arbetsplatsen använder digitala assistenter, som ChatGPT och Copilot, för att till exempel svara på frågor från kunder eller sammanfatta stora filer. Detta kan spara tid och ta bort mindre trevligt arbete från de anställda, men det medför också höga risker.
Vid ett dataintrång får obehöriga tillgång till personuppgifter utan att det är tillåtet eller avsett. Ofta använder de anställda AI-chattbotarna på eget initiativ och i strid med de avtal som ingåtts med arbetsgivaren. Om personuppgifter har matats in i processen innebär det att det uppstått ett dataintrång. Ibland är användningen av AI-chattbottar en del av organisationens policy. I så fall är det inte fråga om ett dataintrång, men det är ofta inte tillåtet enligt lag. Organisationer måste dock enligt AP förhindra båda situationerna.
De flesta företagen bakom AI-chattbotarna lagrar alla uppgifter som matas in. Det innebär att uppgifterna hamnar på dessa teknikföretags servrar, ofta utan att den person som matat in uppgifterna inser det och utan att personen vet exakt vad företaget kommer att göra med uppgifterna. Dessutom vet inte heller den person vars uppgifter det rör sig om det.
I fallet med en av de dataintrång som anmäldes till AP hade en anställd på en läkarmottagning fört in patienters hälsouppgifter i en AI-chattbot, i strid med avtalen. Hälsouppgifter är mycket känsliga uppgifter och ges extra skydd av en anledning. Att dela dessa uppgifter med ett teknikföretag utan goda skäl är en allvarlig kränkning av de berörda personernas integritet. AP har också fått en anmälan från ett telekomföretag, där en anställd hade lagt in en fil med bland annat kundadresser i en AI-chattbot.
Det är viktigt att organisationer gör tydliga överenskommelser med sina anställda om användningen av AI-chattbottar. Om organisationerna tillåter användningen av AI-chattbottar måste de klargöra för medarbetarna vilka uppgifter de får och inte får ange. Organisationer kan också komma överens med leverantören av en AI-chattbot om att leverantören inte ska lagra de uppgifter som matas in.
Om saker ändå gått fel och en anställd läckt personuppgifter genom att använda en AI-chattbot i strid med de avtal som gjorts, då är det i många fall obligatoriskt att anmäla detta till dataskyddsmyndigheten och meddela de drabbade enligt reglerna i dataskyddsförordningen (GDPR).