Spring naar content

Door de snelle opkomst van ChatGPT stelde de Italiaanse privacytoezichthouder (Garante) een onderzoek in naar de verwerking van persoonsgegevens door de AI-tool. Daarbij ging het om persoonsgegevens van gebruikers die een account aanmaakten en om persoonsgegevens die werden ingevoerd in de tool. Uit het onderzoek concludeerde de toezichthouder dat ontwikkelaar OpenAI onvoldoende waarborgen had ingebouwd om de privacy van de gebruikers te beschermen. De toezichthouder merkte volgende punten op:

  • Vóór gebruik van de AI-tool werd geen informatie verstrekt over de verwerking van persoonsgegevens
  • Er was geen grondslag voor het verwerken van persoonsgegevens waarmee ChatGPT wordt getraind (bijvoorbeeld toestemming of het gerechtvaardigd belang)
  • Er vond geen verificatie plaats van de leeftijd van gebruikers, terwijl in de voorwaarden is opgenomen dat gebruik niet is toegestaan bij een leeftijd onder de 13 jaar

Op basis van deze punten legde de Garante OpenAI een verbod op om persoonsgegevens te verwerken. Dit betekende in de praktijk dat ChatGTP niet langer toegankelijk was voor gebruikers. Daarnaast kreeg OpenAI 20 dagen de tijd om maatregelen te implementeren ten aanzien van de bovengenoemde punten. Anders zou mogelijk een boete volgen van 20 miljoen euro of 4% van de wereldwijde jaaromzet.

Vlotte samenwerking

OpenAI reageerde spoedig op het besluit van de Garante en initieerde zelf een gesprek met de toezichthouder op 6 april. Daarin liet het tech-bedrijf blijken ervan overtuigd te zijn in lijn met de privacywetgeving te handelen, maar open te staan voor een nauwe samenwerking met de toezichthouder. Om dat kracht bij te zetten, stuurde OpenAI dezelfde dag nog een lijst met voorgenomen maatregelen:

  1. op haar website informatie opstellen en publiceren die uitlegt aan gebruikers hoe en waarom persoonsgegevens worden verzameld (het stelt een privacy statement op);
  2. op haar website een optie aanbieden aan gebruikers om bezwaar te maken tegen de verwerking van hun persoonsgegevens om de AI-tool te trainen;
  3. op haar website een optie aanbieden aan gebruikers om een correctie aan te vragen en te verkrijgen van alle persoonsgegevens die op hen betrekking hebben en die onjuist zijn verwerkt bij het genereren van inhoud;
  4. tijdens de registratieflow een link invoegen naar de informatie op een manier die het mogelijk maakt om de informatie te lezen voordat ze doorgaan met registratie;
  5. de grondslag van de verwerking van persoonsgegevens voor het trainen van de AI-tool wijzigen, waarbij als grondslag voor de verwerking wordt uitgegaan van de toestemming of het gerechtvaardigd belang;
  6. op haar website een optie aanbieden aan gebruikers waarmee zij bezwaar kunnen maken tegen de verwerking van hun gegevens op grond van het gerechtvaardigd belang;
  7. op het moment van eerste toegang invoeren dat alle gebruikers, met inbegrip van degenen die al geregistreerd zijn, een verificatie van hun leeftijd moeten doorlopen;
  8. uiterlijk op 31 mei 2023 bij de Garante een plan indienen voor leeftijdsverificatie-instrumenten die geschikt zijn;
  9. uiterlijk op 15 mei 2023 i.s.m. de Garante een niet-promotionele informatiecampagne over de mogelijke verwerking van persoonsgegevens opzetten op alle belangrijke Italiaanse media (radio, televisie, kranten en internet).

De Garante ging op zijn beurt ook voortvarend te werk en startte op 8 april met het onderzoek naar de voorgestelde maatregelen. Op 11 april bepaalde de toezichthouder vervolgens dat ChatGPT weer toegankelijk zou zijn als OpenAI de eerste zeven maatregelen zou implementeren voor 30 april. OpenAI nam deze boodschap ter harte, implementeerde de maatregelen en op 28 april maakte de Garante bekend dat ChatGPT weer toegankelijk was voor Italiaanse gebruikers.

Wat betekent dit voor jou als marketeer?

Om te beginnen laat dit traject zien dat privacytoezichthouders een positief effect kunnen hebben op de bescherming van privacy, zonder dat de ontwikkeling van innovatieve technieken daarbij wordt beperkt. Mede door de vlotte samenwerking tussen de Garante en OpenAI is in één maand tijd het beschermingsniveau verbeterd en wordt er transparanter gecommuniceerd.

Toch wil dit niet zeggen dat daarmee is geborgd dat het gebruik van dergelijke AI-tooling voldoet aan de privacyregels. Zo is er, naar aanleiding van het verbod van de Garante, een Europese werkgroep van toezichthouders samengesteld om onderzoek te doen naar de toepassing van de AVG op ChatGPT. De kans bestaat dus dat ChatGPT in de toekomst meer wijzigingen zal moeten doorvoeren om in lijn te zijn met de AVG.

Aangezien dit traject heeft plaatsgevonden in Italië, hebben de aanpassingen niet direct gevolgen voor jou wanneer je ChatGPT inzet. Maar het sluit niet uit dat er in de toekomst een soortgelijke ontwikkeling plaats zou kunnen vinden in Nederland. Daarnaast doe je er goed aan om zelf ook kritisch na te denken over je eigen gebruik van ChatGPT en de persoonsgegevens die daarbij worden verwerkt van jou óf andere personen.

Romar van der Leij

Voormalig Legal counsel | DDMA

Ook interessant

Lees meer
Legal |

Nieuwe collega: Isa Nieuwstad versterkt DDMA legal team

Wij hebben onlangs Isa Nieuwstad aangesteld als junior legal counsel.
Lees meer
AVG |

Nieuwe richtlijnen gerechtvaardigd belang van de EDPB 

Op 9 oktober publiceerde de European Data Protection Board (EDPB), de koepelorganisatie van Europese privacytoezichthouders, nieuwe richtlijnen voor de uitleg van het gerechtvaardigd belang als verwerkingsgrondslag onder de Algemene Verordening…
Lees meer
Experimentation & Optimisation |

Experimentation & Consumer Protection: 3 Steps to guarantee Compliance and build Trust

Do you usually consult your legal department when developing a strategy for experimentation, but would you also like an overview of some key legal considerations yourself? What rules apply to…