Aan welke eisen moet bedrijven voldoen die AI voor klantenservice inzetten?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Steeds vaker zie ik dat bedrijven bij klantenservice een AI-chatbot inzetten als eerste lijn. Die hebben vaak ook toegang tot je bestellingen en andere gegevens. Ik maak me daar zorgen over, wat zeggen de AVG en AI Act hierover?
Antwoord: De trend om menselijke ondersteuning te vervangen door chatbots is niet te stoppen, zo lijkt het. (Hoewel ze het bij Klarna een "flop" lijken te vinden) Maar laten wij ons focussen op de juridische kant: mag dit?
De AI Act stelt eigenlijk geen eisen aan AI voor klantenservice, afgezien van de algemene eis (artikel 50) dat het duidelijk moet zijn voor de klant dát men met een bot communiceert. Dat moet expliciet en in het gesprek, dus niet een zinnetje in de algemene voorwaarden of ergens in de veelgestelde vragen. En afhankelijk van de lengte van het gesprek kan het nodig zijn deze boodschap periodiek te herhalen.
Lastiger ligt het met de AVG. Een AI-tool die een klantdossier leest, verwerkt daarmee persoonsgegevens. Het doel daarvan is legitiem, namelijk de klant helpen met een probleem bij diens aankoop of ander contract. Een menselijke medewerker zou dit net zo goed mogen. En in de praktijk zie je ook dat de tool er pas bij kan als jij een ordernummer of andere referentie kan geven, wat je kunt zien als een vorm van instemmen.
Een grotere zorg is wie er allemaal nog méér toegang heeft tot die persoonsgegevens. Want dat is wel even anders dan bij de menselijke medewerker. Veel van deze technologieën worden door een leverancier beschikbaar gesteld, en als je dan een paar tegels omdraait kom je al snel bij een Amerikaans foundation model zoals OpenAI's GPT familie.
Oftewel: alle chats mét klantdossier gaan naar Amerika en dat is zoals bekend AVG-technisch een lastige situatie. Formeel mag het, om de simpele reden dat de EU heeft gezegd dat de VS een met Europa vergelijkbare bescherming van persoonsgegevens heeft. En tot men dat formeel intrekt, is er geen vuiltje aan de lucht.
(Sommigen zouden nu de woordgrap maken dat de lucht vol met stratocumuli zit.) We weten allemaal dat dit nergens op slaat, eigenlijk al sinds het Safe Harbor regime uit 2000. Maar dit is waar juridisch en werkelijkheid afscheid nemen: puur praktisch is het een probleem, maar juridisch klopt het gewoon. Althans, totdat de Europese Commissie of het Hof van Justitie zegt van niet. Want dan moet per direct iedere verbinding met alle Amerikaanse dienstverleners worden gestaakt.
Voor de webshop met AI-klantenservice is dit een nogal abstract en ver verwijderd probleem, en dat snap ik. Je kunt hier helemaal niets aan doen en je zocht alleen een handige extra chatbot omdat je zelf niet 24/7 achter je webshop kunt zitten typen. Mee bewegen met de massa en vooral met al je concurrenten is dan ook prima in die situatie. Uiteindelijk is de situatie met de VS een politiek probleem en niet jouw individueel juridisch probleem.
Uiteraard zoek je wel een goede dienstverlener die de beveiliging goed op orde heeft, zodat er niet bijvoorbeeld chatlogs mét bestelgegevens ergens bij de leverancier terecht komen en langdurig bewaard blijven.
Arnoud Engelfriet is ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als chief knowledge officer bij juridisch adviesbureau ICTRecht en blogt dagelijks over internetrecht. Hij schreef onder meer de boeken ICT&Recht en AI&Algorithms, en verzorgt de opleiding tot Certified Cybersecurity Compliance Officer.
Voor Nederlandse bedrijven is er dan ook geen noodzaak om klantinteractie via Amerikaanse AI-providers te laten verlopen. Het idee dat data 'per definitie' naar de VS moet voor slimme klantenservice is een misverstand. Lokale en AVG-conforme alternatieven zijn technisch volwassen, juridisch veiliger én strategisch toekomstbestendig.
Volgens Europese commissie voor de adequaatheid met Amerikaanse bedrijven geld dat ze zich vrijwillig moeten conformeren aan het dataprivacyframework.
https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en
Anders is er dus geen (formeel) vergelijkbaar beschermingsniveau.
dataprivacyframework ligt momenteel al onder een vergrootglas bij NOYB.eu. (De non profit van de heer Schrems die de vorige verdragen (safe harbour en privacyshield) onrechtmatig heeft weten te verklaren)
Zolang alleen Amerikaanse ingezetenen (citizens) mensenrechten hebben, zal dit altijd een probleem blijven.
Omtrent verwerking kun je aparte verwerking overeenkomsten en beperkingen opstellen bij je leverancier wel ook afhankelijk van hoeveel je natuurlijk voor ze oplevert hoeveel granulariteit dat omhelst. Dan nog is voorzichtigheid geboden. We vangen het zelf voor een heel groot deel af door chats waar persoonlijke gegevens in voorkomen deze velden te randomizen voor het richting de achterliggende externe infra gaat en bij terugkomst weer naar originele benamingen gezet worden. Niet waterdicht maar stukken beter dan niks extra doen ook al ben je het wetgevelijk niet verplicht.
Dit kan je ook met producten doen en bestaande klanten. Nog beter wat wij ook doen in dat soort gevallen als bedrijven er voor betalen is de producten, personen prompting helemaal zelf af te vangen via knowledgebase koppeling die bij het bedrijf intern draait en de A.I. de rest van de vraag te verwerken. Je voegt daarna de twee lossen bronnen terug in de chat waarbij het laatste deel van de chat weer op eigen infra moet draaien. Dat is wel vele malen complexer qua onderhoud en finetuning.
Daarbij ook meteen gemeldt dat er zeer weinig verschil zit tussen een menselijke chat operator en een A.I. operator als het op de verwerking aankomt. De kans is namelijk uitermate klein dat menselijke chat operators niet werken via internationale chat integratie met CRM's. Denk aan SalesForce , Zendesk. En een combi van beide diensten is ook zeer gebruikelijk waar als de bot het niet kan afwikkelen het ge-escaleerd wordt naar een chat agent.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
SOC Lead
Directie Informatievoorziening & Inkoop
Als SOC Lead ben jij verantwoordelijk voor het aansturen van de dagelijkse operatie binnen het SOC. Je stuurt medewerkers functioneel aan en rapporteert aan de manager. Daarnaast ben je ook betrokken bij SOC-werkzaamheden, zoals het detecteren en afhandelen van security incidenten. Je verzamelt dreigingsinformatie, richt detectie-regels in, en zorgt ervoor dat aanvallers vroegtijdig worden geïdentificeerd.
Senior Security Specialist
Directie Informatievoorziening & Inkoop
Als senior security specialist ben je verantwoordelijk voor het detecteren en af-handelen van (mogelijke) security incidenten. Je vergaart dreigingsinformatie en richt de-tectieregels in op basis van risico's, zodat aanvallers in een vroeg stadium geïden-tificeerd kunnen worden. Deze risico's haal je actief op bij systeemeigenaren. Wanneer een dreiging wordt gedetecteerd, zorg jij ervoor dat de juiste acties worden uitgezet en voorzie jij alle stakeholders van handelings-perspectief.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.