Gemeente Eindhoven lekt persoonlijke gegevens inwoners via AI-websites
De gemeente Eindhoven heeft persoonlijke gegevens van inwoners en medewerkers via openbare AI-websites gelekt. Het gaat om veel gevoelige en bijzondere categorieën van persoonsgegevens van vermoedelijk heel veel mensen, aldus onderzoekers. Slachtoffers zullen niet persoonlijk worden geïnformeerd, omdat de gemeente zegt dat het niet kan vaststellen van wie de gegevens op straat zijn beland. "Dit komt doordat deze gegevens tijdelijk, slechts 30 dagen, bewaard worden. Het is alleen op basis van de persoonsnaam te achterhalen of er bestanden met die naam zijn geüpload in de periode van 23 september tot 23 oktober", aldus de verklaring.
Volgens de gemeente zijn er in een specifieke periode duizenden bestanden naar AI-websites geüpload. Het gaat om de periode van 23 september tot 23 oktober. "We kunnen helaas geen compleet beeld krijgen om welke bestanden dit gaat. Door de omvang is het niet haalbaar om al deze bestanden te analyseren op de aanwezigheid van persoonsgegevens", zo laat de gemeente in een uitleg over het datalek weten. Daarnaast stelt de gemeente dat er voor de genoemde periode waarschijnlijk ook bestanden zijn geüpload.
"Het gebruik van AI biedt mogelijkheden ons werk efficiënter te doen. Vanuit die optiek is het positief dat medewerkers kansen zien en met AI aan de slag gaan. Eerste duiding is dat medewerkers het hebben gebruikt om de gemeentelijke taken en dienstverlening aan de inwoners te verbeteren", aldus burgemeester Jeroen Dijsselbloem in een brief aan de gemeenteraad over onder andere de reden waarom ambtenaren gebruikmaakten van openbare AI-diensten. Verdere uitleg hierover is niet gegeven (pdf).
Gevoelige en bijzondere categorieën van persoonsgegevens
Een bureau dat het datalek onderzocht stelt dat er veel gevoelige en bijzondere categorieën van persoonsgegevens naar de AI-websites zijn geüpload. "Daarbij is onze inschatting dat het ook om veel betrokkenen gaat." Het zou onder andere gaan om documenten met betrekking tot de Jeugdwet, met informatie over onder andere de mentale en fysieke gezondheid van minderjarige kinderen (vaak ook broertjes en zusjes) en ouders. Ook BSN en soms zelfs een foto van het kind zijn onderdeel van het dossier.Verder gaat het ook om overdrachtsdocumenten WMO, met gegevens over onder andere fysieke en mentale gezondheid, diagnoses, verslavingen, financiële problematiek, schulden, problemen op woon en/of werkgebied, inclusief naam, adresgegevens en BSN-nummer. Tevens zijn ook reflectieverslagen van medewerkers, met besprekingen van werkprestaties en informatie over collega’s en cv’s van sollicitanten geüpload (pdf).
Misbruik valt niet uit te sluiten
De gemeente merkt tevens op dat de AI-platformen de geüploade bestanden en data kunnen gebruiken voor trainingsdoeleinden. "De kans dat data misbruikt kunnen worden, is volgens experts zeer beperkt maar het is niet uitgesloten." Naar aanleiding van het datalek zijn publiek toegankelijke AI-websites, zoals ChatGPT, voor ambtenaren geblokkeerd. Medewerkers kunnen sinds 23 oktober alleen Microsoft Copilot binnen de gemeente-omgeving gebruiken.Verder heeft de gemeente OpenAI verzocht om de geüploade bestanden te verwijderen en is de monitoring van het dataverkeer naar externe websites aangescherpt. Het datalek is op 23 oktober bij de Autoriteit Persoonsgegevens gemeld. De gemeente noemt het datalek "heel vervelend" voor inwoners en medewerkers. "Het is betreurenswaardig dat niet precies bekend is om welke gegevens het gaat. De gemeente Eindhoven doet er alles aan om dit in de toekomst te voorkomen."
Begin dit jaar stopte de Autoriteit Persoonsgegevens, na twee jaar, met het verscherpte toezicht op de gemeente Eindhoven. De maatregel werd op 1 maart 2023 ingesteld na signalen dat de gemeente datalekken niet of niet op tijd meldde, dat gegevens van mensen in Eindhoven structureel te lang werden bewaard en de gemeente persoonsgegevens verzamelde en gebruikte zonder eerst de privacyrisico’s te analyseren, terwijl dat wel verplicht is.
Daarnaast hoort iedere overheid te communiceren in een goedgekeurde open standaard (ook onderling), dat is hier dus niet het geval.
Hopelijk worden er maatregelen genomen, maar ik vrees het ergste..............
Het is toch niet te geloven dat wij onze persoonlijke gegeven MOETEN toevertrouwen aan instanties die er duidelijk niet accraat mee kunnen omgaan.
Microsoft Copilot kan je natuurlijk niet uitzetten. Dat wil de fabrikant niet dat je doet.
Het is toch niet te geloven dat wij onze persoonlijke gegeven MOETEN toevertrouwen aan instanties die er duidelijk niet accraat mee kunnen omgaan.
Helaas, blijft het mensenwerk. Ook bij instanties. :-(
Hoeveel mensen vertrouw jij voldoende dat ze zorgvuldig met jouw data (enig welke persoonlijke data) omgaan of snappen hoe AI werkt (op de achtegrond)?
Vertrouw jij je gezin dat ze dat goed en zorgvuldig doen.
De rest van je (schoon)familie. Al je collega's.
De overige mensen in je straat.
De medewerkers van je bank of verzekeraar.
Wat ik nog steeds ongelofelijk vind, is dat alles en iedereen opeens "alles" met AI wil doen. Alsof het een magsche oplossing is. Zodat mensen niet meer na hoeven te denken of zorgvuldig te zijn. Maar opeens achterover kunnen gaan leunen.
Het gemak waarmee AI boeren de ingevoerde data weer voor trainigsdoeleinden gebruiken, mag ook wat van gevonden worden.
Shit in, shit out.
Daarnaast hoort iedere overheid te communiceren in een goedgekeurde open standaard (ook onderling), dat is hier dus niet het geval.
Hopelijk worden er maatregelen genomen, maar ik vrees het ergste..............
Het is toch niet te geloven dat wij onze persoonlijke gegeven MOETEN toevertrouwen aan instanties die er duidelijk niet accraat mee kunnen omgaan.
Helaas, blijft het mensenwerk. Ook bij instanties. :-(
Hoeveel mensen vertrouw jij voldoende dat ze zorgvuldig met jouw data (enig welke persoonlijke data) omgaan of snappen hoe AI werkt (op de achtegrond)?
Vertrouw jij je gezin dat ze dat goed en zorgvuldig doen.
De rest van je (schoon)familie. Al je collega's.
De overige mensen in je straat.
De medewerkers van je bank of verzekeraar.
Wat ik nog steeds ongelofelijk vind, is dat alles en iedereen opeens "alles" met AI wil doen. Alsof het een magsche oplossing is. Zodat mensen niet meer na hoeven te denken of zorgvuldig te zijn. Maar opeens achterover kunnen gaan leunen.
Het gemak waarmee AI boeren de ingevoerde data weer voor trainigsdoeleinden gebruiken, mag ook wat van gevonden worden.
Shit in, shit out.
Helaas, blijft het mensenwerk. Ook bij instanties. :-(
Hmmmm, je hebt wel gelijk (globaal), maar van mensen die werken met gevoelige gegevens mag je toch meer verwachten.
En al helemaal van een gemeente.
Denk dat dit te maken heeft met het hele grote gebrek aan kennis, interesse en motivatie om ook maar iets te willen weten van dit soort zaken. Denk ook aan de problemen die ontstaan als iemand een andere tekstverwerker gebruikt en de icoontjes op een andere plek staan. Of, dat Next Cloud ook MS kleuren is gaan gebruiken omdat anders de gebruiker niet meer weet waar deze aan toe is.
Waren ze net van het strenge toezicht van de autoriteit persoonsgegevens af. Zal er na de kerst weer een briefje op de deurmat liggen van de AP?
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?