Gemeente Eindhoven lekte persoonlijke gegevens inwoners via AI-websites
De gemeente Eindhoven heeft persoonlijke gegevens van inwoners en medewerkers via openbare AI-websites gelekt. Het gaat om veel gevoelige en bijzondere categorieën van persoonsgegevens van vermoedelijk heel veel mensen, aldus onderzoekers. Slachtoffers zullen niet persoonlijk worden geïnformeerd, omdat de gemeente zegt dat het niet kan vaststellen van wie de gegevens op straat zijn beland. "Dit komt doordat deze gegevens tijdelijk, slechts 30 dagen, bewaard worden. Het is alleen op basis van de persoonsnaam te achterhalen of er bestanden met die naam zijn geüpload in de periode van 23 september tot 23 oktober", aldus de verklaring.
Volgens de gemeente zijn er in een specifieke periode duizenden bestanden naar AI-websites geüpload. Het gaat om de periode van 23 september tot 23 oktober. "We kunnen helaas geen compleet beeld krijgen om welke bestanden dit gaat. Door de omvang is het niet haalbaar om al deze bestanden te analyseren op de aanwezigheid van persoonsgegevens", zo laat de gemeente in een uitleg over het datalek weten. Daarnaast stelt de gemeente dat er voor de genoemde periode waarschijnlijk ook bestanden zijn geüpload.
"Het gebruik van AI biedt mogelijkheden ons werk efficiënter te doen. Vanuit die optiek is het positief dat medewerkers kansen zien en met AI aan de slag gaan. Eerste duiding is dat medewerkers het hebben gebruikt om de gemeentelijke taken en dienstverlening aan de inwoners te verbeteren", aldus burgemeester Jeroen Dijsselbloem in een brief aan de gemeenteraad over onder andere de reden waarom ambtenaren gebruikmaakten van openbare AI-diensten. Verdere uitleg hierover is niet gegeven (pdf).
Gevoelige en bijzondere categorieën van persoonsgegevens
Een bureau dat het datalek onderzocht stelt dat er veel gevoelige en bijzondere categorieën van persoonsgegevens naar de AI-websites zijn geüpload. "Daarbij is onze inschatting dat het ook om veel betrokkenen gaat." Het zou onder andere gaan om documenten met betrekking tot de Jeugdwet, met informatie over onder andere de mentale en fysieke gezondheid van minderjarige kinderen (vaak ook broertjes en zusjes) en ouders. Ook BSN en soms zelfs een foto van het kind zijn onderdeel van het dossier.Verder gaat het ook om overdrachtsdocumenten WMO, met gegevens over onder andere fysieke en mentale gezondheid, diagnoses, verslavingen, financiële problematiek, schulden, problemen op woon en/of werkgebied, inclusief naam, adresgegevens en BSN-nummer. Tevens zijn ook reflectieverslagen van medewerkers, met besprekingen van werkprestaties en informatie over collega’s en cv’s van sollicitanten geüpload (pdf).
Misbruik valt niet uit te sluiten
De gemeente merkt tevens op dat de AI-platformen de geüploade bestanden en data kunnen gebruiken voor trainingsdoeleinden. "De kans dat data misbruikt kunnen worden, is volgens experts zeer beperkt maar het is niet uitgesloten." Naar aanleiding van het datalek zijn publiek toegankelijke AI-websites, zoals ChatGPT, voor ambtenaren geblokkeerd. Medewerkers kunnen sinds 23 oktober alleen Microsoft Copilot binnen de gemeente-omgeving gebruiken.Verder heeft de gemeente OpenAI verzocht om de geüploade bestanden te verwijderen en is de monitoring van het dataverkeer naar externe websites aangescherpt. Het datalek is op 23 oktober bij de Autoriteit Persoonsgegevens gemeld. De gemeente noemt het datalek "heel vervelend" voor inwoners en medewerkers. "Het is betreurenswaardig dat niet precies bekend is om welke gegevens het gaat. De gemeente Eindhoven doet er alles aan om dit in de toekomst te voorkomen."
Begin dit jaar stopte de Autoriteit Persoonsgegevens, na twee jaar, met het verscherpte toezicht op de gemeente Eindhoven. De maatregel werd op 1 maart 2023 ingesteld na signalen dat de gemeente datalekken niet of niet op tijd meldde, dat gegevens van mensen in Eindhoven structureel te lang werden bewaard en de gemeente persoonsgegevens verzamelde en gebruikte zonder eerst de privacyrisico’s te analyseren, terwijl dat wel verplicht is.
Daarnaast hoort iedere overheid te communiceren in een goedgekeurde open standaard (ook onderling), dat is hier dus niet het geval.
Hopelijk worden er maatregelen genomen, maar ik vrees het ergste..............
Het is toch niet te geloven dat wij onze persoonlijke gegeven MOETEN toevertrouwen aan instanties die er duidelijk niet accraat mee kunnen omgaan.
Microsoft Copilot kan je natuurlijk niet uitzetten. Dat wil de fabrikant niet dat je doet.
Het is toch niet te geloven dat wij onze persoonlijke gegeven MOETEN toevertrouwen aan instanties die er duidelijk niet accraat mee kunnen omgaan.
Helaas, blijft het mensenwerk. Ook bij instanties. :-(
Hoeveel mensen vertrouw jij voldoende dat ze zorgvuldig met jouw data (enig welke persoonlijke data) omgaan of snappen hoe AI werkt (op de achtegrond)?
Vertrouw jij je gezin dat ze dat goed en zorgvuldig doen.
De rest van je (schoon)familie. Al je collega's.
De overige mensen in je straat.
De medewerkers van je bank of verzekeraar.
Wat ik nog steeds ongelofelijk vind, is dat alles en iedereen opeens "alles" met AI wil doen. Alsof het een magsche oplossing is. Zodat mensen niet meer na hoeven te denken of zorgvuldig te zijn. Maar opeens achterover kunnen gaan leunen.
Het gemak waarmee AI boeren de ingevoerde data weer voor trainigsdoeleinden gebruiken, mag ook wat van gevonden worden.
Shit in, shit out.
Daarnaast hoort iedere overheid te communiceren in een goedgekeurde open standaard (ook onderling), dat is hier dus niet het geval.
Hopelijk worden er maatregelen genomen, maar ik vrees het ergste..............
Het is toch niet te geloven dat wij onze persoonlijke gegeven MOETEN toevertrouwen aan instanties die er duidelijk niet accraat mee kunnen omgaan.
Helaas, blijft het mensenwerk. Ook bij instanties. :-(
Hoeveel mensen vertrouw jij voldoende dat ze zorgvuldig met jouw data (enig welke persoonlijke data) omgaan of snappen hoe AI werkt (op de achtegrond)?
Vertrouw jij je gezin dat ze dat goed en zorgvuldig doen.
De rest van je (schoon)familie. Al je collega's.
De overige mensen in je straat.
De medewerkers van je bank of verzekeraar.
Wat ik nog steeds ongelofelijk vind, is dat alles en iedereen opeens "alles" met AI wil doen. Alsof het een magsche oplossing is. Zodat mensen niet meer na hoeven te denken of zorgvuldig te zijn. Maar opeens achterover kunnen gaan leunen.
Het gemak waarmee AI boeren de ingevoerde data weer voor trainigsdoeleinden gebruiken, mag ook wat van gevonden worden.
Shit in, shit out.
Helaas, blijft het mensenwerk. Ook bij instanties. :-(
Hmmmm, je hebt wel gelijk (globaal), maar van mensen die werken met gevoelige gegevens mag je toch meer verwachten.
En al helemaal van een gemeente.
Denk dat dit te maken heeft met het hele grote gebrek aan kennis, interesse en motivatie om ook maar iets te willen weten van dit soort zaken. Denk ook aan de problemen die ontstaan als iemand een andere tekstverwerker gebruikt en de icoontjes op een andere plek staan. Of, dat Next Cloud ook MS kleuren is gaan gebruiken omdat anders de gebruiker niet meer weet waar deze aan toe is.
Waren ze net van het strenge toezicht van de autoriteit persoonsgegevens af. Zal er na de kerst weer een briefje op de deurmat liggen van de AP?
Een verplichte cursusdag voor alle medewerkers vóórdat AI ingezet mag worden binnen een organisatie. (En dan ook echt iedereen die met z'n tengeltjes aan een toetsenbord zit).
Het is duidelijk dat veel mensen de gevaren niet zien door gebrek aan kennis...
Door de hoeveelheid huiswerk die ik krijg is het niet haalbaar om...
Door de hoeveelheid verkeersborden die ik zie is het niet haalbaar om...
Door de hoeveelheid mooie vrouwen om me heen is het niet haalbaar om...
Door de hoeveelheid mensen die er iets om geven binnen de afdeling compliancy+management van de gemeente is het inderdaad niet haalbaar.
Hieruit blijkt dat het werk NIET efficienter wordt met zogenaamde AI.
Want de noodzaak om het publiceren van persoonlijke data te verantwoorden blijft.
Het helpt om eerst risico's van iets nieuws te bepalen voordat het gebruikt wordt.
LLM's zijn weinig meer dan een randomgetal generator met een markov state table
voor het producerende deel. Het lerende deel maakt de markov table.
Hmmmm, je hebt wel gelijk (globaal), maar van mensen die werken met gevoelige gegevens mag je toch meer verwachten.
En al helemaal van een gemeente.
Assumption is the mother of all fuckups
Nee, je moet verwachten dat mensen fouten maken, ook mensen die met gevoelige gegevens werken.
Correct. als je een GDPR/AVG veilige cloud AI wil gebruiken, neem dan Claude.
Het is toch niet te geloven dat wij onze persoonlijke gegeven MOETEN toevertrouwen aan instanties die er duidelijk niet accraat mee kunnen omgaan.
Helaas, blijft het mensenwerk. Ook bij instanties. :-(
Hoeveel mensen vertrouw jij voldoende dat ze zorgvuldig met jouw data (enig welke persoonlijke data) omgaan of snappen hoe AI werkt (op de achtegrond)?
Vertrouw jij je gezin dat ze dat goed en zorgvuldig doen.
De rest van je (schoon)familie. Al je collega's.
De overige mensen in je straat.
De medewerkers van je bank of verzekeraar.
Wat ik nog steeds ongelofelijk vind, is dat alles en iedereen opeens "alles" met AI wil doen. Alsof het een magsche oplossing is. Zodat mensen niet meer na hoeven te denken of zorgvuldig te zijn. Maar opeens achterover kunnen gaan leunen.
Het gemak waarmee AI boeren de ingevoerde data weer voor trainigsdoeleinden gebruiken, mag ook wat van gevonden worden.
Shit in, shit out.
Helaas, blijft het mensenwerk. Ook bij instanties. :-(
Hmmmm, je hebt wel gelijk (globaal), maar van mensen die werken met gevoelige gegevens mag je toch meer verwachten.
En al helemaal van een gemeente.
Denk dat dit te maken heeft met het hele grote gebrek aan kennis, interesse en motivatie om ook maar iets te willen weten van dit soort zaken. Denk ook aan de problemen die ontstaan als iemand een andere tekstverwerker gebruikt en de icoontjes op een andere plek staan. Of, dat Next Cloud ook MS kleuren is gaan gebruiken omdat anders de gebruiker niet meer weet waar deze aan toe is.
Klopt, maar die "desinteresse" voor IT bestaat al sinds er computers door organisaties gebruikt worden.
Ook de jeugd is er weliswaar mee opgegroeid, maar snapt vaak niet hoe het echt werkt. Ze kunnen meestal alleen op de knopjes drukken.
Maar... is het niet te hoog gegrepen, ook in deze tijd, om van alle medewerkers een gedegen IT kennis te verwachten.
En dat heb je zo'n beetje nodig om bij te blijven bij alle ontwikkelingen.
We geven iedereen IT apparatuur en programmatuur, en verwachten dat ze zich daar aan aanpassen, snappen wat ze doen en het geheel overzien. Ook al is hun "opleiding" in het gebruik niet veel meer dan wat ze thuis of op school mee gekregen hebben.
Het is niet hun CORE BUSINESS. Dat vergeten de ITters hier (en de bazen bij de organisaties) nogal eens.
Met als gevolg: Datalekken bij de vleet.
Al was het maar mailadresen in het AAN veld, of verkeerd ge-adresseerde brieven met gevoelige inhoud. Of een hack bij een laboratorium waar 900.000+ records met gevoelige patientdata gestolen is.
Maar hoe ga je dat verkeerde gedrag veranderen?
Iedere ovetreding straffen met een boete of ontslag. Betere training of scholing. Nog verder dichtgetimmerde netwerken en cloud oplossingen. Terug naar papier en pen.
Wat is de gouden oplossing waar we al decennia naar op zoek zijn sinds de digitalisering?
Correct. als je een GDPR/AVG veilige cloud AI wil gebruiken, neem dan Claude.
Niet correct. Copilot maakt geen gebruik van ChatGPT maar is wel gebaseerd op dezelfde onderliggende technologie.
hoe veilig is copilot?
Een verplichte cursusdag voor alle medewerkers vóórdat AI ingezet mag worden binnen een organisatie. (En dan ook echt iedereen die met z'n tengeltjes aan een toetsenbord zit).
Het is duidelijk dat veel mensen de gevaren niet zien door gebrek aan kennis...
Denk even na.
In de praktijk betekent dat dat alle organisaties toegang tot het internet, of AI sites op het internet moeten blokkeren, totdat al hun medewerkers aan de compliance voldoen. (meetsal zal 1 dagje niet voldoende zijn. Dat is maar voor de vorm. Dat blijft niet goed hangen, als er deinteresse voor is, want: het is moetje)
Omdat er meestal ook een stroom medewerkers komt en gaat, zou daar een mechanisme voor in gesteld moeten worden.
En dan hebben we het nog niet over inloggen vanaf een thuiscomputer, dossiers naar huis mailen of te sharen via een cloud oplossing. Andere faux-pas om onder beperkende maatregelen op het werk uit te komen...
It never ends. :-)
Voor elk gat dat je probeert te dichten, vinden mensen zo 3 andere. Alsof het whack-a-mole is.
Daarom gaan de chat- en leeftijdscontrole waanideeen van politici ook nooit werken. Nog zo'n gatenkaas. (But I digress)
<knip>
Of ken jij een compatible Copilot voor een ander besturingssysteem dan Windows?
Minimaal 3* OZB belastring naar de gedupeerden als start voor dit uitverkoopschandaal.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?