Medewerkers van de gemeente Eindhoven hebben een datalek veroorzaakt door persoonlijke gegevens van inwoners en medewerkers te uploaden op openbare AI-websites. Het is voor de gemeente onduidelijk hoe groot het datalek is. Wel is duidelijk dat het veelal gaat om gegevens van kwetsbare inwoners. 

De gemeente Eindhoven stond sinds maart 2023 twee jaar onder verscherpt toezicht bij de Autoriteit Persoonsgegevens, omdat ze datalekken te laat had gemeld en persoonsgegevens te lang bewaarde. 

In de tussentijd ging de gemeente aan de slag om privacy- en beveiligingsmaatregelen te verbeteren. Ook werd er onderzoek gedaan naar extern dataverkeer en werd er een steekproef gedaan, zo blijkt uit een raadsinformatiebrief die donderdag is gedeeld. 

Documenten van Jeugdwet en cv's
Uit die steekproef is aan het licht gekomen dat er bestanden met persoonlijke gegevens naar openbare AI-websites zoals ChatGPT zijn gestuurd. Denk aan Jeugdwetdocumenten, interne verslagen en cv's. De documenten zijn met name afkomstig van afdelingen die te maken hebben met zorg en ondersteuning aan inwoners. 

Het datalek is op 23 oktober gemeld bij de Autoriteit Persoonsgegevens. Vanaf dat moment mochten medewerkers geen gebruik meer maken van openbare AI-websites. Een extern adviesbureau heeft het datalek onderzocht en de gemeente geadviseerd over hoe ermee om te gaan.

Met de informatie die wordt ingevoerd in zo’n AI-website, krijgt de website toegang tot de persoonsgegevens. Deze gegevens worden gebruikt om de AI-website te trainen. 

Omvang van datalek is onduidelijk 
De steekproef ging over de periode van 23 september tot 23 oktober, alleen over die periode is dus duidelijk geworden dat er persoonlijke informatie gelekt is. De gemeente weet niet hoe groot het datalek werkelijk is. Daarom is het volgens het college ook niet mogelijk om mensen van wie gegevens gelekt zijn te informeren. 

"We weten dat het om veel bestanden gaat, maar de precieze omvang van de geüploade bestanden is niet vast te stellen. Dit komt doordat deze gegevens tijdelijk, slechts 30 dagen, bewaard worden", aldus het Eindhovens college in de raadsinformatiebrief.

Het college zegt dat het risico van het datalek beperkt is vergeleken met een datalek wanneer persoonsgegevens gestolen zijn. "Individuele gegevens die zijn geüpload in een AI-tool kunnen niet eenvoudig door derden uit de tool worden gehaald en worden misbruikt." Maar het college zegt ook dat ze het risico niet volledig kan uitsluiten. 

Gemeente doet verzoek bij OpenAI
Medewerkers van de gemeente Eindhoven kunnen geen gebruik meer maken van openbare AI-websites. Ze kunnen wel een intern AI-hulpmiddel gebruiken. "Daarmee blijven de gegevens binnen de beveiligde gemeente-omgeving."

De gemeente heeft OpenAI (het bedrijf achter ChatGPT) verzocht om de bestanden die vanuit Eindhoven zijn geüpload te verwijderen. Ook wordt het externe dataverkeer van medewerkers scherper gemonitord. 

"We zijn ervan geschrokken dat er veel en gevoelige persoonsgegevens zijn gestuurd naar AI-websites. We vinden dit heel vervelend voor inwoners en medewerkers en we betreuren het dat we niet precies weten om welke gegevens het gaat. We doen er alles aan om dit in de toekomst te voorkomen."

In maart 2023 kreeg de gemeente Eindhoven er flink van langs, omdat het privacybeleid niet op orde was. De Eindhovense Rekenkamer bood de gemeenteraad onlangs een rapport aan met daarin aanbevelingen over hoe de gemeente om moet gaan met AI.