Je integreert een chatbot op de website die werkt op basis van een (standaard) chatclient van een leverancier die werkt met generatieve AI.

Je bent verwerkingsverantwoordelijke voor je website en de chatbot.

Je moet minimaal de bezoekers van de website duidelijk verwittigen dat ze geen persoonsgegevens mogen vrijgeven, dat de antwoorden niet de antwoorden zijn van de instantie zelf en niet noodzakelijk een betrouwbaar antwoord.

v.1.0

Er zijn toepassingen op de markt en in gebruik die een oude loginmethode gebruiken (eventueel naast nieuwe veilige). Daarbij kregen burgers van het lokaal bestuur bv. automatisch een login, bestaande uit het rijksregisternummer, dat als gebruikersnaam én als wachtwoord gebruikt werd. Vele burgers hebben hun wachtwoord niet aangepast. Daardoor is het mogelijk om op dit platform aan te melden met tal van rijksregisternummers van burgers. Daardoor is alle persoonlijke informatie uit het systeem meteen zichtbaar.

Voor een bepaalde toepassing kon zelfs al is het wachtwoord aangepast, nog iemand een gezinslid aan zijn account toevoegen. Elke inwoner van de gemeente kon zo toegevoegd worden als gezinslid. Daarna had de persoon die dat gezinslid had ingevoerd onmiddellijk toegang tot alle gegevens van deze persoon en kon die ook het wachtwoord van die persoon wijzigen.

Deze loginmethode moet onmiddellijk buiten gebruik worden gesteld.

De European Data Protection Board heeft op 18 januari 2023 een rapport(opent in nieuw venster) uitgebracht met te vermijden praktijken bij het plaatsen van cookie banners.

De VTC krijgt regelmatig meldingen van de publicatie van lijsten waarbij per vergissing ook persoonsgegevens in staan of van lijsten met persoonsgegevens die per vergissing gepubliceerd worden op het net.

De preventieve maatregel die dan meestal voorgesteld wordt om zo een datalek te voorkomen, is het toevertrouwen van die taak aan meer dan een persoon (het vier-ogen-principe).

De VTC beveelt aan om bijkomend volgende maatregelen te nemen:

• systematisch controleren wat je net online hebt gezet;
• regelmatig controles (laten) doen (als pentest) op wat online te vinden is over of van de organisatie;
• in de lijsten zelf vermelden dat de eventuele ongewilde publicatie van persoonsgegevens niet het hergebruik van deze gegevens toelaat tenzij dat hergebruik conform zou zijn met de AVG.

Het arrest van het Europese Hof van Justitie van 29 juli 2019(opent in nieuw venster) in de zaak Fashion ID heeft de beheerders van webpagina’s als medeverantwoordelijke van Facebook verklaard voor de persoonsgegevens die ze via de Facebook like button verzamelen en doorgeven aan Facebook (niet voor wat Facebook er later mee doet).

Wat kan je doen?

• like buttons e.d. verwijderen
  • een tussenstap toevoegen via social media plug ins (lukt niet voor FB-pixel e.d.)
    • informeren en toestemming vragen aan de bezoekers

Meer weten?

Lees de aanbevelingen(PDF bestand opent in nieuw venster) van de vroegere Privacycommissie.