2026
Onder de loep: chatbots, innovatie en gegevensbescherming
De Inspectiedienst van de Gegevensbeschermingsautoriteit voerde recent een onderzoek uit naar een zogenaamde conversationele smartphone-app die gebruikmaakt van artificiële intelligentie en taalmodellen. Dit onderzoek illustreert dat het toezicht van de Inspectiedienst zich ook uitstrekt tot innovatieve digitale toepassingen en niet beperkt blijft tot klassieke verwerkingscontexten. Nieuwe technologieën vallen niet buiten het toepassingsgebied van de AVG. Integendeel: net waar technologie snel evolueert, blijft een gestructureerde gegevensbeschermingsaanpak essentieel.
Conversationele AI-toepassingen of chatbots brengen specifieke kenmerken met zich mee. Gebruikers communiceren vaak in vrije tekst, waardoor organisaties vooraf niet steeds volledig kunnen voorspellen welke persoonsgegevens zullen worden gedeeld. In de praktijk kunnen zulke conversaties bovendien gevoelige of zeer persoonlijke informatie bevatten. Dat vereist bijzondere aandacht voor de beginselen van dataminimalisatie, doelbinding, bewaarbeperking en transparantie.
De Inspectiedienst stelt vast dat organisaties die dergelijke toepassingen ontwikkelen of exploiteren soms sterk focussen op productontwikkeling, gebruikservaring en schaalbaarheid, terwijl formele gegevensbeschermingsverplichtingen pas later structureel worden ingevuld.
Een terugkerend aandachtspunt betreft bewaartermijnen. Bij conversationele toepassingen kunnen chatgeschiedenissen grote hoeveelheden persoonsgegevens bevatten, soms met een uitgesproken gevoelig karakter. Organisaties doen er daarom goed aan om bewaartermijnen concreet te onderbouwen in functie van het nagestreefde doel, en niet louter te werken met ruime standaardtermijnen zonder duidelijke noodzaak. Wat technisch mogelijk is, is niet automatisch noodzakelijk of proportioneel.
Ook transparantie verdient bijzondere aandacht. Gebruikers zijn zich er vaak niet van bewust hoe hun gesprekken intern precies worden verwerkt. Het volstaat niet om in de privacyverklaring vaag of onduidelijk te zijn over de exacte bewaartermijnen van chatgesprekken. Wanneer conversaties worden bewaard, geanalyseerd, gedeeld met externe dienstverleners of gebruikt voor model-hertraining, moet daarover duidelijke informatie beschikbaar zijn. Dit geldt des te meer wanneer organisaties het langdurig bewaren van chatgeschiedenissen proberen te rechtvaardigen met algemene juridische claims, zoals de theoretische noodzaak voor eventuele verzoeken vanuit overheidsinstanties. Juist bij conversationele AI, waar deze interacties vaak een zeer persoonlijk of intiem karakter kunnen hebben, roept zo'n algemene bewaargrond ernstige vragen op over de noodzaak en de proportionaliteit.
Daarnaast merkt de Inspectiedienst dat rolverdelingen binnen complexe AI-ecosystemen niet steeds evident zijn. Wanneer verschillende partijen betrokken zijn bij de hosting, de analyse van gebruikersstatistieken, het aanleveren van taalmodellen of andere ondersteunende diensten, is een correcte kwalificatie van verantwoordelijkheden noodzakelijk. Onduidelijkheid op dat punt leidt vaak tot lacunes in contractuele afspraken, transparantie of de uitoefening van rechten door betrokkenen. Een sluitende en vooraf gedocumenteerde rolverdeling is bovendien essentieel voor het toezicht; het vormt voor de Inspectiedienst het vertrekpunt om de naleving van de verantwoordingsplicht effectief te kunnen beoordelen.
Tegelijk toont het onderzoek dat innovatie en de bescherming van de gebruiker perfect kunnen samengaan. Technische maatregelen om risico’s voor de rechten en vrijheden van personen te beperken – zoals het automatisch filteren van schadelijke interacties of het toepassen van strikt toegangsbeheer op de chatdata – hebben een duidelijke meerwaarde. Zulke maatregelen vormen echter pas een sluitend geheel als ze aantoonbaar zijn gebaseerd op een voorafgaande risicoanalyse (DPIA) en in de praktijk consequent worden gehandhaafd.
Voor organisaties die chatbots inzetten, is de kernboodschap duidelijk: gegevensbescherming is geen sluitstuk nadat het product gelanceerd is. Vereisten inzake gegevensbescherming moeten vanaf de ontwerpfase worden meegenomen, in plaats van achteraf (snel) te worden toegevoegd. Deze aanpak is cruciaal als solide fundering voor deze innovatieve toepassingen, een fundering die essentieel is om het vertrouwen van de gebruiker bij deze toepassingen ook op de langere termijn te behouden.
Volgende maand onder de loep: de controleur gecontroleerd.