Steeds meer organisaties experimenteren met kunstmatige intelligentie, maar wat gebeurt er als dat misgaat? In Eindhoven bleek onlangs dat ambtenaren gevoelige persoonsgegevens van inwoners en medewerkers hebben ingevoerd in openbare AI-tools zoals ChatGPT. Het gaat onder meer om jeugdwetdocumenten, interne rapporten etc. De zaak roept een fundamentele vraag op die voor veel HCC-leden relevant is: als jouw gegevens via AI zijn gelekt, kun je dan schade claimen?
Wat ging er mis in Eindhoven?
De Gemeente Eindhoven meldde zelf een ernstig datalek. Medewerkers gebruikten publieke AI-diensten om hun werk te ondersteunen en voerden daarbij vertrouwelijke informatie in. Die gegevens kwamen daarmee buiten de gemeentelijke IT-omgeving terecht. De gemeente meldde het incident bij de Autoriteit Persoonsgegevens en verzocht OpenAI om de ingevoerde data te verwijderen. Hoeveel mensen precies zijn geraakt, is niet bekend.
Kun je aantonen dat je schade hebt?
Volgens privacyadvocaat Stephan Mulders is dat in Nederland lastig. De rechter kent soms schadevergoedingen toe na datalekken, maar die bedragen zijn doorgaans laag. “Daar kun je de advocaat nog niet eens van betalen,” stelt hij. Massaclaims bieden meer kans, maar die duren lang en vereisen veel gedupeerden. In Eindhoven lijkt die kritische massa (nog) te ontbreken.
Toch is de discussie in beweging. Het Europese Hof van Justitie heeft geoordeeld dat immateriële schade ook schade is. Met andere woorden: als je door een datalek angst, stress of onzekerheid ervaart, kan dat onder omstandigheden voldoende zijn voor een vergoeding. Dat biedt perspectief, vooral als het gaat om gevoelige gegevens van kwetsbare personen.
Angst en stress: hoe bewijs je dat?
Daar zit de moeilijkheid. Je moet aannemelijk maken dat jouw angst of stress direct voortkomt uit het datalek zelf. Dat is juridisch kwetsbaar: een tegenpartij kan stellen dat onrust ook door media-aandacht of sociale media is ontstaan. Toch zijn er situaties waarin de koppeling sterker is, bijvoorbeeld als gegevens over gezondheid, geloof of gezinssituatie zijn gedeeld en dat leidt tot een reëel risico op discriminatie of uitsluiting.
Wat kun je als burger doen?
Mulders adviseert om inzage te vragen bij de gemeente. Overheidsorganisaties loggen doorgaans wie dossiers heeft ingezien en welke handelingen zijn verricht. Je kunt vragen of jouw gegevens zijn gebruikt en, zo ja, hoe. Dat is niet alleen nuttig voor een eventuele claim, maar ook om helderheid te krijgen over je eigen risico’s.
De gemeente Eindhoven heeft aangegeven mensen niet actief te kunnen informeren, omdat dat volgens haar een onevenredige inspanning zou zijn. Tot nu toe hebben slechts twee inwoners om inzage of verwijdering gevraagd.
Meer dan alleen schadevergoeding
Los van individuele claims kan de zaak grote gevolgen hebben. De Autoriteit Persoonsgegevens kan forse boetes opleggen. Volgens Mulders is de toezichthouder de afgelopen jaren duidelijk strenger geworden. Daarnaast dwingt dit incident overheden én organisaties om beter na te denken over verantwoord AI-gebruik.
Voor HCC-leden is dit een belangrijk signaal: AI kan veel, maar zorgvuldig omgaan met persoonsgegevens blijft essentieel. Transparantie, goede interne afspraken en kennis van je rechten zijn daarbij onmisbaar.