Het Gegevensoverdrachtsconflict
Klantenserviceteams die ChatGPT gebruiken om antwoorden op te stellen, worden geconfronteerd met een structureel GDPR-nalevingsconflict. Het verwerken van persoonlijke gegevens van klanten — namen, order-ID's, adressen, klachtgegevens — via ChatGPT betekent dat deze gegevens naar de servers van OpenAI worden verzonden, die zich in de Verenigde Staten bevinden. Volgens GDPR Artikel 46 vereist het overdragen van persoonlijke gegevens naar een derde land adequate waarborgen: ofwel een adequaatheidsbesluit, Standaard Contractuele Clausules of bindende bedrijfsregels.
OpenAI heeft Standaard Contractuele Clausules gepubliceerd voor zakelijke klanten via de ChatGPT Enterprise en API-aanbiedingen. Veel klantenserviceteams gebruiken echter de standaard ChatGPT-interface via consumentenaccounts — accounts die niet de GDPR-contractuele bescherming van zakelijke overeenkomsten bieden. Een EU-audit in 2024 toonde aan dat 63% van de ChatGPT-gebruikersgegevens afkomstig was van accounts die niet hadden gekozen voor de gegevensbeschermingsinstellingen die beschikbaar zijn voor zakelijke gebruikers.
De handhaving door de Italiaanse Garante illustreert de handhavingstraject. In december 2024 boette de Garante OpenAI €15 miljoen voor onrechtmatige verwerking van persoonlijke gegevens van Italiaanse gebruikers — specifiek voor het verwerken van gegevens zonder een juiste juridische basis en zonder te voldoen aan de verplichtingen inzake de rechten van de betrokkenen. De boete werd voorafgegaan door een tijdelijke ban op ChatGPT in Italië in 2023 en uitgebreide onderhandelingen over gegevensverwerkingspraktijken. 63% van de Italiaanse bedrijven bleek geen GDPR-conforme AI-gebruik beleid te hebben op het moment van de boete.
De JIT Anonimisering Oplossing
Just-in-time (JIT) anonimisering lost het gegevensoverdrachtsconflict op door ervoor te zorgen dat persoonlijke gegevens nooit de servers van ChatGPT bereiken. De anonimisering vindt plaats op het moment van het indienen van de prompt — tussen de plakactie van de gebruiker en de netwerkoverdracht naar OpenAI.
De interceptie-architectuur van de Chrome-extensie: wanneer een klantenservicemedewerker een klantklacht plakt die "Maria Dupont, order FR-2024-8847, verzonden naar 12 rue de la Paix, Parijs" bevat in het ChatGPT-invoerveld, onderschept de extensie de plakactie. Voordat de inhoud in het invoerveld verschijnt, detecteert de extensie de naam, het ordernummer en het adres. De medewerker ziet een voorbeeld. De medewerker klikt op doorgaan. ChatGPT ontvangt een geanonimiseerde versie zonder persoonlijke gegevens — een volledige klachtbeschrijving met tokens die identificatoren vervangen.
ChatGPT genereert een conceptantwoord met behulp van de geanonimiseerde tokens. De auto-decryptfunctie van de extensie vervangt de echte waarden terug in het antwoord van de AI, zodat de medewerker een antwoord ziet dat naar de echte klantnaam verwijst — maar ChatGPT heeft die naam nooit verwerkt.
Onder deze architectuur rijst de vraag over de gegevensoverdracht volgens GDPR Artikel 46 niet: de gegevens die naar de servers van ChatGPT worden overgedragen, zijn geanonimiseerde gegevens die niet voldoen aan de GDPR-definitie van persoonlijke gegevens. De naam, het adres en identificerende informatie van de klant blijven binnen de EU op de lokale browser van de medewerker. GDPR-naleving is structureel in plaats van contractueel.
Bronnen: