In de EU vereist de GDPR dat informatie over individuen accuraat is en dat ze volledige toegang hebben tot de opgeslagen informatie, evenals informatie over de bron. Verrassend genoeg geeft OpenAI echter openlijk toe dat het niet in staat is om onjuiste informatie op ChatGPT te corrigeren. Bovendien kan het bedrijf niet zeggen waar de gegevens vandaan komen of welke gegevens ChatGPT opslaat over individuele mensen. Het bedrijf is zich terdege bewust van dit probleem, maar lijkt zich er niets van aan te trekken. In plaats daarvan stelt OpenAI simpelweg dat "feitelijke nauwkeurigheid in grote taalmodellen een gebied van actief onderzoek blijft". Daarom, noyb vandaag een klacht ingediend tegen OpenAI bij de Oostenrijkse DPA.
ChatGPT blijft hallucineren - en zelfs OpenAI kan het niet stoppen. De lancering van ChatGPT in november 2022 veroorzaakte een ongekende AI-hype. Mensen begonnen de chatbot te gebruiken voor allerlei doeleinden, waaronder onderzoekstaken. Het probleem is dat, volgens OpenAI zelf, de applicatie alleen "antwoorden op gebruikersverzoeken genereert door de volgende meest waarschijnlijke woorden te voorspellen die zouden kunnen verschijnen als antwoord op elke prompt". Met andere woorden: Hoewel het bedrijf over uitgebreide trainingsgegevens beschikt, is er momenteel geen manier om te garanderen dat ChatGPT gebruikers daadwerkelijk feitelijk correcte informatie toont. Integendeel, generatieve AI tools staan erom bekend dat ze regelmatig "hallucineren", wat betekent dat ze simpelweg antwoorden verzinnen.
Oké voor huiswerk, maar niet voor gegevens over individuen. Onnauwkeurige informatie is misschien acceptabel als een student ChatGPT gebruikt om hem te helpen met zijn huiswerk, maar het is onacceptabel als het gaat om informatie over individuen. Sinds 1995 schrijft de EU-wetgeving voor dat persoonlijke gegevens nauwkeurig moeten zijn. Momenteel is dit vastgelegd in artikel 5 GDPR. Personen hebben ook het recht op rectificatie onder artikel 16 GDPR als gegevens onjuist zijn, en kunnen vragen om onjuiste informatie te verwijderen. Daarnaast moeten bedrijven op grond van het "recht op toegang" in artikel 15 kunnen laten zien welke gegevens ze van individuen hebben en wat de bronnen zijn.
Maartje de Graaf, advocaat gegevensbescherming bij noyb: "Het verzinnen van valse informatie is op zichzelf al behoorlijk problematisch. Maar als het gaat om valse informatie over individuen, kan dat ernstige gevolgen hebben. Het is duidelijk dat bedrijven op dit moment niet in staat zijn om chatbots zoals ChatGPT te laten voldoen aan de EU-wetgeving, wanneer ze gegevens over individuen verwerken. Als een systeem geen nauwkeurige en transparante resultaten kan produceren, kan het niet worden gebruikt om gegevens over individuen te genereren. De technologie moet de wettelijke vereisten volgen, niet andersom."
Het simpelweg verzinnen van gegevens over individuen is geen optie. Dit is een structureel probleem. Volgens een recent rapport van de New York Times"verzinnen chatbots minstens 3 procent van de tijd informatie - en zelfs 27 procent". Om dit probleem te illustreren, kunnen we kijken naar de klager (een publiek figuur) in onze zaak tegen OpenAI. Toen hem werd gevraagd naar zijn verjaardag, verstrekte ChatGPT herhaaldelijk onjuiste informatie in plaats van gebruikers te vertellen dat het niet over de benodigde gegevens beschikt.
Geen GDPR-rechten voor individuen die zijn vastgelegd door ChatGPT? Ondanks het feit dat de door ChatGPT verstrekte geboortedatum van de klager onjuist is, weigerde OpenAI zijn verzoek om de gegevens te rectificeren of te wissen, met het argument dat het niet mogelijk was om gegevens te corrigeren. OpenAI zegt dat het gegevens kan filteren of blokkeren op bepaalde prompts (zoals de naam van de klager), maar niet zonder te voorkomen dat ChatGPT alle informatie over de klager filtert. OpenAI heeft ook niet adequaat gereageerd op het toegangsverzoek van de klager. Hoewel de GDPR gebruikers het recht geeft om bedrijven te vragen om een kopie van alle persoonlijke gegevens die over hen worden verwerkt, gaf OpenAI geen informatie over de verwerkte gegevens, de bronnen of de ontvangers.
Maartje de Graaf, advocaat gegevensbescherming bij noyb: "De verplichting om te voldoen aan inzageverzoeken geldt voor alle bedrijven. Het is duidelijk mogelijk om bij te houden welke trainingsgegevens zijn gebruikt en in ieder geval een idee te hebben van de informatiebronnen. Het lijkt erop dat met elke 'innovatie' een andere groep bedrijven denkt dat hun producten niet aan de wet hoeven te voldoen."
Tot nu toe vruchteloze pogingen van de toezichthouders. Sinds de plotselinge opkomst van ChatGPT zijn generatieve AI-tools snel onder de loep genomen door Europese privacywaakhonden. Onder andere de Italiaanse DPA stelde de onnauwkeurigheid van de chatbot aan de orde toen het een tijdelijke beperking op de gegevensverwerking in maart 2023 oplegde. Een paar weken later richtte de European Data Protection Board (EDPB) een taskforce voor ChatGPT op om de nationale inspanningen te coördineren. Het valt nog te bezien waar dit toe zal leiden. Voorlopig lijkt OpenAI niet eens te pretenderen dat het kan voldoen aan de GDPR van de EU.
Klacht ingediend. noyb vraagt nu de Oostenrijkse gegevensbeschermingsautoriteit (DSB) om een onderzoek in te stellen naar de gegevensverwerking door OpenAI en de maatregelen die zijn genomen om de juistheid te garanderen van de persoonlijke gegevens die worden verwerkt in het kader van de grote taalmodellen van het bedrijf. Bovendien vragen we de DSB om OpenAI te bevelen om te voldoen aan het verzoek van de klager om toegang en om de verwerking in overeenstemming te brengen met de GDPR. Last but not least vraagt noyb de autoriteit om een boete op te leggen om naleving in de toekomst te garanderen. Het is waarschijnlijk dat deze zaak via EU-samenwerking zal worden behandeld.