Een US federale rechter beval OpenAI om 20 miljoen ChatGPT-gesprekslogboeken te overhandigen. Volledige prompts. Volledige antwoorden. Alles wat gebruikers intypten.
Als ik dit aan bedrijven vertel, is de meest voorkomende reactie: "Ja, maar we hebben het vakje aangevinkt. Onze data wordt niet voor training gebruikt."
Dat vakje heeft hier niets mee te maken.
"Train niet op mijn data" betekent dat OpenAI uw prompts niet zal gebruiken om hun modellen te verbeteren. Het betekent niet dat uw data niet wordt opgeslagen. Het betekent niet dat uw data niet kan worden gedagvaard. Het betekent niet dat een US-rechtbank uw AI-provider niet kan bevelen om alles wat uw medewerkers ooit hebben ingetypt te overhandigen.
Dat is precies wat er gebeurde. Een rechter beval OpenAI om gesprekslogboeken te bewaren en over te dragen. Geen trainingsdata. Gesprekslogboeken. De daadwerkelijke prompts die uw mensen elke dag intypen.
Bijna 40% van de AI-invoer van medewerkers bevat gevoelige data. Klantnamen. Financiële details. HR-beslissingen. Strategische plannen. Het zit allemaal op servers die u niet beheert, in een rechtsgebied waar uw GDPR-rechten irrelevant zijn zodra een gerechtelijk bevel binnenkomt.
"We hebben training uitgeschakeld" is geen governancestrategie. Het is één vinkje op een instellingenpagina. Het zegt niets over waar uw data zich bevindt, wie er toegang toe heeft, of wat er gebeurt als de rechtbank aanklopt.
Het enige dat u beschermt is ervoor zorgen dat gevoelige data er überhaupt nooit terechtkomt. Strip het eruit voordat het uw netwerk verlaat. Houd uw eigen audittrail bij. Dan maakt het niet uit wat uw AI-provider wordt bevolen te overhandigen.
Er is niets te vinden.