De large language models van OpenAI (zoals GPT-4) worden ontwikkeld op basis van drie informatiebronnen[1].

• Informatie die publiek beschikbaar is op het internet

• Informatie ingekocht bij derde partijen

• Informatie die gebruikers en OpenAI medewerkers invoeren

Dat data op het internet grotendeels vrij beschikbaar is om te gebruiken zal niemand verbazen. Wel is het voor bedrijven noodzakelijk om te weten wat er met informatie gebeurt die gebruikers van OpenAI’s modellen zelf invoeren. Of wat er gebeurt met informatie waartoe OpenAI toegang heeft via haar API. Het antwoord hierop is niet zo eenduidig als sommige contentplatformen doen voorkomen. Belangrijk is het onderscheid tussen de manier van interactie van de data en wat voor account jij of jouw organisatie bij OpenAI afneemt.

Informatie privacy voor medewerkers bij gebruik ChatGPT met een gratis of Plus account

De kans is groot dat een of meerdere collega’s inmiddels op dagelijkse basis ChatGPT gebruikt in zijn of haar werkzaamheden. Oftewel, de gratis of Plus-versie die beschikbaar is via chat.openai.com. Misschien moedig jij jouw team zelfs wel aan om het te gebruiken. Logisch, want het is een enorme booster voor je productiviteit. Alleen hoe veilig zijn de gegevens die je erin stopt?

Dat antwoord is heel duidelijk: niet veilig. Alle informatie die jij als gratis of Plus gebruiker door te chatten aan ChatGPT geeft, kan worden gebruikt voor het verbeteren van de onderliggende modellen. Hoe lang? Daar geeft OpenAI geen uitsluitsel over. Zo lang als ze het nodig achten of wettelijk verplicht zijn[2].

(!) Tip: Laat jouw data uitgesloten worden van gebruik voor trainingsdoeleinden. Wat veel bedrijven niet weten is dat OpenAI hun gebruikers de mogelijkheid biedt het account en dus data te laten uitsluiten van gebruik voor trainingsdoeleinden. Momenteel zijn er twee manieren om dit te doen. De eerste is bij Settings onder Data Controls de Chat History uit te schakelen. Alleen zijn je gesloten chats daarna niet meer terug te halen / in te zien. Dat is best onhandig.

Wil je niet dat je data wordt gebruikt voor trainingsdoeleinden, maar wel je historie kunnen inzien en gebruiken? Vul dan dit formulier in via de website van OpenAI. Beide opties werken voor zowel gratis als voor Plus accounts! Helaas is dit proces niet met terugwerkende kracht, dus geldt het alleen voor al jouw toekomstige chats[3].

Bedrijfsdata die gebruikt wordt door de OpenAI API

Naast de standaard chatfunctie biedt OpenAI bedrijven de mogelijkheid gebruik te maken van hun API. Hiermee kun je GPT3.5 Turbo en GPT-4 geautomatiseerd loslaten op systemen en data naar keuze. Wil je meer weten over API’s en wat je ermee kan? Lees dan dit artikel op Wikipedia. 

Maar wat gebeurt er met de data die toegankelijk is voor OpenAI via hun API? Dat antwoord is tweeledig[4]:

• Data die (na 1 maart 2023) binnenkomt via het API Platform wordt niet gebruikt voor het trainen van OpenAI’s modellen.  

• Maar, OpenAI behoudt zich het recht voor alle API inputs en outputs veilig te bewaren om eventueel misbruik te identificeren en tegen te gaan. Voor specifieke, zeer sensitieve use-cases kan OpenAI volledige “zero data retention” voeren. Hiervoor dien je contact op te nemen met het Sales team.

Data privacy voor andere OpenAI API endpoints als fine-tuning, moderation en embedding

Heb je geen idee wat deze termen inhouden? Lees hier op de website van OpenAI wat bijvoorbeeld model fine-tuning, moderation of een embedding is! Naast de standaard GPT API om te interacteren met de bekende taalmodellen GPT-3,5 Turbo en GPT-4, bestaan er nog een hele rits aan AI modellen die toegankelijk zijn via de API. Op het moment van schrijven is onderstaand databeleid per API endpoint actief bij OpenAI. 

Zoals je ziet is het databeleid lang niet voor alle endpoints hetzelfde. Daarbij is het voor sommige endpoints ook onmogelijk in aanmerking te komen voor Zero Data Retention. Let dus goed op welk endpoint je gebruikt en in hoeverre dit aansluit bij jouw eigen of een opdrachtgever’s databeleid. Positief is dat data die vloeit naar welk endpoint dan ook niet worden gebruikt voor training van de modellen. Jouw API input zou dus nooit als output op iemand anders scherm moeten kunnen verschijnen 😉

Informatiebeveiliging en data privacy voor bedrijven met een OpenAI Enterprise account

De heilige graal binnen OpenAI voor bedrijven: het Enterprise account. De kosten zijn variabel en dus afhankelijk van het type bedrijf, aantal medewerkers en complexiteit van de organisatie. Het biedt wel enorme voordelen ten opzichte van de Plus en gratis versie. Naast onbeperkte toegang tot GPT-4 32k via de API, biedt Enterprise meer controle over het gebruik van ChatGPT door deelbare chat templates en een beheerdersomgeving beschikbaar te stellen. Maar goed, terug naar data privacy! 

Bedrijven met een Enterprise account hebben overduidelijk de meeste controle over het gebruik van hun bedrijfsdata. OpenAI belooft namelijk sowieso geen data via ChatGPT te gebruiken voor de training van hun modellen (een verschil dus met het gratis en Plus account). Daarbij wordt data uit chats die zijn verwijderd na uiterlijk 30 dagen van de systemen van OpenAI verwijderd. 

Via Enterprise heb je als organisatie dus de zekerheid dat informatie die medewerkers aan ChatGPT geven nooit gebruikt wordt voor training van haar modellen! Helaas is Enterprise lang niet voor iedereen beschikbaar en ben je aan de genade van OpenAI overgeleverd om het te gebruiken door een aanvraag bij het Sales team te doen. 

Hoe zit het met OpenAI’s ChatGPT en GDPR voor bedrijven?

Dat ChatGPT een GDPR-nachtmerrie is mogen duidelijk zijn. Waarom? Lees het in dit artikel van The Verge. Verschillende EU landen hebben een onderzoek ingesteld naar OpenAI’s databeleid omtrent ChatGPT. Maar hoe zit het met het bedrijfsmatig gebruik van OpenAI’s diensten?

Recent is bepaald dat ook als je alleen het GPT-4 model beschikbaar stelt via jouw app of website, zonder dat je zelf inzicht hebt in de ingevoerde gebruikersdata, je alsnog moet voldoen aan de GDPR regelgeving[5]. Hoe je voldoet aan de GDPR vereisten bij gebruik van de API’s van OpenAI? Daar schreef Legal Nodes hier een uitgebreid artikel over dat wij niet beter zouden kunnen doen! 

Eindoordeel over data privacy en informatiebeveiliging voor bedrijven die diensten van OpenAI gebruiken (zoals ChatGPT)

Ondanks de zorgen vanuit ondernemers over hun bedrijfs- en klantdata bij gebruik van OpenAI’s diensten, zijn wij overwegend positief over de inspanningen vanuit OpenAI. Wist je dat ze zelfs een speciaal Security Portal hebben? Hier kun je zien aan welke regelgeving en beveiligingsmaatregelen OpenAI voldoet. Daarbij kun je een eigen account aanvragen om documenten in te zien en downloaden, of je met je e-mailadres inschrijven op de nieuwsbrief om op de hoogte te blijven van alle ontwikkelingen rondom data privacy & security. 

Naast deze coole toevoeging door OpenAI (powered by start-up Safebase) is het duidelijk dat ze het belang van data privacy en beveiliging voor hun diensten goed inzien. Sinds maart 2023 worden er geen data via API en Enterprise interacties meer gebruikt voor training van de modellen. Daarbij is er met het aanbieden van Zero Data Retention een belangrijke stap gezet richting privacy-first denken. Ook is het aanbieden, al is het nog handmatig, van een opt-out voor gratis en Plus ChatGPT accounts een mooie stap richting meer controle over eigen data voor iedereen.

Het lijkt wel duidelijk dat OpenAI nog niet voldoet aan alle uitgebreide GDPR regelgeving in Europa, maar de Europese landen geeft ze de tijd hun systemen daarop in te richten. Wel is het voor bedrijven die gebruikmaken van OpenAI’s API grotendeels mogelijk aan GDPR te voldoen, afhankelijk van hoe je de diensten gebruikt. Als je data van klanten verwerkt via de OpenAI API adviseren we in ieder geval ervoor te zorgen dat je OpenAI opneemt in je verwerkingsregister en een verwerkersovereenkomst tekent, dat doe je hier op de website van OpenAI.