Welke gegevensstromen zijn er bij het gebruik van De Pee AI chatbots?

Er zijn twee gegevensstromen: (1) bedrijfsgegevens die worden gebruikt om de chatbot te trainen en de knowledge base te vullen, en (2) gegevens die eindgebruikers invoeren tijdens interacties met de chatbot.

Welke algemene beveiligingsmaatregelen hanteert De Pee AI?

De Pee AI hanteert o.a. secure hosting, verplichte two-factor authentication (2FA), Cloudflare-bescherming, een 256-bit versleutelde database, AVG/GDPR-compliant datamanagement en secure API-verbindingen richting OpenAI.

Wordt mijn volledige knowledge base gedeeld met ChatGPT of andere LLM’s?

Nee. De Pee AI past ‘chunking’ toe: alleen relevante delen van de knowledge base worden meegestuurd om een antwoord te genereren, niet de volledige bedrijfsinformatie.

Gebruikt OpenAI API-invoer voor training van modellen?

Nee. Invoer die via de API wordt verzonden, wordt volgens het beleid niet gebruikt om modellen te trainen.

Hoe lang bewaart OpenAI gegevens die via de API worden verzonden?

Gegevens die via de API worden verzonden, worden maximaal 30 dagen bewaard om misbruik te detecteren en de dienstverlening te waarborgen. Daarna worden ze verwijderd, tenzij een wettelijke verplichting anders bepaalt.

Wie kan de data bij OpenAI inzien?

Alleen geautoriseerde medewerkers van OpenAI kunnen gegevens inzien voor misbruikcontrole en naleving van regelgeving, maar deze data wordt niet gebruikt voor modeltraining.

Wat gebeurt er met gegevens die eindgebruikers in de chatbot invoeren?

Invoer van eindgebruikers wordt doorgestuurd naar de opdrachtgever (de klant van De Pee AI) en door De Pee AI na 90 dagen definitief verwijderd. Op deze gegevens is de AVG/GDPR van toepassing.

Kunnen gegevens buiten de EU worden verwerkt?

Omdat OpenAI een Amerikaanse dienst is, kan het voorkomen dat gegevens tijdelijk buiten de EU worden verwerkt. Dit gebeurt onder naleving van de AVG-richtlijnen, inclusief Standard Contractual Clauses (SCCs) zoals goedgekeurd door de Europese Commissie.

Wat is het beleid bij een datalek?

Bij een datalek volgt De Pee AI de wettelijke meldplicht uit de AVG: betrokkenen worden geïnformeerd indien hun gegevens mogelijk zijn blootgesteld, er wordt indien nodig gemeld bij de Autoriteit Persoonsgegevens en er worden direct maatregelen genomen om het lek te verhelpen en herhaling te voorkomen.

Gegevensbescherming

Twee gegevensstromen

Bij het gebruik van onze chatbots spelen twee belangrijke gegevensstromen een rol:

Bedrijfsgegevens die worden gebruikt om de chatbot te trainen en de knowledge base te vullen.
Gegevens die door klanten worden ingevoerd tijdens interacties met de chatbot.

Algemene beveiligingsmaatregelen

Wij nemen gegevensbeveiliging uiterst serieus en hanteren de volgende maatregelen om de veiligheid en privacy van alle gegevens te waarborgen:

Secure Hosting: Ons platform wordt gehost bij een betrouwbare provider met geavanceerde infrastructuur en strenge beveiligingsprotocollen.
Two-Factor Authentication (2FA): We verplichten het gebruik van tweestapsverificatie om ongeautoriseerde toegang tot accounts te voorkomen.
Cloudflare Protection: Onze infrastructuur wordt beschermd door Cloudflare, wat bescherming biedt tegen DDoS-aanvallen en veilige gegevensoverdracht garandeert.
256-Bit Encrypted Database: Alle opgeslagen gegevens worden beveiligd met 256-bit encryptie, een van de hoogste standaarden in gegevensbeveiliging.
GDPR-Compliant Data Management: Gespreksgegevens worden beheerd in volledige naleving van de Algemene Verordening Gegevensbescherming (AVG).
Secure API Connections: Specifieke querydata wordt via veilige API-verbindingen doorgestuurd naar OpenAI, zodat de gegevensoverdracht optimaal beveiligd is.

Bedrijfsgegevens

Alle bedrijfsinformatie die wordt gebruikt voor de knowledge base wordt opgeslagen in een beveiligde omgeving (zie hierboven) en wordt niet volledig gedeeld met ChatGPT of een ander LLM (Large Language Model). In plaats daarvan passen we ‘chunking’ toe, waarbij alleen relevante delen van de knowledge base worden meegestuurd naar ChatGPT om een accuraat antwoord te genereren.

Voor het deel van de bedrijfsinformatie dat wél naar ChatGPT (of een ander LLM) wordt gestuurd, gelden de volgende waarborgen:

OpenAI gebruikt geen API-invoer voor trainingsdoeleinden. Gegevens die via de API worden verzonden, worden niet gebruikt om modellen te trainen.
Gegevens worden maximaal 30 dagen bewaard door OpenAI om misbruik te detecteren en de dienstverlening te waarborgen. Na deze periode worden ze verwijderd, tenzij een wettelijke verplichting anders bepaalt.
Alleen geautoriseerde medewerkers van OpenAI kunnen gegevens inzien voor misbruikcontrole en naleving van regelgeving, maar deze data wordt niet gebruikt voor modeltraining.

Meer informatie over de privacymaatregelen van OpenAI: Enterprise privacy at OpenAI.

Gegevens die door klanten worden ingevoerd

Gegevens die door eindgebruikers (klanten) in de chatbot worden ingevoerd, worden doorgestuurd naar onze klant (de opdrachtgever van de chatbot) en door ons na 90 dagen definitief verwijderd.

Aangezien deze invoer ook door de chatbot wordt verwerkt, gelden hier dezelfde waarborgen als bij de bedrijfsgegevens:

OpenAI gebruikt geen API-invoer voor trainingsdoeleinden. Gegevens die via de API worden verzonden, worden niet gebruikt om modellen te trainen.
Gegevens worden maximaal 30 dagen bewaard door OpenAI om misbruik te detecteren en de dienstverlening te waarborgen. Na deze periode worden ze verwijderd, tenzij een wettelijke verplichting anders bepaalt.
Alleen geautoriseerde medewerkers van OpenAI kunnen gegevens inzien voor misbruikcontrole en naleving van regelgeving, maar deze data wordt niet gebruikt voor modeltraining.

Op deze gegevens is de Algemene Verordening Gegevensbescherming (AVG) van toepassing.

Meer informatie over de AVG: EU GDPR-richtlijnen.

Gegevensverwerking buiten de EU

Omdat OpenAI een Amerikaanse dienst is, kan het voorkomen dat gegevens tijdelijk buiten de EU worden verwerkt. Dit gebeurt uitsluitend onder naleving van de AVG-richtlijnen, waaronder de Standard Contractual Clauses (SCCs) die door de Europese Commissie zijn goedgekeurd om een hoog niveau van gegevensbescherming te garanderen.

Beleid bij een datalek

In het onwaarschijnlijke geval van een datalek volgen wij de wettelijke meldplicht zoals vastgelegd in de AVG. Dit betekent dat:

Betrokkenen direct op de hoogte worden gesteld indien hun gegevens mogelijk zijn blootgesteld.
Wij, indien nodig, een melding doen bij de Autoriteit Persoonsgegevens.
Er direct maatregelen worden genomen om het lek te verhelpen en herhaling te voorkomen.