Met een kantoor in Dublin ontkomt OpenAI niet aan privacyzorgen

Met een kantoor in Dublin ontkomt OpenAI niet aan privacyzorgen

OpenAI heeft onlangs een kantoor in de Ierse hoofdstad Dublin geopend. Daarmee probeert het de controle over Europese gegevens binnen het continent te houden. Het is een stap die Europese toezichthouders al eerder tevreden heeft gesteld, maar het neemt nauwelijks privacyzorgen weg.

Met OpenAI Ireland Limited is er voortaan een Europese entiteit die als beheerder optreedt van de data op het continent. Het is dezelfde tactiek die Apple, Google, Meta, TikTok en X hebben gehanteerd, aldus TechCrunch. Dat er nu een OpenAI-kantoor in Dublin staat, wil verder niet al te veel zeggen. Er staan slechts vijf vacatures online voor die locatie, dus de eerder gestelde EU-plannen van het bedrijf klinken ambitieuzer dan ze zijn.

Concreet betekent het voor klanten dat OpenAI Ireland Limited met een nieuwe gebruikersovereenkomst de beheerder van de persoonlijke data van Europese accounts wordt. Per 15 februari 2024 gaat het nieuwe beleid in. Wie het daar niet mee eens is, kan het eigen account laten verwijderen.

Privacyzorgen nemen nauwelijks af

Alleen een Europees kantoor neemt nauwelijks privacyzorgen weg. Meta ondervond vorig jaar dat het doorspelen van gebruikersdata naar de VS kan leiden tot een boete van 1,2 miljard euro. Wel ontweek dat bedrijf eerder een potentiële boete van 4 miljard, dat door de Ierse toezichthouder (DPC) werd gereduceerd tot 390 miljoen. Aangezien veel techbedrijven in Ierland gevestigd zijn, worden klachten vanuit Brussel en EU-lidstaten veelal omgezet tot actie door de DPC. Daarin blijkt die organisatie meer dan eens te traag op te treden en opereert het te langzaam. Voor OpenAI betekent het dat het minder te vrezen heeft van individuele acties door EU-landen, zoals de tijdelijke blokkade die Italië opwierp tegen ChatGPT.

OpenAI blijft alsnog data verzamelen van klanten. In het EU-privacybeleid van het bedrijf, opgesteld op 15 december 2023, blijft het gebruik en vrijgeven van gegevens breed geformuleerd. Zo stelt OpenAI dat het data verzendt naar ontvangers buiten de EU voor talloze doeleinden, waaronder fraudepreventie, marketing en optimalisatie van diensten. Vrij logisch, aangezien men in het Dublin-kantoor absoluut niet de capaciteit heeft om zulke zaken af te handelen. In de praktijk blijft OpenAI ook binnen de EU een Amerikaans bedrijf.

Biedt ChatGPT Enterprise hoop?

Voor ChatGPT Enterprise-klanten gelden andere regels. Zo garandeert OpenAI dat het de bedrijfsdata van die gebruikers nooit voor trainingsdoeleinden zou inzetten. De databeheerder (‘controller’) is in dat geval namelijk de klant zelf, niet OpenAI. Dat bedrijf is slechts de dataverwerker, dus het beveiligen van de data is aan organisaties die deze dienst afnemen.

Ook voldoet ChatGPT Enterprise aan SOC 2-compliance, dat een zekere mate van privacy en security lijkt te garanderen. Echter klinkt het bombastischer dan het is. De SOC 2-criteria zijn “open voor interpretatie”, zoals securitypartij Check Point het verwoordt. Het zijn richtlijnen, niet harde eisen.

Het strijdtoneel verandert voor OpenAI

OpenAI maakte de plannen voor een kantoor in Dublin in september bekend. Sindsdien is de AI Act verder gekristalliseerd, dat onder meer de regels rondom trainingsdata voor AI-modellen zoals GPT-4 definieert. Daarnaast zijn er buiten Europa redenen tot zorg voor OpenAI. Nadat het bedrijf deals sloot om toegang te verkrijgen tot de archieven van Associated Press en Axel Springer, koos The New York Times juist voor een rechtszaak wegens vermeende auteursrechtenschending.

Die zaak zal voor OpenAI momenteel een grotere zorg zijn dan de verschillende regelgevers. Die blijken meer dan eens open te staan voor onderhandeling na eerst stennis te schoppen over de handelswijze van menig techbedrijf. Zo blijkt Microsoft de starre houding van de Britse CMA “streng maar eerlijk” te hebben gevonden rondom de overname van Activision Blizzard voor 68 miljard dollar. Ook als het gaat om privacy blijken regelgevers lang overtuigd na stevige onderhandelingen. Zo heeft X de beschermde GDPR-status behouden ondanks dat het Dublin-kantoor talloze medewerkers heeft verloren, waardoor het volgens de EU inmiddels onvoldoende weerstand biedt tegen de verspreiding van desinformatie. OpenAI is op zoek naar dezelfde goedkeuring, waarna het onwaarschijnlijk is dat het die kwijtraakt. Daaruit blijkt dat de privacyregels te eenvoudig te omzeilen zijn, want met enkel wollig verwoorde compliance-beloftes en een minimale mankracht in Europa neemt OpenAI geen privacyzorgen weg.