De AI-industrie is recentelijk opgeschud door de introductie van de geavanceerde AI-chatbot van DeepSeek. Dit bedrijf heeft een AI-model ontwikkeld dat qua prestaties vergelijkbaar is met toonaangevende modellen zoals OpenAI’s ChatGPT, maar dan tegen aanzienlijk lagere kosten.
Na de introductie van DeepSeek is er wereldwijd bezorgdheid geuit over de manier waarop de AI-chatbot persoonlijke gegevens verzamelt en opslaat. Zo hebben Italië en Australië hun bezorgdheid geuit over de gegevensverzameling door DeepSeek. De Zuid-Koreaanse inlichtingendienst (NIS) heeft aangegeven dat DeepSeek buitensporig veel persoonlijke data verzamelt, waaronder toetsaanslagpatronen die individuen kunnen identificeren. Dit type gegevensverzameling roept privacy zorgen op, omdat het gebruikt kan worden om individuen te identificeren en hun gedrag te volgen.
Hoe werkt identificatie via toetsaanslagpatronen?
Verschillende kenmerken van de interactie tussen een gebruiker en een systeem (human-computer interaction, HCI) zijn uniek en kunnen worden benut voor biometrische gedragsauthenticatie, waaronder toetsaanslagpatronen (ook wel toetsenborddynamiek).
Biometrische gedragsauthenticatie is een manier om iemand te herkennen op basis van hoe diegene zich gedraagt. Dit valt onder biometrische authenticatie, maar verschilt van authenticatie via bijvoorbeeld vingerafdrukken of gezichtsherkenning. Vingerafdrukken en gezichtsherkenning analyseren vaste fysieke kenmerken en vallen onder statische biometrie. Gedragsbiometrie, zoals toetsenborddynamiek, kijkt naar hoe iemand iets doet, zoals de snelheid en het ritme van het indrukken van toetsen.
Een algoritme kan analyseren hoe lang toetsen worden ingedrukt, welke toetsen worden gebruikt voor hoofdletters, hoe vaak de backspace-toets wordt gebruikt en welke tekst uiteindelijk wordt getypt. Door kunstmatige intelligentie toe te passen op deze patronen, vindt biometrische authenticatie plaats.
Omdat toetsaanslagpatronen uniek zijn voor een persoon, kunnen ze worden gebruikt als een vorm van onzichtbare identificatie zonder dat de gebruiker expliciet toestemming geeft. In combinatie met andere verzamelde gegevens, zoals een IP-adres of apparaat informatie, kan een AI-systeem zoals DeepSeek een gedetailleerd gebruikersprofiel opbouwen en mogelijk zelfs anonieme gebruikers herleiden tot hun echte identiteit.
Dit roept belangrijke ethische en juridische vragen op over privacy en toestemming. Ethisch gezien is er sprake van een inbreuk op de privacy van gebruikers, omdat zij zich mogelijk niet bewust zijn van de verzameling en analyse van hun toetsaanslagpatronen. Juridisch gezien kan dit in strijd zijn met privacywetten zoals de AVG.
De botsing tussen de Europese en de Chinese privacyregels
De zorgen over de verzameling van toetsaanslagpatronen raken aan de kern van de verschillen tussen de Algemene Verordening Gegevensbescherming (AVG) in Europa en de privacywetgeving in China.
De AVG legt strikte eisen op aan de verwerking van persoonsgegevens, zoals het verkrijgen van expliciete toestemming van gebruikers, het minimaliseren van dataopslag en het waarborgen van transparantie over hoe data wordt gebruikt. In China daarentegen hebben overheidsinstanties bredere bevoegdheden om toegang te krijgen tot persoonlijke gegevens, en bedrijven zijn verplicht om samen te werken met de overheid bij het delen van data.
Deze discrepantie leidt tot spanningen wanneer technologieën zoals DeepSeek internationaal worden ingezet. De manier waarop DeepSeek data verzamelt en gebruikt, in combinatie met de verplichtingen van Chinese bedrijven om gegevens te delen met de overheid, staat haaks op de AVG, die is juist ontworpen om de privacy van individuen te beschermen tegen ongeoorloofde toegang en gebruik.
Geen vlekkeloze integratie van DeepSeek in Europa
Verschillende Europese landen hebben inmiddels maatregelen genomen tegen het gebruik van DeepSeek. Zo heeft Italië de applicatie geblokkeerd vanwege zorgen over de verwerking van persoonlijke gegevens, en in Nederland heeft het kabinet rijksambtenaren verboden om DeepSeek tijdens hun werk te gebruiken.
Deze ontwikkelingen wijzen op groeiende bezorgdheid over de naleving van de AVG door DeepSeek. De European Data Protection Board (EDPB) heeft aangegeven dat nationale toezichthouders mogelijk verdere acties zullen ondernemen, zoals boetes of beperkingen op het gebruik van DeepSeek in de EU.
Gezien de huidige geopolitieke spanningen en wetgevingsconflicten lijkt een soepele toegang van DeepSeek tot de Europese markt zeer onwaarschijnlijk. De kern van het probleem ligt in de tegenstrijdige wetgeving tussen China en Europa. Chinese bedrijven zoals DeepSeek vallen onder de Chinese wetgeving, waaronder de Cybersecurity Law en de Data Security Law. Deze wetten verplichten bedrijven om gegevens te delen met de Chinese overheid, wanneer daarom wordt gevraagd, ook als de gegevens afkomstig zijn van buitenlandse gebruikers. Dit betekent dat DeepSeek juridisch gezien niet kan weigeren om gegevens door te geven aan de Chinese autoriteiten.
In Europa daarentegen geldt de AVG, die strikte regels stelt aan de verwerking en overdracht van persoonsgegevens. Eén van de kernprincipes van de AVG is dat persoonsgegevens niet zonder expliciete wettelijke basis buiten de EU mogen worden gedeeld. Dit betekent dat de wettelijke verplichtingen van DeepSeek in China direct botsen met de AVG in Europa.
Zijn afspraken zinloos?
In de praktijk is het bijna onmogelijk om harde garanties te krijgen dat DeepSeek niet wordt gedwongen gegevens met de Chinese overheid te delen. Het fundamentele probleem is dat de Chinese wetgeving voorrang heeft op bedrijfsbeloften. Als de Chinese overheid besluit gegevens op te vragen, kan DeepSeek hier geen nee tegen zeggen, zelfs als het bedrijf in Europa belooft de AVG te volgen.
Dit maakt het voor Europese toezichthouders zeer risicovol om DeepSeek zomaar toe te laten op de markt. En dit is niet alleen een probleem voor DeepSeek, maar voor alle Chinese techbedrijven die wereldwijd opereren. Dit heeft er bijvoorbeeld al toe geleid dat landen zoals de VS bedrijven als Huawei, TikTok en nu ook DeepSeek beperken of verbieden.
De botsing tussen privacybescherming, innovatie en concurrentie
Europese toezichthouders hebben het recht om maatregelen te nemen tegen bedrijven die niet voldoen aan de AVG. Dit kan variëren van boetes tot een volledig verbod op hun activiteiten binnen de EU en is bedoeld om de privacy en gegevensbescherming van Europese burgers te waarborgen.
De strenge privacyregelgeving maakt het echter moeilijker voor bepaalde AI-bedrijven, zoals DeepSeek, om in de EU te opereren. Hierdoor blijven grote spelers zoals OpenAI (ChatGPT) en Anthropic (Claude) relatief dominant en ontbreekt sterke concurrentie. Minder concurrentie kan innovatie vertragen en maakt Europa meer afhankelijk van Amerikaanse techbedrijven, die momenteel de markt domineren.
De AVG beschermt de privacy, maar kan tegelijkertijd innovatie en concurrentie belemmeren. Dit spanningsveld tussen privacybescherming en economische- en innovatiebelangen is complex. Mogelijke oplossingen liggen in het vinden van een balans die zowel de privacy van gebruikers beschermt als ruimte biedt voor technologische vooruitgang en concurrentie. Dit vraagt om een gezamenlijke inspanning van beleidsmakers, bedrijven en technologisch innovators om een evenwicht te creëren dat de belangen van alle betrokken partijen dient en bijdraagt aan een duurzame toekomst voor de AI-industrie. Maar voorlopig lijkt privacybescherming zwaarder te wegen dan de Europese economische en innovatiebelangen.
Wil je meer lezen over AI-systemen? Bekijk ons nieuwste onderzoek 'kun je AI vertrouwen voor juridisch werk?'.
