Het Chinese AI-bedrijf DeepSeek dat op 20 januari de nieuwe Large Language Models (LLM's) DeepSeek-V3 en DeepSeek R1 ontsloot, ligt onder een vergrootglas van Europese toezichthouders. Er bestaan ernstige zorgen over privacy. De Italiaanse privacy autoriteit blokkeerde de app al, met als reden dat de informatie over gegevensverzameling 'volstrekt onvoldoende' is. In Ierland is informatie opgevraagd en in Nederland kondigde de Autoriteit Persoonsgegevens (AP) vrijdag een onderzoek aan. Bij verschillende Nederlandse overheidsdiensten is het gebruik van AI-bots al geblokkeerd.
Persoonsgegevens in gevaar
AP-voorzitter Aleid Wolfsen waarschuwt consumenten alvast: 'Ga heel voorzichtig en terughoudend om met deze chatbot.' DeepSeek verzamelt een breed scala aan gegevens van gebruikers, inclusief teksten, foto’s, IP-adressen en zelfs toetsenbordaanslagen. Deze informatie wordt rechtstreeks naar China gestuurd, zonder mogelijkheid voor gebruikers om datadeling uit te schakelen – in tegenstelling tot concurrerende apps zoals het populaire ChatGPT, hoewel ook dit model niet risicovrij is.
Toetsaanslagen geregistreerd
Het opslaan van toetsaanslagpatronen door DeepSeek baart Europese functionarissen zoals Pierluigi Casale zorgen. Volgens Casale kunnen deze patronen unieke gebruikers identificeren en zelfs emoties zoals boosheid of blijdschap afleiden. Bart Groothuis, lid van het Europees Parlement, stelt dat DeepSeek 'geen plek in de EU' heeft. De Europese privacywet AVG vereist een grondslag voor het verzamelen van persoonsgegevens, en die ontbreekt bij DeepSeek. Dat het voor gebruikers ook niet mogelijk is om de dataverzameling te beperken maakt DeepSeek verbodwaardig.
Datalek blootgelegd
Alsof de zorgen over privacy nog niet genoeg waren, ontdekte het Amerikaanse cybersecuritybedrijf Wiz recentelijk een groot datalek bij DeepSeek. Meer dan een miljoen chats waren eenvoudig openbaar toegankelijk. Hoewel het lek inmiddels is gedicht, vermoedt Wiz dat meerdere partijen toegang hebben gehad tot de informatie.
Veiligheid faalt volledig
Naast privacyproblemen blijkt ook de veiligheid van het AI-model R1 van DeepSeek dramatisch slecht. Onderzoekers van Cisco en de Universiteit van Pennsylvania testten het model met vijftig bekende prompts die ontworpen zijn om giftige inhoud te ontlokken, zoals haatzaaiende taal of instructies voor het maken van bommen. DeepSeek faalde bij alle vijftig tests en bleek niet bestand tegen zogeheten jailbreak-technieken, waarbij beveiligingsmechanismen worden omzeild. Dit staat in schril contrast met concurrerende modellen van OpenAI, Meta en Google, die wel effectieve veiligheidsmaatregelen hebben ingebouwd. Volgens een Cisco-expert heeft DeepSeek snelheid en kosten laten prevaleren boven veiligheid, wat de kwetsbaarheid van het model verklaart.
Gebruiksverboden bij overheden
Met groeiende kritiek op zowel de privacy- als veiligheidsmaatregelen, lijkt de toekomst van DeepSeek in Europa onzeker. De enorme populariteit van de gratis app in appstores (DeepSeek staat op één) toont de aantrekkingskracht, maar het ontbreken van strikte databeveiliging en AVG-naleving zet DeepSeek stevig onder druk. Zowel toezichthouders als experts stellen dat DeepSeek grote aanpassingen moet doen om aan Europese eisen te voldoen. Voorlopig hebben Nederlandse overheidsinstanties als het UWV, CBR, SVB en vele andere semi-overheidsinstellingen die persoonsgegevens verwerken interne verboden ingesteld. De Vereniging Nederlandse Gemeenten (VNG) heeft laten weten dat gemeenten zelf hun afwegingen maken. N.b.: op 2 februari 2025 zijn diverse Europese verboden op AI-toepassingen van kracht geworden, conform de AI-verordening (AI Act).
DeepSeek zuiniger en toch verrassend slim
DeepSeek, hoe twijfelachtig ook, heeft een opvallend efficiënt ontwikkelingsproces voor zijn taalmodellen (LLM’s) weten te realiseren, zo meldt Techwebsite Techradar. Het gebruikt een innovatief trainingssysteem dat werkt op basis van trial-and-error, vergelijkbaar met menselijk leren. De modellen verbeteren zichzelf voortdurend door feedback te ontvangen op hun acties. Daarnaast maakt DeepSeek gebruik van een Mixture-of-Experts (MoE)-architectuur, waarbij slechts een klein deel van de parameters tegelijk wordt geactiveerd. Dit zorgt niet alleen voor een efficiënter gebruik van rekenkracht, maar verlaagt ook de serverkosten aanzienlijk.
AI-geletterdheid verplicht
De Europese AI Act verplicht werkgevers sinds 2 februari 2025 tevens om te zorgen voor voldoende AI-geletterdheid van hun werknemers. Dat betekent dat iedereen die beroepsmatig met AI in aanraking komt of het gebruikt (zgn. 'gebruiksverantwoordelijke' is) ten minste de basisprincipes begrijpt en de risico's en de gevolgen kan inschatten. De AI-Act eist dat kunstmatige intelligentie veilig, effectief en ethisch wordt ingezet. DeepSeek scoort momenteel alleen een voorlopige voldoende op het tweede criterium.
Bronnen: De Volkskrant, Bright.nl, Considerati.com, BNR.