Je team plakt bedrijfsdata in AI en niemand stelt deze vier vragen
Ethiek & Beleid

Je team plakt bedrijfsdata in AI en niemand stelt deze vier vragen

· 8 min leestijd

Bijna de helft van de medewerkers bij Nederlandse mkb-bedrijven deelt klant- of bedrijfsgegevens met gratis AI-tools als ChatGPT. Slechts 28 procent van hen weet dat die tools de ingevoerde tekst mogen gebruiken om het model te trainen. Dat blijkt uit data van TheAIDaily, gebaseerd op een onderzoek onder 225 medewerkers bij honderd mkb-bedrijven. Vier vragen helpen je team om bij elke tekst de juiste afweging te maken, zonder dat je eerst een privacyadvocaat hoeft te bellen.

Waar gaat je tekst heen nadat je op Enter drukt?

Gratis AI-tools als ChatGPT en Gemini mogen de tekst die je invoert gebruiken om hun modellen te verbeteren. Bij de gratis versie van ChatGPT staat in de gebruiksvoorwaarden dat OpenAI ingevoerde content mag inzetten voor het trainen van modellen. Bij betaalde versies als ChatGPT Plus, Team en Enterprise is die training standaard uitgeschakeld. Claude van Anthropic hanteert dezelfde scheiding: de gratis versie mag data gebruiken voor modelverbetering, Claude Pro niet.

Denk aan een gratis AI-tool als een open kantoorruimte. Alles wat je daar hardop zegt, kan iemand anders opvangen. Een betaald zakelijk abonnement is meer als een afgesloten vergaderruimte: de wanden staan er, maar de sleutels liggen bij de verhuurder.

Overigens is "niet gebruiken voor training" niet hetzelfde als "data wordt niet opgeslagen." Alle grote AI-labs slaan gesprekken op voor misbruikdetectie en veiligheidsmonitoring, doorgaans dertig tot negentig dagen. Het verschil zit in wat er daarna mee mag gebeuren. Bij een betaald abonnement wordt je conversatie na die periode verwijderd. Bij een gratis account kan de tekst onderdeel worden van de volgende trainingsronde.

Voor bedrijven die de API gebruiken, bijvoorbeeld voor een eigen chatbot of interne integratie, geldt een striktere regel. API-data wordt bij geen van de grote aanbieders gebruikt voor training. Dat is vastgelegd in de Data Processing Agreement die bij zakelijk API-gebruik hoort.

Vraag 1: is dit een gratis of een betaalde tool?

Bij gratis AI-tools kan je ingevoerde tekst onderdeel worden van toekomstige modeltraining. Bij betaalde zakelijke abonnementen is dat standaard uitgeschakeld. Dit ene verschil bepaalt of je bedrijfsgegevens potentieel in een trainingsset belanden.

De scheiding per aanbieder:

  • ChatGPT Free: data mag worden gebruikt voor training. ChatGPT Plus (€22 per maand): training standaard uit. ChatGPT Team (€25 per gebruiker per maand): training uit, met admin-controls en zonder datadeling met OpenAI.
  • Claude Free: data mag worden gebruikt voor modelverbetering. Claude Pro (€20 per maand): training standaard uit.
  • Gemini Free: Google gebruikt gesprekken voor productverbetering. Google Workspace met Gemini: zakelijke data wordt niet gebruikt voor training.
  • API-gebruik (alle aanbieders): data wordt nooit gebruikt voor training. Dit geldt voor eigen chatbots, integraties en geautomatiseerde workflows.

De rekensom is eenvoudig. ChatGPT Team kost €25 per medewerker per maand, oftewel €3.000 per jaar voor een team van tien mensen. Ter vergelijking: een enkel datalek kost gemiddeld €165 per gelekt record, volgens IBM. Als je team wekelijks klantgegevens in een gratis tool invoert, is het zakelijk abonnement de goedkoopste verzekering die je kunt afsluiten.

Controleer ook of de training-opt-out daadwerkelijk is ingeschakeld. Bij ChatGPT Plus moet je dit handmatig uitzetten via Instellingen > Data Controls > "Improve the model for everyone." Bij Claude Pro is het standaard uitgeschakeld, maar het is verstandig om het te verifiëren. Bij Google Workspace regelt de admin dit centraal.

Vraag 2: staan er persoonsgegevens in de tekst?

Zodra je persoonsgegevens in een AI-tool invoert, val je onder de AVG. Dat betekent: een wettelijke grondslag voor de verwerking, informatieplicht naar de mensen wiens data je deelt, en bij grootschalige verwerking een DPIA (data protection impact assessment).

Wat telt als persoonsgegevens in deze context? Niet alleen voor de hand liggende zaken als namen en adressen. De AVG beschermt alle informatie waarmee je iemand direct of indirect kunt identificeren:

  • Een naam gecombineerd met een functietitel of bedrijfsnaam
  • E-mailadressen, telefoonnummers, IP-adressen
  • Klachten, beoordelingen of gespreksverslagen die aan een persoon te koppelen zijn
  • BSN-nummers, medische gegevens of strafrechtelijke informatie (bijzondere categorieën, extra beschermd)

De Autoriteit Persoonsgegevens waarschuwt dat het gebruik van AI-tools met persoonsgegevens volledig onder de AVG valt. Dat geldt ook als je de namen eruit haalt maar de rest van de context genoeg is om iemand te identificeren. "De marketingmanager van ons kantoor in Eindhoven die vorige maand een waarschuwing kreeg" bevat geen naam, maar is waarschijnlijk wel herleidbaar.

Even voor de beeldvorming: als een medewerker een klant-e-mail met naam, adres en ordernummer in ChatGPT Free plakt om een antwoord te laten schrijven, heeft het bedrijf persoonsgegevens gedeeld met een partij in de VS. Zonder verwerkingsovereenkomst, zonder grondslag en zonder de klant te informeren. Dat is op papier een AVG-overtreding.

De praktische oplossing is anonimiseren voor je plakt. Vervang namen door "Klant A", verwijder adressen en ordernummers, en houd alleen de kern van de vraag over. Dat kost je dertig seconden en voorkomt een probleem dat maanden kan duren om op te lossen.

Vraag 3: wat zou er gebeuren als deze informatie uitlekt?

De snelste risicotest is een simpele vraag: als deze tekst morgen openbaar op internet verschijnt, wat is dan het gevolg?

Drie scenario's:

  • Geen consequenties. Je vat openbare informatie samen, stelt een generieke vraag over boekhouding, of laat een concepttekst verbeteren zonder vertrouwelijke details. Dit mag in elke tool, ook de gratis versie.
  • Vervelend maar beheersbaar. Interne salesprognoses, een conceptstrategie of personeelsbezettingsplannen. Niet direct strafbaar, maar concurrenten zouden er hun voordeel mee doen. Gebruik hiervoor een betaalde tool met zakelijke voorwaarden.
  • Ernstige consequenties. Klantgegevens, financiële rapporten met namen erin, juridisch vertrouwelijke documenten of medische dossiers. Dit hoort niet in een AI-tool tenzij je een verwerkingsovereenkomst hebt met de aanbieder of een on-premise oplossing draait.

Volgens data van TheAIDaily doen mkb-medewerkers die bedrijfsdata delen met gratis AI-tools dit gemiddeld 3,1 keer per week. Bij een team van tien mensen zijn dat ruim 150 momenten per maand waarop niemand een bewuste afweging maakt. Die herhaling maakt het risico groter dan een eenmalige fout: het wordt een patroon zonder controle.

Daarbij komt dat meer dan 70 procent van de marketeers al een AI-gerelateerd incident heeft meegemaakt, van hallucinaties tot het delen van vertrouwelijke informatie, aldus het IAB. De vraag is niet of het misgaat, maar wanneer.

Vraag 4: heeft je bedrijf vastgelegd wat wel en niet mag?

Driekwart van de Nederlandse organisaties heeft geen aangewezen eigenaar voor AI-governance, blijkt uit onderzoek van Vision Compliance. Tegelijkertijd gebruikt 78 procent van de medewerkers AI zonder expliciete toestemming van IT, aldus een onderzoek van Awareways. De tools zijn er, de afspraken niet.

Een opvallende tegenstelling uit datzelfde onderzoekslandschap: 97 procent van de Europese bedrijven zegt een AI-beleid te hebben, volgens Sharp en Censuswide. Maar als driekwart geen eigenaar heeft die dat beleid handhaaft, is de vraag wat dat beleid in de praktijk waard is. Een document in een bureaulade is geen governance.

Het hoeft geen uitgebreid compliancedocument te zijn. Een A4 met drie categorieën volstaat: wat mag altijd, wat mag onder voorwaarden, wat mag nooit. Hoe je dat in een middag op papier zet, beschreven we eerder in een praktische handleiding voor AI-spelregels.

Maak iemand verantwoordelijk. Niet de IT-afdeling, maar iemand die dicht bij de dagelijkse werkprocessen staat, een office manager of teamleider die ziet wat er echt gebeurt. Uit de adoptiecijfers van TheAIDaily blijkt dat AI-gebruik in Nederlandse bedrijven het afgelopen jaar verdubbeld is. Het beleid moet dat tempo bijhouden.

Een extra reden om nu actie te ondernemen: de EU AI Act verplicht bedrijven om voor augustus 2026 transparant te zijn wanneer AI-systemen communiceren met klanten of medewerkers, bijvoorbeeld via chatbots. Weten welke data je team in die tools invoert, is stap een van die transparantie.

De stoplichtchecklist voor je team

Print deze lijst uit en deel hem rond. Drie kleuren, nul twijfel.

Groen: mag altijd, ook in gratis tools

  • Openbaar beschikbare informatie samenvatten of herformuleren
  • Generieke vragen over wetgeving, boekhouding of marketing
  • Conceptteksten schrijven of verbeteren zonder vertrouwelijke details
  • Vertalingen van niet-vertrouwelijke teksten
  • Brainstormen, ideeën genereren, structuren opzetten

Oranje: mag in betaalde zakelijke tools, niet in gratis versies

  • Interne e-mails of notities samenvatten (anonimiseer namen waar mogelijk)
  • Salesprognoses of marktanalyses laten reviewen
  • Conceptcontracten of offertes laten nakijken (verwijder bedragen en partijnamen)
  • Vergadernotities omzetten naar actiepunten
  • Klantvragen analyseren op patronen zonder identificeerbare gegevens

Rood: niet invoeren, ook niet in betaalde tools zonder verwerkingsovereenkomst

  • BSN-nummers, paspoortnummers, bankgegevens van personen
  • Medische gegevens van medewerkers of klanten
  • Volledige klantdossiers met identificeerbare persoonsgegevens
  • Juridisch vertrouwelijke documenten onder advocaat-cliëntprivilege
  • Broncode met hardcoded wachtwoorden of API-keys
  • Informatie die onder een geheimhoudingsovereenkomst valt

Een team dat grip wil houden op de kosten van AI begint bij deze lijst. Wie niet weet wat medewerkers invoeren, kan ook niet inschatten wat het kost als het misgaat.

Het prikbordprincipe als dagelijkse vuistregel

Voor wie de checklist te lang vindt: stel bij elke tekst die je in een AI-tool wilt plakken deze ene vraag. "Zou ik dit op een prikbord in de kantine hangen?"

Als het antwoord ja is, mag het in elke tool. Als je twijfelt, gebruik een betaald zakelijk abonnement. Als het antwoord nee is, hoort het er niet in.

Die driedeling hoef je niet elke keer bewust door te lopen. Na een week of twee wordt het een automatisme. Begin maandag met de stoplichtchecklist naast het beeldscherm, en kijk over twee weken of je team hem nog nodig heeft. De kans is groot dat de juiste reflex er dan al zit, zonder dat er een beleidsdocument aan te pas kwam.

AI Act Autoriteit Persoonsgegevens AVG bedrijfsdata ChatGPT privacy shadow AI
Michael Groeneweg
Geschreven door Michael Groeneweg AI-consultant bij Digital Impact en oprichter van UnicornAI.nl

Michael is AI-consultant bij Digital Impact in Rotterdam en oprichter van UnicornAI.nl, waar hij AI-oplossingen en SaaS-integraties bouwt voor bedrijven. Al tien jaar ondernemer, en sinds een paar jaar weigert hij iets te doen waar geen AI in verweven zit, zakelijk noch privé, tot mild ongenoegen van zijn omgeving. Zijn reizen door de wereld zijn inmiddels een serie experimenten in wat AI wel en niet kan vanaf een terrasje in Lissabon of een treinstation in Tokio. Hij test obsessief nieuwe tools, bouwt oplossingen voor klanten, en vindt dat niemand de hype moet geloven, maar ook niemand meer kan doen alsof AI niet alles verandert. Houdt van goede koffie, lange vluchten en mensen die met AI bouwen in plaats van er alleen over praten.

Gemaakt door een mens, met AI als assistent bij research en redactie. Meer over onze werkwijze in de AI-disclosure en het redactiestatuut.

Misschien vind je dit ook leuk

Nederland heeft vier maanden voor de AI Act
Ethiek & Beleid

Nederland heeft vier maanden voor de AI Act
Zo check je hoe afhankelijk jouw bedrijf is van AI
Ethiek & Beleid

Zo check je hoe afhankelijk jouw bedrijf is van AI
Grok 3 leek de gratis Claude-killer, totdat Musk onder ede sprak
Ethiek & Beleid

Grok 3 leek de gratis Claude-killer, totdat Musk onder ede sprak