Anthropic bewaart sinds 9 juni alle zakelijke prompts voor zijn krachtigste modellen dertig dagen, ook als een bedrijf expliciet had gekozen voor nul dagen opslag. Microsoft stuurt Copilot-data bij piekmomenten standaard naar servers buiten Europa. Twee beleidswijzigingen in één maand, allebei doorgevoerd zonder dat de meeste bedrijven het merkten. Dat je team AI gebruikt, is een gegeven. Maar weet je wat er met je bedrijfsdata in die tools gebeurt?
Waarom is dit nu urgent?
Op 2 augustus 2026 gaan de algemene verplichtingen van de AI Act in voor elk bedrijf dat AI-systemen inzet. Dat betekent onder meer dat je als werkgever moet kunnen aantonen dat medewerkers voldoende kennis hebben over de tools die ze gebruiken, en dat je weet welke data erin gaat. De Autoriteit Persoonsgegevens heeft AI tot handhavingsprioriteit benoemd en waarschuwde dat Nederland onvoldoende is voorbereid op AI-risico’s.
Wacht even, hoe groot is het probleem eigenlijk? Uit internationaal onderzoek van Salesforce bleek dat 55 procent van de werknemers niet-goedgekeurde AI-tools gebruikt op het werk. In Nederlandse bedrijven liggen de cijfers vergelijkbaar, zo meldden onder meer de Nationale AI-Monitor en Emerce. In een gemiddeld mkb met twintig medewerkers betekent dat ruim tien collega’s die bedrijfsdata invoeren in tools waar het bedrijf geen zicht op heeft. Voor die tools bestaat vaak ook geen verwerkersovereenkomst.
Ondertussen veranderen de spelregels van de tools zelf. Drie recente voorbeelden:
- Anthropic (Claude): Sinds 9 juni worden prompts en antwoorden van de Mythos-modellen (waaronder Fable 5) dertig dagen bewaard voor veiligheidsanalyse, volgens het officiële databeleid van Anthropic. Ook bij organisaties met een afspraak voor nul dagen opslag. Er is geen opt-out.
- Microsoft (Copilot): Sinds april 2026 stuurt Microsoft via flex routing Copilot-data bij drukte naar servers in de VS, Canada of Australië. Dit staat standaard aan voor nieuwe accounts. Uitzetten kan, maar je moet weten dat het bestaat.
- OpenAI (ChatGPT): Data van ChatGPT Business en Enterprise wordt niet gebruikt voor training. Maar bij de gratis en Plus-versie wel, tenzij je dit handmatig uitzet. Elke medewerker met een gratis account stuurt data naar OpenAI voor modeltraining.
Overigens is dat laatste punt het grootste risico voor de meeste mkb-bedrijven. Niet de enterprise-contracten, maar de medewerker die op eigen houtje de gratis versie opent en er een offerte in plakt.
Wat gebeurt er echt met je data bij de drie grote aanbieders?
Geen van de drie grote AI-platforms gebruikt zakelijke data voor modeltraining. Dat is de belangrijkste boodschap. Maar de verschillen in opslag, locatie en controle zijn groot.
| Kenmerk | ChatGPT Business | Claude Enterprise | Copilot for Microsoft 365 |
|---|---|---|---|
| Gebruikt data voor training | Nee | Nee | Nee |
| Bewaartermijn data | Door admin instelbaar | 30 dagen (Mythos-modellen) | Volgt Microsoft 365-beleid |
| EU-dataresidentie | Beschikbaar | Niet beschikbaar (API) | Standaard EU, maar flex routing kan data naar VS sturen |
| Verwerkersovereenkomst | Ja | Ja | Ja |
| Admin-controle retentie | Volledig | Beperkt (geen opt-out Mythos) | Volledig |
Even voor de beeldvorming: denk aan de kluis bij je accountant. Je weet dat er documenten in liggen, je weet wie de sleutel heeft, en je weet wanneer ze worden vernietigd. Precies dezelfde vragen stel je over je AI-tools. Waar liggen mijn documenten? Wie kan erbij? Wanneer worden ze opgeruimd?
Een detail dat makkelijk over het hoofd wordt gezien: de flex routing-instelling bij Microsoft Copilot. Sinds april 2026 kan Microsoft bij piekmomenten in Europese datacenters je verzoeken doorsturen naar servers in de VS, Canada of Australië. Dit staat standaard aan voor alle accounts die na 25 maart 2026 zijn aangemaakt. Het gevolg: je bedrijfsdata kan buiten de EU worden verwerkt, ook als je een Microsoft 365-licentie hebt met EU-dataresidentie. Uitzetten kan via het beheercentrum, maar je moet weten dat de instelling bestaat.
De valkuil zit bij de gratis en consumentenabonnementen. Bij de gratis versie van ChatGPT wordt alles wat je intypt potentieel gebruikt om het model te verbeteren. Bij Claude Pro geldt een standaard bewaartermijn voor veiligheidsanalyse. Als een medewerker op eigen kosten een Pro-abonnement heeft en daar bedrijfsdata in zet, valt dat buiten je controle als werkgever.
Zeven checks die je deze week doet
Je hoeft geen privacyadvocaat in te huren om grip te krijgen op je AI-databeleid. Deze zeven checks doorloop je als ondernemer of manager in een middag.
1. Welk abonnement gebruiken je medewerkers?
Dit is de belangrijkste check. De gratis versie van ChatGPT biedt geen zakelijke databescherming. Vraag rond: wie gebruikt welke tool, op welk abonnement? Eén medewerker op een gratis account ondermijnt je hele databeleid. Maak een lijstje. Let ook op tools die AI-functies ingebouwd hebben zonder dat het opvalt: je browser, je mailprogramma, je presentatiesoftware.
2. Staat de training-opt-out aan?
Bij ChatGPT Plus en Pro kun je via Instellingen en dan Datacontrole de optie “Verbeter het model voor iedereen” uitzetten. Bij Claude Pro ga je naar claude.ai/settings. Bij zakelijke abonnementen staat training standaard uit, maar controleer het toch. Instellingen kunnen veranderen bij updates.
3. Waar staat je data fysiek?
Voor de AVG maakt het uit of je data in de EU of in de VS wordt verwerkt. ChatGPT Business biedt EU-dataresidentie. Microsoft Copilot stuurt data bij piekmomenten standaard naar de VS via flex routing. Je kunt dit uitzetten via het Microsoft 365-beheercentrum onder de Copilot-instellingen. Claude Enterprise biedt momenteel geen EU-dataresidentie via de eigen API.
4. Hoe lang wordt je data bewaard?
ChatGPT Business: beheerders bepalen de termijn, verwijderde gesprekken zijn binnen dertig dagen weg. Claude Enterprise: dertig dagen voor Mythos-modellen, niet uit te zetten. Copilot: volgt het Microsoft 365-retentiebeleid van je organisatie. Controleer of de bewaartermijnen passen bij je eigen privacybeleid.
5. Wie beheert de instellingen?
Wijs één persoon aan als verantwoordelijke voor de beheerpanelen van je AI-tools. Bij ChatGPT Business is dat de workspace-admin, bij Copilot de Microsoft 365-beheerder. Als niemand dit actief beheert, zijn de standaardinstellingen actief. Die zijn niet altijd in je voordeel.
6. Wat mag er absoluut niet in?
Stel een kort lijstje op van gegevens die nooit in een AI-tool mogen. Denk aan: persoonsgegevens van klanten (BSN-nummers, medische dossiers, financiële gegevens), bedrijfsgevoelige informatie (broncode, strategische plannen, niet-openbare cijfers), en wachtwoorden of API-sleutels. Eén A4 volstaat.
7. Is er een verwerkersovereenkomst getekend?
De AVG vereist een verwerkersovereenkomst als een externe partij persoonsgegevens verwerkt namens jouw organisatie. OpenAI, Anthropic en Microsoft bieden allemaal een Data Processing Addendum aan voor zakelijke abonnementen. Bij de gratis versie bestaat die niet. Controleer of de verwerkersovereenkomst is geactiveerd in je accountinstellingen.
Hoeveel kost het juiste abonnement per medewerker?
De overstap van een gratis naar een zakelijk AI-abonnement is goedkoper dan de meeste bedrijven verwachten. ChatGPT Business kost circa 25 euro per gebruiker per maand. Claude Pro zit op ongeveer 20 euro per maand. Copilot for Microsoft 365 komt op zo’n 28 euro per gebruiker per maand. Alle prijzen exclusief btw.
Voor een team van tien mensen betekent dat 250 tot 280 euro per maand voor volledige databescherming, geen training op je data, en een verwerkersovereenkomst. Dat is minder dan één uur extern privacyadvies. Ter vergelijking: een datalek kost gemiddeld 170 euro per getroffen persoonsgegeven, volgens het Cost of a Data Breach-onderzoek van IBM Security.
De rekensom is snel gemaakt.
Dat geld verdien je bovendien terug. Zakelijke abonnementen bieden doorgaans betere modellen, meer capaciteit en functies als admin-controle en teamwerkruimtes. De productiviteitswinst alleen al compenseert de kosten in de meeste gevallen binnen de eerste maand.
Hoe stel je een AI-databeleid op in een middag?
Een AI-databeleid hoeft geen juridisch document van twintig pagina’s te zijn. Voor de meeste mkb-bedrijven volstaat één A4 met vier onderdelen:
- Goedgekeurde tools en abonnementen: welke versie van welke tool mag je team gebruiken?
- De no-go-lijst: welke gegevens mogen er nooit in? (uit check 6)
- De verantwoordelijke: wie beheert de instellingen en controleert ze maandelijks?
- De twijfelregel: twijfel je of iets erin mag? Typ het niet in.
Denk aan een huishoudelijk reglement voor je kantoor, maar dan voor AI-tools. Het hoeft niet waterdicht te zijn. Een eenvoudig document dat je team kent en kan vinden, is tien keer meer waard dan een uitgebreid beleid dat in een la verdwijnt. In een eerder stuk over AI-werkwijzen staat hoe je een breder AI-beleid opzet. De data-checks uit dit artikel vormen een sterk startpunt voor het privacyhoofdstuk daarin.
Wat kun je hier morgen mee?
Begin maandagochtend met check 1 en 2. Vraag je team welke AI-tools ze gebruiken en op welk abonnement. Controleer of de training-opt-out aanstaat. Dat kost een kwartier en geeft je direct inzicht in je grootste risico.
De overige checks pak je er in de loop van de week bij. Het hele traject kost minder dan een middag. Het resultaat: een helder beeld van waar je bedrijfsdata naartoe gaat, welke instellingen actief zijn, en een A4-beleid dat je team volgende maand nog kent.
De AI Act-deadline van 2 augustus is niet het eindpunt, maar het beginpunt. Aanbieders zullen hun databeleid blijven aanpassen, net zoals Anthropic en Microsoft dat de afgelopen maand deden. Door nu je basischecks te doen en een eenvoudig beleid op te stellen, bouw je een fundament waarop je kunt bijsturen zonder elke keer van nul te beginnen.
Wil je je AI-gebruik breder onder de loep nemen? In onze gids voor het checken van AI-afhankelijkheid vind je aanvullende stappen voor bedrijfscontinuïteit.
