ChatGPT, Claude, Gemini en vergelijkbare AI-tools worden door steeds meer medewerkers dagelijks gebruikt voor hun werk. Ze helpen bij het schrijven van teksten, het samenvatten van documenten, het beantwoorden van klantvragen en het analyseren van data. Dat is efficiënt en vaak waardevol. Maar er is een vraag die de meeste bedrijven niet stellen: wat gebeurt er met de informatie die jullie invoeren?
Dit is geen blog om angst aan te jagen voor AI-tools. Het is een praktische uitleg van hoe het zit, zodat je als ondernemer een weloverwogen keuze kunt maken over hoe jullie team deze tools gebruikt.
Hoe het werkt bij de gratis versies
De gratis versie van ChatGPT gebruikt conversaties standaard als trainingsdata, tenzij je dit actief uitschakelt in de instellingen. Dat betekent dat de tekst die je invoert — inclusief de context, de vragen en de documenten die je deelt — potentieel gebruikt wordt om het model verder te trainen. Bij de betaalde versie van ChatGPT zijn de voorwaarden gunstiger: OpenAI stelt dat data uit de betaalde versie niet standaard wordt gebruikt voor training. Maar ook hier geldt dat de verwerkte data op servers van een derde partij staat, buiten je eigen infrastructuur.
Wat dat betekent voor GDPR
Als jullie medewerkers klantgegevens invoeren in een AI-tool — namen, e-mailadressen, projectbeschrijvingen of contractinformatie — dan is dat een verwerking van persoonsgegevens in de zin van de GDPR. Dat vereist een geldige verwerkingsgrond en, als de data wordt doorgegeven aan een derde partij buiten de EU, aanvullende garanties.
OpenAI biedt een Data Processing Agreement aan voor zakelijke klanten, maar die moet je actief afsluiten. De meeste kleine bedrijven doen dat niet, wat hen in een grijze zone plaatst als de data die wordt verwerkt persoonsgegevens bevat.
De meest voorkomende risicovolle situaties
De meeste problemen ontstaan niet uit kwade bedoelingen maar uit gewoontegedrag. Een medewerker die een klantenmail copy-past in ChatGPT om een antwoord te genereren. Een offerte die wordt ingevoerd om een samenvatting te maken. Een intern rapport over een specifieke klant dat als context wordt meegegeven. In elk van deze situaties verlaat vertrouwelijke informatie jullie eigen omgeving.
Het grootste risico bij AI-tools zit niet in de tool zelf. Het zit in het gebrek aan bewustzijn over wat er concreet in wordt gestopt.
Wat je er praktisch aan kan doen
De eerste stap is een duidelijke interne afspraak over welk type informatie al dan niet mag worden ingevoerd in externe AI-tools. Dat hoeft geen uitgebreid beleidsdocument te zijn: een simpele richtlijn van één pagina die het team begrijpt, is al een grote stap vooruit.
De tweede stap is het evalueren van de zakelijke versies van de tools die jullie team gebruikt. ChatGPT Enterprise, Copilot voor Microsoft 365 en vergelijkbare zakelijke plannen bieden sterkere privacygaranties en zijn ontworpen voor zakelijk gebruik met gevoelige data.
De derde stap is het afsluiten van de nodige verwerkersovereenkomsten met de tools die jullie formeel en zakelijk inzetten. Dat is niet alleen een compliance-oefening: het geeft ook duidelijkheid over wat er met jullie data gebeurt en wie er verantwoordelijk is als er iets misgaat.