Jouw medewerkers gebruiken ChatGPT. Waarschijnlijk al een tijdje. En dat is prima — AI-tools maken werk sneller en beter. Maar er is één probleem: de meeste mensen typen alles in wat ze nodig hebben, zonder na te denken over wat er met die informatie gebeurt.

De realiteit: ChatGPT slaat jouw prompts op en gebruikt ze standaard voor het trainen van nieuwe versies. Bij de gratis versie altijd. Bij de betaalde versie tenzij je dit uitschakelt. En bij de zakelijke versie (ChatGPT Team of Enterprise) gelden andere voorwaarden — maar die heeft lang niet iedereen.

Eén medewerker die onbewust persoonsgegevens invoert kan een AVG-overtreding opleveren. Geen intentie nodig — nalatigheid volstaat.

Let op

Dit geldt ook voor andere AI-tools: Gemini, Copilot (gratis versie), Claude.ai (gratis), en vrijwel alle AI-assistenten die medewerkers zelf installeren. De regels hieronder zijn breed toepasbaar.

Dit typ je NIET in ChatGPT

5 categorieën die je uit ChatGPT houdt

Klantgegevens en persoonsgegevens Namen, adressen, e-mailadressen, telefoonnummers van klanten of relaties. "Schrijf een mail naar Jan de Vries van Bedrijf X" — nooit doen met echte namen.
Gevoelige persoonsinformatie BSN-nummers, medische gegevens, salarisinfo, beoordelingsverslagen van medewerkers, sollicitatiebrieven met namen erin.
Vertrouwelijke bedrijfsdocumenten Strategieën, offertes, contracten, financiële rapporten, interne beleidsnotities. Niet samenvatten, niet herschrijven, niet in ChatGPT plakken.
Inloggegevens en API-sleutels Wachtwoorden, tokens, API-sleutels, toegangscodes. Komt vaker voor dan je denkt bij developers en IT-medewerkers.
Gegevens van sollicitanten CV's met namen erin, motivatiebrieven, assessmentresultaten. HR-medewerkers zijn een risicogroep — sollicitantendata valt onder de AVG.

Wat mag dan wél?

Gelukkig is er veel wat je prima kunt doen met ChatGPT op werk — zolang je de informatie anonimiseert of generaliseert.

Veilig gebruik op de werkvloer

Teksten herschrijven of verbeteren — zonder namen of gevoelige details erin
Sjablonen en voorbeeldteksten genereren ("schrijf een voorbeeld-onboarding mail")
Brainstormen over aanpak of structuur — zonder inhoudelijke vertrouwelijke details
Samenvatten van publiek beschikbare informatie of eigen anonieme notities
Geanonimiseerde scenario's uitwerken ("stel, een medewerker meldt zich ziek na een conflict...")
Code schrijven of debuggen — zolang er geen echte klantdata of sleutels in zitten

De zakelijke versie lost niet alles op

ChatGPT Team en Enterprise gebruiken jouw data niet voor training — dat is een belangrijk verschil. Maar ook dan geldt: je hebt een verwerkersovereenkomst nodig met OpenAI als je persoonsgegevens verwerkt. En die overeenkomst moet jouw medewerkers ook beschermen.

Bovendien: zelfs met de juiste tools heb je beleid nodig. Want tools veranderen hun voorwaarden. Medewerkers wisselen van tool. En "we gebruikten de betaalde versie" is geen verweer als je geen interne richtlijnen kunt tonen.

Wat dit betekent voor jouw organisatie

Je hoeft geen AI-expert te zijn om dit goed te regelen. Je hebt drie dingen nodig:

  1. Een korte richtlijn — wat mogen medewerkers wél en niet invoeren in AI-tools
  2. Een tooloverzicht — welke AI-tools worden gebruikt en door wie
  3. Basistraining — zodat iedereen begrijpt waarom dit belangrijk is (en niet alleen een regel volgt die ze niet snappen)

De AI Act verplicht dit sowieso al via Artikel 4 (AI-geletterdheid). Privacy-bewust AI-gebruik is onderdeel van die verplichting.

"Ik dacht dat ChatGPT gewoon een zoekmachine was." — Dit hoor ik regelmatig in trainingen. Het is het vertrekpunt voor elk gesprek over AI-beleid.

Medewerkers doen dit niet met kwade bedoelingen. Ze weten het gewoon niet. Dat is precies waarom training en beleid hand in hand gaan.

Weet jij of jouw organisatie dit al geregeld heeft?

Doe de gratis AI Act Scan — 6 vragen, 2 minuten, direct resultaat. Inclusief check op AI-beleid en training.

Doe de gratis AI Act Scan