Welke data mag je wel en niet delen met AI?

Je collega plakt een klantenlijst in ChatGPT om snel een mailing te maken. Handig? Zeker. Toegestaan? Waarschijnlijk niet. Het verschil tussen "mag wel" en "mag absoluut niet" hangt af van het type data, en die grens is scherper dan je denkt.

Het stoplichtmodel voor AI-data

Om het overzichtelijk te maken, gebruiken we een stoplichtmodel met drie categorieën: groen (veilig), oranje (met voorzorgsmaatregelen), en rood (nooit delen).

Expert tip: Print het stoplichtmodel uit en hang het naast je beeldscherm. Na twee weken denk je er automatisch aan en wordt veilige data-classificatie een tweede natuur.

🟢 Groen: Veilig om te delen

Dit is informatie die al openbaar is of geen schade kan veroorzaken als het uitlekt.

Voorbeelden:

• Gepubliceerde website-content en blogartikelen
• Openbare productinformatie en prijslijsten
• Algemene branchekennis en marktinformatie
• Fictieve scenario's en voorbeelddata
• Openbaar beschikbare onderzoeksrapporten
• Jouw eigen ideeën en conceptteksten (zonder vertrouwelijke details)
• Grammatica- en stijlcorrecties van niet-gevoelige teksten

Gebruik: Vrij te gebruiken in elke AI-tool, inclusief gratis versies.

🟠 Oranje: Alleen met voorzorgsmaatregelen

Dit is interne bedrijfsinformatie die niet openbaar is maar ook niet strikt vertrouwelijk.

Voorbeelden:

• Interne procesdocumentatie
• Vergadernotities (na anonimisering)
• Conceptvoorstellen en brainstormsessies
• Interne communicatie (na het verwijderen van namen en specifieke details)
• Projectplannen zonder financiële details
• Functionele beschrijvingen zonder persoonsgegevens
• Performance-data op afdelingsniveau (niet individueel)

Voorzorgsmaatregelen:

1. Anonimiseer alle persoonsgegevens
2. Verwijder specifieke financiële cijfers
3. Gebruik bij voorkeur een zakelijke AI-tool met verwerkersovereenkomst
4. Schakel de "training op je data" optie uit
5. Verwijder de chat na gebruik

🔴 Rood: Nooit delen

Dit is informatie waarbij openbaarmaking directe schade kan veroorzaken voor personen, klanten, of je organisatie.

Nooit invoeren in AI-tools:

Persoonsgegevens:

• Namen gekoppeld aan gevoelige informatie
• BSN, paspoortnummers, rijbewijsnummers
• Medische gegevens of gezondheidsdata
• Religieuze, politieke of seksuele voorkeur
• Strafrechtelijke gegevens
• Biometrische data

Bedrijfsgegevens:

• Wachtwoorden, API-sleutels, toegangscodes
• Intellectueel eigendom en patentaanvragen
• Ongebuliceerde financiële resultaten
• Fusie- en overnameinformatie
• Strategische plannen die koersgevoelig zijn
• Broncode van propriëtaire software
• Juridische documenten in lopende procedures

Klantgegevens:

• Klantdatabases en CRM-exports
• Contracten en overeenkomsten met klanten
• Klachtenregistraties met persoonsgegevens
• Betalingsgegevens en factuurdetails

Praktische anonimiseringstechnieken

Als je data in de oranje-categorie wilt gebruiken, zijn hier effectieve anonimiseringstechnieken:

Techniek 1: Zoek-en-vervang

Vervang alle namen, bedrijfsnamen en specifieke nummers door placeholders.

Voor: "Jan Bakker van TechCorp BV (klantnummer 789012) heeft een klacht ingediend over factuur €15.340."

Na: "Klant A van Bedrijf X (klantnummer [XXXX]) heeft een klacht ingediend over een factuur van [bedrag]."

Techniek 2: Generalisatie

Maak specifieke informatie algemener.

Voor: "De afdeling Marketing in ons kantoor in Amsterdam heeft een budget van €340.000."

Na: "Een afdeling in een van onze kantoren heeft een budget in de range €300-400K."

Expert tip: Als je twijfelt over een datatype, gebruik dan de scenario-gebaseerde aanpak: beschrijf de situatie hypothetisch zonder echte namen, cijfers of bedrijfsgegevens. Je krijgt vrijwel dezelfde kwaliteit advies zonder enig privacyrisico.

Techniek 3: Scenario-gebaseerd vragen

In plaats van echte data te delen, beschrijf je een fictief maar vergelijkbaar scenario.

In plaats van: "Beoordeel dit contract met Leverancier BV voor de levering van 500 servers."

Gebruik: "Ik heb een hypothetisch scenario: een bedrijf overweegt een contract voor de levering van IT-hardware. Het contract bevat de volgende clausules: [beschrijf de clausules zonder specifieke namen of bedragen]."

AI-tool instellingen controleren

ChatGPT

• Ga naar Instellingen → Data Controls
• Schakel "Improve the model for everyone" uit als je dat niet wilt
• Met ChatGPT Enterprise of Team worden je data standaard niet voor training gebruikt

Claude

• Controleer je workspace-instellingen
• Claude Pro gebruikt standaard geen conversatiedata voor training
• Bij de API worden data niet voor training gebruikt

Microsoft Copilot

• Bij zakelijk gebruik via Microsoft 365 worden data beschermd door de Microsoft-servicevoorwaarden
• Controleer de tenant-instellingen met je IT-afdeling

Google Gemini

• Controleer de Gemini Apps Activity-instellingen
• Bij Gemini for Google Workspace gelden de bestaande Google Workspace-privacy-instellingen

De "krantenkop-test"

Een eenvoudige maar krachtige vuistregel: stel je voor dat de data die je in de AI-tool invoert op de voorpagina van de krant belandt. Zou dat een probleem zijn?

• "Bedrijf zoekt AI-hulp bij het schrijven van een blogpost" → Geen probleem ✅
• "Medewerkersgegevens van 500 personen ingevoerd in gratis AI-tool" → Groot probleem ❌
• "Bedrijf gebruikt AI om interne processen te verbeteren met geanonimiseerde data" → Acceptabel ✅

Aanvullende vuistregels

1. De "zou ik dit mailen naar een vreemde"-test: Als je de data niet naar een willekeurig e-mailadres zou sturen, voer het dan ook niet in een AI-tool in.

1. De "wat als het uitlekt"-test: Stel je voor dat alle data die je invoert openbaar wordt. Wat zou de impact zijn? Als het antwoord "serieus" is, deel het dan niet.

1. De "terugdraai-test": Kun je de gevolgen ongedaan maken als de data onbedoeld wordt gedeeld? Lees ook onze AI security best practices voor een complete beveiligingsaanpak. Bij wachtwoorden kun je ze wijzigen. Bij medische gegevens niet.

Wat te doen bij een fout

Heb je per ongeluk gevoelige data in een AI-tool ingevoerd? Onderneem direct actie:

1. Verwijder de chat, Wis de conversatie in de AI-tool
2. Meld het, Informeer je leidinggevende en privacy-officer
3. Documenteer, Noteer wat je hebt ingevoerd, in welke tool, en wanneer
4. Beoordeel het risico, Bepaal samen met de privacy-officer of er sprake is van een datalek dat gemeld moet worden
5. Leer ervan, Bespreek met je team hoe je dit in de toekomst voorkomt

Direct toepassen

Ga je eerstvolgende AI-sessie in met het stoplichtmodel in gedachten. Categoriseer je input als groen, oranje of rood voordat je het invoert. Het kost vijf seconden extra nadenken en beschermt je organisatie tegen potentieel grote problemen.

Lees ook

• AVG-checklist voor dagelijks AI-gebruik
• Gevoelige data en AI-tools: do's en don'ts
• AI-beleid voor je organisatie: praktisch template

Veelgestelde vragen

Mag je financiële bedrijfsdata delen met AI?

Openbare financiële data zoals gepubliceerde jaarverslagen of algemene branchecijfers kun je veilig delen. Interne financiële gegevens zoals ongebuliceerde kwartaalcijfers, budgetten of marges zijn vertrouwelijk en horen niet in een AI-tool. Wil je toch financiële analyses maken, gebruik dan afgeronde of geanonimiseerde cijfers en beschrijf de situatie in relatieve termen.

Hoe zit het met medewerkersdata in AI-tools?

Medewerkersgegevens vallen onder de AVG en mogen nooit herkenbaar in AI-tools worden ingevoerd. Dit geldt voor namen, salarissen, beoordelingen, ziekmeldingen en andere HR-gerelateerde informatie. Als je advies nodig hebt over een personeelskwestie, beschrijf dan de situatie met rollen in plaats van namen en laat specifieke details weg.

Wat is het verschil in veiligheid tussen gratis en betaalde AI-tools?

Gratis versies van AI-tools gebruiken je invoer vaak voor modeltraining, wat betekent dat je data kan opduiken in antwoorden aan andere gebruikers. Betaalde zakelijke versies (Enterprise, Team) bieden doorgaans een verwerkersovereenkomst, gebruiken je data niet voor training, en slaan gegevens binnen de EU op. Investeer in een zakelijk account zodra je regelmatig met bedrijfsinformatie werkt.