Gevoelige data en AI-tools: do's en don'ts

Elke keer dat je informatie in een AI-tool typt, verlaat die data potentieel je organisatie. Toch plakken medewerkers dagelijks klantgegevens, financiële data en interne strategie in tools waarvan niemand de voorwaarden heeft gelezen. Dat moet anders.

Waarom dit belangrijk is

Elke keer dat je informatie invoert in een AI-tool, verlaat die data potentieel je organisatie. Bij gratis of consumentenversies van AI-tools zoals de gratis versie van ChatGPT geldt vaak dat:

• De ingevoerde data kan worden gebruikt om het model te trainen
• De data wordt opgeslagen op servers buiten Europa (veelal in de VS)
• Er geen garantie is dat de data niet door anderen kan worden ingezien
• Verwijdering van data niet altijd mogelijk of verifieerbaar is

Een enkel datalek via een AI-tool kan leiden tot AVG-boetes tot €20 miljoen of 4% van de wereldwijde omzet, reputatieschade en verlies van klantvertrouwen. Samsung ontdekte in 2023 dat medewerkers vertrouwelijke broncode hadden ingevoerd in ChatGPT, een les voor elke organisatie.

Expert-tip: De gratis versie van ChatGPT gebruikt standaard je input voor modeltraining. Bij ChatGPT Team, Enterprise en de API geldt dit niet. Controleer voor elke tool exact welke dataverwerkingsafspraken gelden. Dit staat in de Terms of Service en het Data Processing Agreement (DPA).

Drie categorieën data

Categorie 1: Vrij te gebruiken (groen)

Data die je zonder bezwaar in AI-tools kunt invoeren:

• Openbaar beschikbare informatie (gepubliceerde artikelen, publieke websites)
• Algemene vragen zonder bedrijfscontext
• Fictieve voorbeelden en geanonimiseerde data
• Conceptteksten zonder bedrijfsgevoelige details
• Openbare marktinformatie en trends

Categorie 2: Met voorzorgsmaatregelen (oranje)

Data die je kunt gebruiken mits je voorzorgsmaatregelen neemt:

• Interne processen en werkwijzen (anonimiseer eerst)
• Financiële gegevens op hoog niveau (gebruik ranges in plaats van exacte cijfers)
• Klantcommunicatie (verwijder namen en identificerende details)
• Conceptstrategie (gebruik alleen de zakelijke AI-licentie met DPA)
• Interne e-mails (verwijder persoonlijke gegevens)

Categorie 3: Nooit invoeren (rood)

Data die je nooit in een externe AI-tool mag invoeren:

• Persoonsgegevens: namen, adressen, BSN-nummers, medische gegevens
• Financiële details: bankrekeningen, creditcardnummers, exacte salarisgegevens
• Bedrijfsgeheimen: patenten in ontwikkeling, geheime recepturen, broncode van kernproducten
• Klantdata: individuele klantdossiers, contractdetails, onderhandelingsposities
• Wachtwoorden en toegangsgegevens: nooit, onder geen enkele omstandigheid
• Juridische documenten: lopende rechtszaken, vertrouwelijke overeenkomsten

Tien praktische do's

1. Gebruik de zakelijke versie van AI-tools (ChatGPT Team/Enterprise, Claude for Business, Microsoft Copilot), deze bieden betere databescherming en gebruiken data niet voor training
2. Anonimiseer altijd, vervang namen door "Persoon A", bedrijfsnamen door "Bedrijf X", en gebruik fictieve cijfers
3. Controleer de instellingen, schakel in ChatGPT onder Settings > Data Controls de optie "Improve the model" uit
4. Maak duidelijke richtlijnen, documenteer welke data in welke categorie valt voor jouw organisatie
5. Train je team, zorg dat iedereen weet welke data wel en niet gedeeld mag worden
6. Gebruik lokale alternatieven voor zeer gevoelige taken, tools als Ollama of LM Studio draaien AI-modellen lokaal op je eigen hardware
7. Controleer de output, AI kan gevoelige informatie uit eerdere inputs onthouden en reproduceren
8. Documenteer het gebruik, houd een logboek bij van welke AI-tools waarvoor worden ingezet
9. Beperk toegang, niet iedereen hoeft toegang te hebben tot alle AI-tools
10. Evalueer regelmatig, controleer elk kwartaal of je richtlijnen nog actueel zijn

Expert-tip: Maak een one-pager met de drie datacategorieën, specifiek ingevuld voor jouw organisatie. Hang deze bij de koffiemachine en deel hem digitaal. Eenvoudige, zichtbare richtlijnen worden het best nageleefd.

Vijf don'ts die vaak fout gaan

1. Geen hele documenten copy-pasten, extraheer alleen de relevante niet-gevoelige informatie
2. Geen screenshots met zichtbare persoonsgegevens, ook beelden worden verwerkt door multimodale modellen
3. Geen vertrouwelijke bijlagen uploaden, veel AI-tools ondersteunen bestandsupload, maar dat maakt de data niet veiliger
4. Geen klantgegevens in gratis tools, gebruik uitsluitend zakelijke versies met dataverwerkingsovereenkomst
5. Geen automatische integraties zonder controle, voordat je AI koppelt aan CRM, e-mail of andere systemen: controleer welke data automatisch wordt gedeeld

Een databeleid opstellen

Maak een eenvoudig, praktisch beleid voor je team:

Stap 1: Inventariseer

Welke AI-tools worden er gebruikt? Door wie? Waarvoor? Maak een overzicht. Vergeet niet de tools die medewerkers op eigen initiatief gebruiken (shadow AI).

Stap 2: Classificeer

Pas de drie-categorieën-methode (groen, oranje, rood) toe op de datatypes die in jouw organisatie voorkomen.

Stap 3: Kies goedgekeurde tools

Selecteer maximaal drie tot vijf goedgekeurde AI-tools met zakelijke licenties en dataverwerkingsovereenkomsten (DPA's).

Stap 4: Communiceer en train

Deel het beleid met iedereen en geef concrete voorbeelden van wat wel en niet mag per categorie.

Stap 5: Handhaaf en evalueer

Stel een verantwoordelijke aan die vragen beantwoordt en het beleid elk kwartaal evalueert.

Veelgemaakte fouten

• Alleen vertrouwen op beleid zonder training, Richtlijnen die niemand kent, werken niet. Combineer beleid met praktische training en concrete voorbeelden
• [Shadow AI](/tips/shadow-ai-risicos-bedrijf) negeren, Medewerkers die privé ChatGPT gebruiken voor werkdata vallen buiten je controle. Bied een goedgekeurd alternatief aan
• Geen DPA afsluiten, Onder de AVG is een dataverwerkingsovereenkomst verplicht. Controleer of deze is afgesloten voor elke AI-tool die je zakelijk gebruikt
• Anonimisering vergeten bij testdata, Ook bij het testen van AI-workflows moet je echte klantdata anonimiseren
• Incident-respons niet voorbereid, Stel een procedure op voor het geval er toch gevoelige data in een AI-tool terechtkomt: wie moet je informeren, welke stappen volg je?

Direct aan de slag

1. Plan deze week een teamoverleg van dertig minuten
2. Bespreek de drie datacategorieën en bepaal samen welke bedrijfsgegevens in welke categorie vallen
3. Maak een one-pager met de classificatie en deel deze met het hele team
4. Controleer of je zakelijke AI-tools een DPA hebben
5. Stel een verantwoordelijke aan voor het AI-databeleid

Dit ene gesprek kan je organisatie beschermen tegen kostbare fouten.

Lees ook

• AVG-checklist voor dagelijks AI-gebruik
• Welke data mag je wel en niet delen met AI?
• AI security best practices voor bedrijven

Veelgestelde vragen

Is de enterprise-versie van ChatGPT veilig voor gevoelige bedrijfsdata?

ChatGPT Enterprise en Team bieden betere databescherming dan de gratis versie: je data wordt niet gebruikt voor modeltraining en er gelden zakelijke voorwaarden met een dataverwerkingsovereenkomst (DPA). Toch betekent dit niet dat je alle data zonder nadenken kunt invoeren, persoonsgegevens, bedrijfsgeheimen en wachtwoorden horen ook in de enterprise-versie niet thuis. Controleer altijd de specifieke DPA-voorwaarden en classificeer je data vooraf.

Zijn lokale AI-modellen een goed alternatief voor gevoelige data?

Ja, tools als Ollama en LM Studio draaien AI-modellen volledig lokaal op je eigen hardware, waardoor data je organisatie nooit verlaat. Dit is ideaal voor zeer gevoelige toepassingen zoals het analyseren van contracten of personeelsdossiers. Het nadeel is dat lokale modellen doorgaans minder krachtig zijn dan cloud-gebaseerde modellen en meer technische kennis vereisen om op te zetten en te onderhouden.

Hoe train je medewerkers in het veilig omgaan met data in AI-tools?

Begin met een korte, praktische sessie van dertig minuten waarin je de drie datacategorieën (groen, oranje, rood) bespreekt met concrete voorbeelden uit je eigen organisatie. Maak een visuele one-pager die medewerkers bij hun werkplek kunnen hangen en deel deze digitaal. Herhaal de training elk kwartaal en bespreek eventuele incidenten of nieuwe inzichten, eenvoudige, zichtbare richtlijnen worden het best nageleefd.