AI en privacy: wat mag je als MKB-ondernemer wel en niet delen met ChatGPT of Claude?

AI en privacy: wat mag je als MKB-ondernemer wel en niet delen met ChatGPT of Claude?

AI-tools als ChatGPT en Claude besparen je dagelijks uren werk, maar ze roepen ook een terechte vraag op: wat mag je er eigenlijk in stoppen? Voor MKB-ondernemers in Nederland is AI privacy geen bijzaak. De AVG legt concrete verplichtingen op, en als je klantdata of personeelsinformatie onzorgvuldig deelt met een extern AI-platform, loop je risico op boetes, reputatieschade en verlies van vertrouwen. Dit artikel geeft je een helder kader: wat kun je veilig gebruiken, wat moet je vermijden, en hoe blijf je ChatGPT AVG-compliant inzetten zonder dat je er een jurist voor nodig hebt.

Waarom AI privacy voor MKB een serieus thema is

De meeste ondernemers denken bij privacyrisico's aan grote datalekken bij multinationals. Maar de AVG geldt voor elk bedrijf dat persoonsgegevens verwerkt, ook jouw bedrijf met tien medewerkers. Wanneer je een tekst in ChatGPT plakt met daarin de naam, het e-mailadres of de financiële situatie van een klant, stuur je die gegevens naar de servers van OpenAI in de Verenigde Staten. Dat is technisch gezien een doorgifte van persoonsgegevens buiten de Europese Economische Ruimte.

OpenAI en Anthropic (het bedrijf achter Claude) hebben inmiddels verwerkersovereenkomsten beschikbaar en bieden zakelijke abonnementen aan waarbij trainingsdata wordt afgeschermd. Maar de standaard gratis versie van ChatGPT valt daar niet automatisch onder. Hetzelfde geldt voor de gratis variant van Claude. Als je als ondernemer niet bewust hebt nagedacht over welk account je gebruikt en welke data je deelt, ben je waarschijnlijk niet compliant.

Wat je veilig kunt delen met ChatGPT of Claude

De gulden regel is eenvoudig: deel geen informatie waarmee een persoon direct of indirect identificeerbaar is, tenzij je de juiste juridische basis en technische maatregelen hebt getroffen.

Wat je zonder grote risico's kunt gebruiken in AI-tools:

• Anonieme teksten en documenten zonder namen, e-mailadressen of klantnummers
• Interne processen, werkwijzen en procesbeschrijvingen die geen persoonsgegevens bevatten
• Marketingteksten, productteksten en websitecopy op basis van fictieve voorbeelden
• Brainstormsessies over strategie, productontwikkeling of communicatie
• Vragen over wet- en regelgeving in algemene zin
• Code, formules of technische documentatie zonder klantspecifieke data

Zolang je werkt met geanonimiseerde of volledig fictieve informatie, gebruik je de AI als een slimme tekstverwerker. Dat is precies waarvoor het bedoeld is in de meeste dagelijkse situaties.

Wat je beter niet deelt: klantdata en persoonsgegevens

Hier wordt het concreet. Klantdata in AI-tools is een grijs gebied dat snel rood wordt als je niet oplet. Persoonsgegevens zijn breder dan je denkt: een naam gecombineerd met een functietitel en bedrijfsnaam is al een persoonsgegeven. Een e-mailadres is er één. Een IP-adres ook.

Wat je niet zomaar in een standaard AI-tool stopt:

• Klantcontactgegevens: namen, adressen, telefoonnummers, e-mailadressen
• Financiële gegevens van klanten of leveranciers
• Medische of gezondheidsgegevens (bijzondere categorie onder de AVG)
• Personeelsdossiers, beoordelingen of salarisgegevens
• BSN-nummers of andere identificatienummers
• Contracten met persoonsgegevens van klanten of medewerkers

Stel je voor dat je een klantgesprek wil samenvatten met Claude. Als je de ruwe transcript plakt, inclusief naam, bedrijf en contactgegevens van de klant, verwerk je persoonsgegevens via een externe partij zonder dat je daarvoor een geldige verwerkersovereenkomst hebt afgesloten op het account dat je gebruikt. Dat is een AVG-overtreding, ook als je er niets kwaads mee voor hebt.

Wat als je toch klantdata wil gebruiken voor AI-taken?

Er zijn situaties waarbij je echt klantspecifieke informatie nodig hebt om een AI-taak goed uit te voeren, denk aan het automatisch verwerken van klantvragen, het analyseren van orderdata of het opstellen van gepersonaliseerde offertes. In die gevallen zijn er twee routes die wel werken.

De eerste route is een zakelijk account met verwerkersovereenkomst. ChatGPT Team en ChatGPT Enterprise bieden een Data Processing Agreement (DPA) aan. Hetzelfde geldt voor Claude via de API van Anthropic en voor Gemini via Google Workspace. Met zo'n overeenkomst heb je een juridische basis om persoonsgegevens te verwerken, mits je dit ook vermeldt in je privacyverklaring en verwerkingsregister.

De tweede route is lokale verwerking via een privé-model of een zelfgehoste oplossing. Met tools als n8n kun je AI-workflows bouwen waarbij de data niet naar een externe cloudserver gaat, maar binnen jouw eigen infrastructuur blijft. Dit vraagt meer technische inrichting, maar geeft je volledige controle over waar klantdata naartoe gaat.

Hoe je een AVG-compliant werkwijze opbouwt voor AI-gebruik

AVG-compliant werken met AI begint niet bij de techniek, maar bij bewustzijn en beleid. Dat klinkt zwaar, maar voor een MKB-bedrijf hoeft het niet ingewikkeld te zijn.

Start met een eenvoudig overzicht van welke AI-tools je team gebruikt en voor welke taken. Vervolgens kijk je per tool of er een verwerkersovereenkomst beschikbaar is en of je die hebt afgesloten. Daarna stel je een korte interne richtlijn op: welke data mag wel in de tool, welke niet. Dat document hoeft niet meer dan één A4 te zijn.

Praktisch gezien helpt het om standaardtemplates te maken voor veelvoorkomende AI-taken waarbij persoonsgegevens zijn geanonimiseerd. Wil je een klantcase als voorbeeld gebruiken voor een marketingtekst? Vervang de naam door "een klant in de logistieke sector" en het probleem door een generieke omschrijving. De AI heeft die specifieke details toch niet nodig om goed werk te leveren.

Wat doet de Autoriteit Persoonsgegevens met AI-overtredingen?

De Autoriteit Persoonsgegevens (AP) heeft AI expliciet benoemd als prioriteit in haar toezichtsstrategie. In 2024 en 2025 zijn er meerdere onderzoeken gestart naar het gebruik van AI-tools door bedrijven en overheden. De AP kijkt daarbij niet alleen naar grote organisaties. MKB-bedrijven die klantdata onzorgvuldig verwerken via AI-tools kunnen een boete krijgen, maar ook een aanwijzing of een last onder dwangsom. Het risico is reëel, en de kans dat het onopgemerkt blijft neemt af naarmate AI-gebruik groeit.

AI en privacy hoeven geen tegenstelling te zijn

De meeste MKB-ondernemers gebruiken AI met de beste bedoelingen: efficiënter werken, betere output, meer tijd voor wat er echt toe doet. AI privacy en productief werken met AI-tools sluiten elkaar niet uit. Het gaat om bewuste keuzes: het juiste account, een verwerkersovereenkomst waar nodig, en een heldere interne afspraak over wat wel en niet de tool ingaat.

Met de juiste inrichting kun je ChatGPT, Claude en Gemini vol inzetten voor je bedrijfsprocessen, zonder dat je de AVG aan je laars lapt of klanten in gevaar brengt. Het vraagt een middag werk om het goed te regelen, en het voorkomt problemen die je maanden kunnen kosten.

Wil je weten hoe jouw bedrijf AI-tools veilig en effectief kan inzetten, inclusief de juiste privacyafspraken en een werkende automatisering? Plan een gratis discovery call via 5cagency.nl. We kijken samen naar jouw situatie en geven je een concreet advies zonder verplichtingen.