AI-privacy voor MKB: welke data deelt jouw bedrijf eigenlijk met OpenAI en Anthropic?

AI-privacy voor MKB: welke data deelt jouw bedrijf eigenlijk met OpenAI en Anthropic?

AI-privacy voor MKB is geen theoretisch vraagstuk meer. Het is de eerste vraag die elke directeur stelt voordat er ook maar één prompt wordt getypt: blijft mijn klantdata privé? En terecht. Want de standaardinstellingen van ChatGPT, Claude en Gemini zijn niet ontworpen met jouw klantenbestand in gedachten. Dit artikel geeft je een concreet overzicht van wat elk platform opslaat, wat er gebruikt wordt voor modeltraining, hoe je dat uitzet, en wanneer je een volledig andere aanpak nodig hebt. Geen juridisch jargon, wel bruikbare antwoorden.

Wat er standaard gebeurt met jouw data

De meeste ondernemers beginnen met de gratis of betaalde consumentenversie van ChatGPT, Claude of Gemini. Dat is begrijpelijk, want die zijn laagdrempelig. Maar juist die versies hebben de meest ruime dataverwerkingsvoorwaarden.

Bij ChatGPT (OpenAI) in de standaard consumentenversie, dus via chatgpt.com zonder enterprise-abonnement, worden je gesprekken standaard opgeslagen en kunnen ze gebruikt worden om het model te verbeteren. OpenAI bewaart deze data tot 30 dagen voor veiligheidscontroles, maar de inhoud van gesprekken kan langer worden bewaard als je dat niet actief uitzet. Je kunt in de instellingen "Improve the model for everyone" uitschakelen, maar dan nog blijft gespreksgeschiedenis bewaard tenzij je ook dat handmatig uitzet.

Bij Claude (Anthropic) via de consumenteninterface op claude.ai geldt een vergelijkbaar verhaal. Anthropic slaat gesprekken op en gebruikt die voor productontwikkeling, tenzij je een betaald abonnement hebt en de juiste instellingen activeert. De privacypagina van Anthropic is transparanter dan die van veel concurrenten, maar de standaardinstellingen zijn niet ingericht op bedrijfsgevoelige data.

Gemini (Google) via de gratis interface integreert met je Google-account. Dat betekent dat Google in principe jouw gespreksdata kan koppelen aan andere data die zij over jou hebben. Voor zakelijk gebruik zonder Google Workspace Enterprise-licentie is dit bijzonder onverstandig als je met klantgegevens werkt.

Het verschil tussen API en consumentenversie

Dit is het cruciale onderscheid dat veel ondernemers missen. Zodra je de API gebruikt van OpenAI of Anthropic, veranderen de spelregels ingrijpend.

OpenAI stelt in haar API-gebruiksvoorwaarden expliciet dat data die via de API wordt verstuurd niet wordt gebruikt voor modeltraining, tenzij je daar expliciet toestemming voor geeft. Hetzelfde geldt voor Anthropic. Via de Claude API worden jouw prompts en outputs standaard niet ingezet voor het trainen van nieuwe modellen. OpenAI bewaart API-data maximaal 30 dagen voor misbruikdetectie, daarna wordt het verwijderd.

Voor een MKB-bedrijf betekent dit concreet: als je via een tool zoals n8n, Make of een maatwerk-integratie de API aanspreekt in plaats van de chatinterface te gebruiken, heb je aanzienlijk meer controle over wat er met jouw data gebeurt. Dat is geen marginaal verschil, dat is het verschil tussen data die potentieel in een trainingsset terechtkomt en data die dat niet doet.

Wanneer is de API voldoende bescherming?

Voor de meeste MKB-bedrijven in dienstverlening of e-commerce is de API-aanpak voldoende, mits je aan een aantal basisvoorwaarden voldoet. Je verwerkt geen bijzondere persoonsgegevens zoals medische dossiers of BSN-nummers via de API zonder aanvullende maatregelen. Je hebt een verwerkersovereenkomst getekend met de aanbieder, want OpenAI en Anthropic bieden die aan voor zakelijk gebruik. En je stuurt geen volledige klantenbestanden door als context, maar werkt met geanonimiseerde of geminimaliseerde data.

ChatGPT data veilig gebruiken: de praktische stappen

Als je toch met de ChatGPT-interface werkt, of als medewerkers dat doen, zijn er concrete stappen die je vandaag kunt zetten.

Schakel gespreksgeschiedenis uit via Instellingen, Data Controls, "Improve the model for everyone". Dit voorkomt dat jouw input als trainingsdata wordt ingezet. Gebruik ChatGPT Team of ChatGPT Enterprise als je een team hebt: bij die abonnementen worden gesprekken standaard niet gebruikt voor training en heb je beheerdersrechten om beleid af te dwingen. Bij Enterprise geldt bovendien dat data niet buiten je organisatie gaat voor trainingsprocessen.

Voor Claude geldt: gebruik Claude for Work of de API met een zakelijk account. Anthropic biedt voor zakelijke gebruikers een Data Processing Agreement aan, wat noodzakelijk is als je persoonsgegevens verwerkt en onder de AVG valt.

Wanneer heb je een self-hosted of EU-only setup nodig?

Er zijn situaties waarin de API van OpenAI of Anthropic simpelweg niet de juiste oplossing is. Dat is het geval als je werkt in een sector met strenge datagelokalisatievereisten, zoals de zorg, financiële dienstverlening of juridische sector. Het is ook het geval als je klanten expliciet hebben vastgelegd dat hun data de EU niet mag verlaten, of als jouw eigen ISO- of NEN-certificering dat vereist.

In die situaties zijn er twee routes. De eerste is n8n self-hosted: je draait de automatiseringslaag op je eigen server of een EU-datacenter, en koppelt die aan een lokaal gehost taalmodel. Denk aan open-source modellen die je op eigen infrastructuur draait, gecombineerd met n8n als orkestratietool. Geen data verlaat jouw omgeving.

De tweede route is het gebruik van Azure OpenAI Service of Google Vertex AI, waarbij de modellen van OpenAI en Google worden aangeboden vanuit EU-datacenters onder Europese contractvoorwaarden. Microsoft Azure biedt bijvoorbeeld de mogelijkheid om GPT-4o te draaien vanuit een datacenter in Nederland of Ierland, met een verwerkersovereenkomst die AVG-compliant is en waarbij jouw data niet wordt gebruikt voor modelverbetering.

Wat betekent de EU AI Act praktisch voor jou?

De EU AI Act, die gefaseerd in werking treedt, verplicht aanbieders van AI-systemen tot transparantie over hoe modellen werken en welke data er gebruikt is. Voor MKB-bedrijven die AI inzetten als gebruiker, niet als ontwikkelaar, zijn de directe verplichtingen beperkt. Maar de wet versterkt wel jouw positie als klant: aanbieders moeten duidelijker zijn over datagebruik, en je hebt meer grond om verwerkersovereenkomsten te eisen. Praktisch gezien betekent dit dat je bij elke AI-tool die je inzet moet kunnen aantonen dat je weet welke data er wordt verwerkt en op welke basis.

AI data bescherming voor jouw bedrijf: een werkbare aanpak

Je hoeft geen IT-jurist te zijn om dit goed te regelen. Een werkbare aanpak voor een MKB-bedrijf ziet er als volgt uit. Begin met een inventarisatie: welke medewerkers gebruiken welke AI-tools, en welke data typen ze in? Daarna stap je over van consumentenversies naar zakelijke abonnementen of de API, teken je verwerkersovereenkomsten met OpenAI of Anthropic, en leg je in een korte interne richtlijn vast wat wel en niet in een prompt mag. Voor de meeste bedrijven is dat binnen een paar weken geregeld.

Werk je in een sector met strengere eisen, dan kijk je naar Azure OpenAI vanuit een EU-datacenter of een self-hosted setup met n8n. Welke route bij jouw bedrijf past, hangt af van je data, je klanten en je certificeringen. Wil je daar een concreet advies over? Plan een gratis discovery call, dan brengen we het samen in kaart.