ChatGPT op het werk: mag het, en wat met je data?

Het gebeurt nu al, op jouw kantoor, terwijl je dit leest. Iemand plakt een klantmail in ChatGPT om er netjes antwoord op te formuleren. Een collega laat een contract samenvatten. De boekhouder vraagt om een nette tabel uit een lijst met namen en bedragen. Geen kwade wil, gewoon mensen die hun werk sneller af willen hebben. De vraag is niet of medewerkers ChatGPT op het werk gebruiken. De vraag is wat er gebeurt met de bedrijfsdata die ze erin plakken, en of dat mag onder de AVG.

Dit artikel gaat over gedrag en risico, niet over een tool-vergelijking. Wil je weten welke zakelijke AI-omgeving technisch het beste past, lees dan ons artikel Private AI vs ChatGPT Enterprise voor MKB. Hier draait het om de vraag die elke MKB-ondernemer eigenlijk stelt: mag mijn team dit, en hoe houd ik mijn data binnen.

/ 01Mag het

Mag ChatGPT op het werk?

Kort antwoord: het gebruik van ChatGPT op het werk is op zichzelf niet verboden. Er is geen wet die zegt dat een medewerker geen AI-chatbot mag openen. Het wordt pas een probleem zodra er persoonsgegevens of vertrouwelijke bedrijfsinformatie in gaan. Dan is het niet meer de medewerker die een keuze maakt, maar de werkgever die verantwoordelijk wordt voor een verwerking van persoonsgegevens die hij niet heeft afgesproken en niet kan controleren.

Het verschil zit in wat je invoert. Een medewerker die vraagt om een synoniem of een formule in Excel doet niets riskants. Een medewerker die een klantdossier, een cv van een sollicitant of een ledenlijst in een gratis chatbot plakt, verwerkt persoonsgegevens via een dienst waarmee het bedrijf geen verwerkersovereenkomst heeft en waarvan niemand weet waar de data heen gaat. Dat laatste is wat de Autoriteit Persoonsgegevens als datalek terugziet.¹

/ 02Je data

Wat gebeurt er met je ingevoerde data

Bij de gratis versie van ChatGPT geldt standaard dat ingevoerde tekst kan worden gebruikt om de modellen van de aanbieder te verbeteren. Dat betekent niet dat jouw contract morgen letterlijk uit de chatbot van een concurrent rolt, maar het betekent wel dat de tekst de deur uit is, op servers staat buiten jouw beheer, en niet zomaar terug te halen of te wissen is. Voor een ledenlijst, een offerte of een personeelsdossier is dat precies wat je niet wilt.

Bij de zakelijke varianten ligt dat fundamenteel anders. Voor ChatGPT Team, ChatGPT Enterprise en de API geldt dat de aanbieder standaard niet traint op wat je invoert of wat eruit komt.² Dat is het verschil tussen een privé-account dat iemand even opent en een ingerichte zakelijke omgeving met een verwerkersovereenkomst. Het probleem in de praktijk is dat medewerkers de gratis versie pakken juist omdat die gratis en direct is, terwijl de organisatie denkt dat het wel meevalt.

Dit is geen theoretisch risico. In 2023 verbood Samsung intern het gebruik van ChatGPT nadat ingenieurs binnen enkele weken meerdere keren broncode en interne notities in de chatbot hadden geplakt, data die daarmee de bedrijfsmuren uit was.³ Een groot technologiebedrijf met een securityteam liep hier tegenaan. Een MKB-bedrijf zonder beleid loopt hetzelfde risico, alleen merkt het bedrijf het meestal pas als het te laat is.

/ 03AVG

Wat de AVG hiervan vindt

Onder de AVG is de werkgever verantwoordelijk voor de persoonsgegevens die binnen zijn organisatie worden verwerkt. Niet de medewerker, niet de AI-aanbieder in eerste instantie, maar het bedrijf. Als iemand zonder afspraak klantgegevens in een gratis chatbot zet, is dat een verwerking zonder grondslag, zonder verwerkersovereenkomst en zonder grip op de opslaglocatie. Dat kan een te melden datalek zijn.

De Autoriteit Persoonsgegevens heeft hier expliciet voor gewaarschuwd. Het aantal datalekmeldingen door ongeoorloofd gebruik van gratis chatbots neemt toe, vooral doordat medewerkers de gratis variant pakken in plaats van de zakelijke versie die de werkgever betaalt.¹ De kern van het advies van de AP is nuchter: maak heldere afspraken met je medewerkers over het gebruik van AI-chatbots, leg een verbod op het delen van gevoelige gegevens vast, en regel waar mogelijk technische blokkades.

Voor de bredere AVG-checklist rond AI op de werkvloer, van grondslag tot verwerkersovereenkomst tot logging, zie ons artikel AVG en je AI-werkplek: wat moet je geregeld hebben.

/ 04Schaduw-AI

Schaduw-AI: het echte risico

Schaduw-AI is AI-gebruik dat buiten het zicht van de organisatie gebeurt. Geen beleid, geen afspraken, geen logging, geen idee welke data waar terechtkomt. Het ontstaat niet omdat medewerkers de regels willen omzeilen, maar omdat ze een probleem op willen lossen en niemand ze een veilige weg heeft gewezen. Een verbod zonder alternatief versterkt schaduw-AI juist: het gebruik verdwijnt niet, het verdwijnt alleen uit beeld.

Onderzoek laat zien hoe normaal dit inmiddels is. Een veelgenoemde meting toonde dat een aanzienlijk deel van de data die medewerkers in ChatGPT plakken vertrouwelijk is, met percentages rond elf procent vertrouwelijke inhoud van wat geplakt wordt.⁴ Dat is geen randverschijnsel. Dat is dagelijkse praktijk in vrijwel elke organisatie die geen afspraken heeft gemaakt.

Het ironische is dat schaduw-AI ontstaat in bedrijven die het goed bedoelen. Ze hebben geen AI-beleid omdat ze AI nog niet serieus gebruiken, denken ze. Maar het personeel gebruikt het al lang, alleen op de gratis manier, met de verkeerde data, zonder dat iemand het weet. Wij draaien zelf 57 agents over 5 servers, lokaal én cloud, volledig automatisch, en juist daardoor weten we hoe belangrijk het is dat élke verwerking zichtbaar en herleidbaar is. Wat je niet kunt zien, kun je niet beheersen.

/ 05Niet invoeren

Wat je nooit in een gratis chatbot zet

Een korte, deelbare lijst doet vaak meer dan een lange policy. Dit zijn de categorieën die niet in een gratis, niet-zakelijke chatbot horen. Niet omdat AI gevaarlijk is, maar omdat je de opslag en het hergebruik van die data niet in de hand hebt.

• Persoonsgegevens van klanten of leden: namen, adressen, e-mail, telefoon, BSN.
• Personeels- en sollicitatiegegevens: cv's, beoordelingen, ziekteverzuim, salaris.
• Medische of anderszins bijzondere persoonsgegevens, in welke vorm dan ook.
• Contracten, offertes en prijslijsten die concurrentiegevoelig zijn.
• Broncode, technische specificaties en interne strategiestukken.
• Inloggegevens, sleutels en alles wat toegang tot systemen geeft.

/ 06Alternatief

Het volwassen alternatief

Verbieden werkt niet, dat hebben we gezien. Wat wel werkt is een combinatie: helder beleid plus een veilige plek waar AI-werk wél mag. Voor incidenteel, ongevoelig werk volstaat vaak een betaalde zakelijke versie van een AI-chatbot, waar de aanbieder niet traint op je input. Voor structureel werk op je eigen documenten en klantdata is een private opzet de volwassen keuze: je data blijft in een afgeschermde, EU-bewuste omgeving, scheidbaar per klant of vestiging, met een audit-log van wie wat vroeg.

Die private opzet is geen eigen taalmodel trainen, het is je eigen documenten doorzoekbaar maken voor een gespecialiseerd model in een omgeving die je kunt uitleggen aan een jurist. Hoe dat technisch werkt en wat het kost, lees je in ons dossier Private document-AI uitgelegd voor het MKB. De kern voor dit artikel: er ís een weg waarop je team de snelheid van AI houdt zonder dat je bedrijfsdata de deur uit gaat.

/ 07Stappen

Wat je deze week kunt regelen

Je hoeft niet meteen een AI-strategie te schrijven. Drie nuchtere stappen brengen je al ver, in oplopende mate van inspanning.

1. Maak één A4 met spelregels. De lijst hierboven van wat niet in een gratis chatbot mag, plus de regel bij twijfel niet invoeren. Deel hem deze week met je team. Kost een uur, dekt het grootste risico af.
2. Wijs een veilig alternatief aan. Een betaalde zakelijke versie voor ongevoelig werk, en voor structureel werk op gevoelige data een private opzet. Beleid zonder alternatief leidt terug naar schaduw-AI.
3. Breng in kaart welke data echt gevoelig is. Onze gratis AI-kansen scan helpt bepalen welke processen je veilig kunt automatiseren en welke data om een private omgeving vraagt. Geen verkoop vooraf, wel een concreet beeld van waar je staat.

Voor de bredere context van regelgeving rond AI in het MKB, van AVG tot de nieuwe AI-verordening, zie ons artikel AI Act voor het MKB: wat je moet regelen. En wil je in twintig minuten weten welke processen bij jou veilig automatiseerbaar zijn, begin dan met de gratis AI-kansen scan.