AI, AVG & klantgegevens

Veilig AI-gebruik met klantgegevens

Steeds meer medewerkers gebruiken AI-tools zoals ChatGPT, Microsoft Copilot of Google Gemini voor teksten, klantmails, samenvattingen en documenten. Dat kan handig zijn, maar wordt risicovol wanneer persoonsgegevens, klantgegevens of vertrouwelijke bedrijfsinformatie zonder duidelijke afspraken in AI-tools terechtkomen.

Bekijk de training Bekijk officiële bronnen

De kern

Waarom veilig AI-gebruik nu belangrijk is

AI-tools worden steeds vaker gebruikt op de werkvloer. Medewerkers gebruiken ze bijvoorbeeld om teksten te herschrijven, klantmails duidelijker te maken, documenten samen te vatten of interne uitleg eenvoudiger te formuleren.

Het risico ontstaat wanneer een medewerker volledige klantmails, contracten, loonstroken, facturen, dossiers, patiëntinformatie of andere gevoelige informatie in een AI-tool plakt. Dan kan er sprake zijn van verwerking van persoonsgegevens door een externe partij. Zonder duidelijke afspraken kan dat leiden tot privacyrisico’s, onduidelijkheid over gegevensverwerking of zelfs een datalek.

Belangrijk: het doel is niet om AI te verbieden. Het doel is om medewerkers duidelijk te maken wat zij veilig kunnen gebruiken, welke gegevens te gevoelig zijn en wanneer zij moeten anonimiseren, controleren, overleggen of melden.

Voorbeelden

Gewone werkmomenten waarin het mis kan gaan

01

Klantmail in AI

Een medewerker wil een klantmail laten herschrijven en plakt de volledige mail in een AI-tool. In de mail staan namen, e-mailadressen, bedragen, afspraken en interne informatie.

02

Factuur of contract

Een administratief medewerker vraagt AI om een factuur, offerte of contract samen te vatten. Daarbij kunnen klantgegevens, betaalgegevens of vertrouwelijke afspraken worden gedeeld.

03

HR-documenten

Een HR-medewerker gebruikt AI om een arbeidsovereenkomst, beoordeling of verzuimtekst te verbeteren. Zulke documenten kunnen gevoelige personeelsgegevens bevatten.

04

Zorg of onderwijs

Een praktijk, school of opleiding gebruikt AI om berichten duidelijker te maken. Patiëntgegevens, leerlinggegevens of begeleidingsinformatie vragen extra voorzichtigheid.

AVG-basis

Wat zijn persoonsgegevens?

Persoonsgegevens zijn gegevens die direct of indirect over een persoon gaan. Iemand is direct herkenbaar door bijvoorbeeld een naam of foto, maar kan ook indirect herkenbaar zijn door een combinatie van gegevens zoals een klantnummer, IP-adres, e-mailadres of dossierinformatie.

Voor bedrijven betekent dit dat niet alleen duidelijke gegevens zoals naam, adres en telefoonnummer relevant zijn. Ook documenten, correspondentie, klantnotities en interne dossiers kunnen persoonsgegevens bevatten.

Voorbeelden van persoonsgegevens

  • Naam, adres en woonplaats
  • E-mailadres en telefoonnummer
  • Geboortedatum of klantnummer
  • IP-adres of gebruikersnaam
  • Foto, audio of camerabeelden
  • Klantmails of dossiernotities
  • Bestelgegevens of afspraakgegevens

Extra gevoelige gegevens

Sommige gegevens vragen extra voorzichtigheid. Denk aan BSN, identiteitsbewijzen, medische gegevens, gezondheidsinformatie, salarisgegevens, loonstroken, personeelsdossiers, patiëntgegevens, leerlinggegevens, bankgegevens of volledige klantdossiers.

Privacywetgeving

Wat zegt de AVG over persoonsgegevens in AI-tools?

De AVG beschermt persoonsgegevens. Zodra een organisatie persoonsgegevens verzamelt, gebruikt, deelt, opslaat of laat verwerken, gelden privacyregels. Wanneer een medewerker persoonsgegevens invoert in een externe AI-tool, kan dat betekenen dat een externe partij die gegevens verwerkt.

Een organisatie moet dan kunnen uitleggen waarom dat mag, welke tool wordt gebruikt, welke afspraken er gelden, hoe de gegevens beschermd worden en wat er gebeurt als er per ongeluk gevoelige informatie is gedeeld.

Praktische vertaling: zet klantgegevens, personeelsgegevens, patiëntinformatie, leerlinggegevens, contracten, facturen of dossiers niet zomaar in AI-tools. Maak eerst duidelijke afspraken, verwijder herkenbare informatie of gebruik alleen goedgekeurde veilige omgevingen.

AI Act

Wat betekent AI-geletterdheid voor bedrijven?

De Europese AI Act stelt regels voor verantwoord AI-gebruik. Voor veel MKB-organisaties is vooral AI-geletterdheid belangrijk. Organisaties die AI-systemen gebruiken of ontwikkelen, moeten zorgen dat medewerkers voldoende begrip hebben van AI, de risico’s en verantwoord gebruik.

AI-geletterdheid betekent in de praktijk dat medewerkers beter begrijpen wat AI wel en niet kan, wanneer menselijke controle nodig is, welke informatie te gevoelig is en wanneer zij moeten stoppen, controleren, anonimiseren of melden.

Belangrijke momenten

De AI-verordening is ingegaan en wordt daarna gefaseerd van toepassing.

Verboden AI-praktijken en AI-geletterdheid worden relevant voor organisaties die AI gebruiken.

Regels voor grote AI-modellen voor algemene doeleinden worden belangrijker.

Meer onderdelen van de AI Act gaan gelden, onder andere rond toezicht en hoog-risico AI-systemen.

Nuance: niet ieder bedrijf gebruikt hoog-risico AI. Voor normale teams is de eerste praktische stap vaak: inventariseer welke AI-tools worden gebruikt, maak duidelijke afspraken en train medewerkers in veilig AI-gebruik met klantgegevens.

Praktische grens

Welke gegevens zet je beter niet zomaar in AI-tools?

Klantgegevens

Namen, adressen, telefoonnummers, e-mailadressen, klantnummers, bestelgegevens en klantmails.

Financiële gegevens

Facturen, offertes, IBAN’s, betaalinformatie, jaarstukken, omzetgegevens en financiële klantdocumenten.

HR-gegevens

Contracten, loonstroken, salarisgegevens, beoordelingen, verzuimgegevens en sollicitatiegegevens.

Zorggegevens

Patiëntinformatie, klachten, medische gegevens, behandelgegevens en gezondheidsinformatie.

Identiteitsgegevens

BSN, kopieën van paspoorten, ID-bewijzen, rijbewijzen en andere identiteitsdocumenten.

Interne informatie

Strategie, interne notities, wachtwoorden, logininfo, juridische stukken en vertrouwelijke bedrijfsdocumenten.

Veilige basisregel

Als een klant, medewerker, patiënt, leerling, leverancier of andere persoon herkenbaar is, behandel de informatie dan als gevoelig. Verwijder of vervang herkenbare gegevens voordat je AI gebruikt.

Wat kan vaak wel?

Veiliger gebruik van AI op het werk

Algemene teksten

Laat AI helpen met algemene e-mailtemplates, instructies of uitleg zonder echte klantgegevens.

Fictieve voorbeelden

Gebruik verzonnen namen, bedragen en situaties wanneer je een voorbeeldtekst of scenario laat maken.

Anonimiseren

Vervang herkenbare gegevens door neutrale aanduidingen zoals [klant], [bedrijf], [bedrag] of [datum].

Menselijke controle

Laat AI ondersteunen, maar controleer altijd zelf of de uitkomst klopt, passend is en geen gevoelige informatie bevat.

Voor organisaties

Wat moet je praktisch regelen?

1

Inventariseer AI-gebruik

Breng in kaart welke AI-tools medewerkers gebruiken en waarvoor ze die gebruiken.

2

Maak duidelijke regels

Leg vast welke gegevens nooit in AI-tools mogen en welke tools wel of niet zijn toegestaan.

3

Train medewerkers

Leg praktisch uit wat persoonsgegevens zijn, hoe AI-risico’s ontstaan en hoe medewerkers veilig handelen.

4

Maak melden normaal

Zorg dat medewerkers weten bij wie zij terechtkunnen als er per ongeluk gevoelige informatie is gedeeld.

Aansluiting op training

Hoe IdenScan hierbij helpt

IdenScan helpt bedrijven en teams met praktische training over veilig AI-gebruik, klantgegevens, phishing, verdachte links, factuurfraude en melden bij twijfel. De training is bedoeld voor medewerkers die dagelijks werken met e-mail, documenten, klantinformatie, facturen, accounts en AI-tools.

We vervangen geen IT-partner en voeren geen technische audit uit. We trainen juist de menselijke kant: herkenbare werksituaties, veilige keuzes, duidelijke afspraken en laagdrempelig meldgedrag.

Naar Cyberveiligheidstraining voor bedrijven en teams

In de training behandelen we onder andere:

  • Wat persoonsgegevens zijn
  • Welke gegevens niet zomaar in AI-tools horen
  • Hoe medewerkers klantinformatie kunnen anonimiseren
  • Hoe AI-misleiding en phishing herkend worden
  • Wat medewerkers moeten doen bij twijfel
  • Hoe je melden zonder schaamte organiseert

Belangrijke nuance

Een training maakt een organisatie niet automatisch volledig AVG- of AI Act-compliant. Wel kan praktische training helpen om medewerkers bewuster te maken, interne afspraken duidelijker te maken en invulling te geven aan veiliger digitaal gedrag en AI-geletterdheid.

Voor juridisch advies, formeel privacybeleid, DPIA’s of complexe AI-toepassingen is aanvullend advies van een privacyjurist, functionaris gegevensbescherming of gespecialiseerde adviseur verstandig.

Officiële bronnen

Bronnen en verdere informatie

Autoriteit Persoonsgegevens AI-geletterdheid

Uitleg over de verplichting voor organisaties die AI-systemen ontwikkelen of gebruiken.

 Autoriteit Persoonsgegevens AI-chatbots en datalekrisico’s

Waarschuwing over het invoeren van persoonsgegevens in AI-chatbots.

 Autoriteit Persoonsgegevens Wat zijn persoonsgegevens?

Uitleg over gegevens die direct of indirect naar een persoon herleidbaar zijn.

 Ondernemersplein Regels voor veilige AI

Overzicht van de AI Act en de gefaseerde invoering voor ondernemers.

 Ondernemersplein Persoonsgegevens beschermen

Praktische uitleg over de AVG en bescherming van klant- en personeelsgegevens.