Waarom dit überhaupt belangrijk is
Zodra je iets in ChatGPT, Claude of Gemini typt, gaat die tekst over een internetverbinding naar een server. Vaak buiten Nederland, soms buiten Europa. Als die tekst persoonsgegevens van klanten bevat — naam, adres, gezondheidsinfo, financiële gegevens — dan ben jij volgens de AVG verantwoordelijk voor wat daarmee gebeurt.
Dat klinkt streng, maar het is goed te organiseren. Drie principes zijn genoeg: minimaliseer wat je deelt, zet training-met-je-data uit, en weet welke tools je voor gevoelige data wel of niet mag gebruiken. Hieronder werken we elk principe concreet uit.
Doe dit vandaag — 5 minuten werk
- Log in op ChatGPT → Settings → Data Controls → 'Improve the model for everyone' uitzetten.
- Doe hetzelfde in Claude → Settings → Privacy.
- Bij Gemini: Activity-instelling op pauze/uit zetten in je Google-account.
- Maak één afspraak met jezelf: nooit volledige klantbestanden uploaden in gratis tools.
Wat mag wel — en wat niet
Een simpel raamwerk dat we onze klanten meegeven. Niet juridisch sluitend voor elke sector, wel werkbaar voor 95% van het Nederlandse MKB.
Wel: anonieme zakelijke teksten
Marketingteksten, blogartikelen, social posts, dienstenpagina's — alles zonder persoonsgegevens van klanten.
In de praktijk
Een hovenier uit Zwolle laat dienstpagina's voor tuinaanleg schrijven door Claude. Geen klantnamen, geen probleem.
Wel: geanonimiseerde voorbeelden
Klantcase als 'een MKB-klant in de bouw' i.p.v. 'Jansen Bouw uit Apeldoorn'. Vervang namen en adressen voor je plakt.
In de praktijk
Een marketeer in Utrecht beschrijft een klant als 'Nederlandse webshop met 50 producten' i.p.v. de echte naam.
Wel: e-mailteksten zonder ontvanger
Plak de tekst, niet het volledige e-mailadres of NAW van de geadresseerde. Vervang door [klant] of [bedrijf X].
In de praktijk
Een boekhouder in Ede schrijft herinneringsmails met de placeholder [klant] erin, vult pas in Outlook de echte naam in.
Niet: BSN, gezondheidsdata, paspoortnummers
Bijzondere persoonsgegevens (zorg, religie, etniciteit, biometrie, BSN) horen niet in een gratis AI-tool. Punt.
In de praktijk
Een fysiotherapeut anonimiseert behandelverslagen voor AI ('patiënt 1, 45j, knieklacht') i.p.v. echte gegevens.
Niet: complete klantbestanden
Een Excel met 2000 klanten in ChatGPT plakken — niet doen. Werk in geanonimiseerde steekproef of gebruik een Enterprise-account.
In de praktijk
Een accountant in Barneveld werkt met geanonimiseerde rijen voor AI-analyses, originele data blijft in zijn boekhoudsoftware.
Niet: vertrouwelijke contracten met klantnamen
Inhoud anonimiseren of een betaalde zakelijke versie met DPA (verwerkersovereenkomst) gebruiken. ChatGPT Team / Claude for Work hebben die.
In de praktijk
Een ZZP-jurist gebruikt Claude for Work omdat daar een DPA bij hoort. Klantnamen kunnen blijven staan.
Anonimiseren in de praktijk
De goedkoopste vorm van privacy: vervang wat herleidbaar is door placeholders vóórdat je iets plakt. Zie hieronder hoe zo'n prompt er goed én slecht uitziet.
"Schrijf een herinneringsmail naar Bakkerij De Jong uit Wageningen, Hoofdstraat 12, openstaand bedrag €450 (factuur 2026-117 van 1 mei)."
Resultaat
ChatGPT krijgt het hele klantdossier mee inclusief NAW en factuurnummer. Volgens de AVG ben jij verantwoordelijk dat die data nooit voor training of door derden gezien wordt — bij een gratis tool kun je dat niet garanderen.
"Schrijf een herinneringsmail aan [klant] voor factuur [nummer] (openstaand bedrag [bedrag], vervaldatum [datum]). Tone: vriendelijk-zakelijk, dit is de eerste herinnering. Max 120 woorden."
Resultaat
Je krijgt exact dezelfde kwaliteit terug, plakt zelf de echte gegevens in Outlook of je facturatie-software. AVG-veilig en het scheelt je niets aan kwaliteit.
Maak van die placeholder-aanpak een gewoonte. Na een week voelt het automatisch — en je hoeft nooit meer te twijfelen of een prompt 'mag'.
Welke tool voor welk niveau gevoeligheid?
Niet elke tool is voor elke data geschikt. Een grove indeling die werkt voor Nederlandse ondernemers:
Gratis tier (ChatGPT Free, Claude Free, Gemini)
Alleen voor algemene zakelijke teksten zonder persoonsgegevens. Geen klantnamen, geen NAW, geen financiële details. Wel: marketingteksten, blogs, brainstorms, anonieme voorbeelden.
Plus / Pro (€20/maand)
Iets sterkere privacy-opties (training default uit), maar nog steeds geen DPA. Voor de meeste MKB-content prima, voor klantgegevens nog steeds anonimiseren.
Team / Enterprise (€25-60 per gebruiker/maand)
Hier krijg je een verwerkersovereenkomst (DPA), training-uit als default én zero retention. Dit is wat je nodig hebt als je structureel klantdata in AI verwerkt. Voor zorg, juridisch, financieel essentieel.
Wat moet je intern regelen?
Heb je medewerkers? Dan moet je iets meer doen dan zelf netjes werken. Een paar stappen die voor een MKB-bedrijf voldoende zijn als startpunt.
Misverstand 1
“AI hoeft niet in mijn privacyverklaring.”
Hoe het echt zit
Wel als je AI gebruikt om persoonsgegevens te verwerken (bijvoorbeeld klantvragen samenvatten, e-mails opstellen op basis van klantdata). Voeg één alinea toe waarin je benoemt welke AI-tools je gebruikt en hoe je data beschermt.
Misverstand 2
“Een verwerkersovereenkomst is alleen voor grote bedrijven.”
Hoe het echt zit
Onzin — ook een ZZP'er die klantdata structureel in een AI-tool stopt heeft een DPA nodig met de leverancier. Bij OpenAI en Anthropic krijg je die via Team/Enterprise. Bij gratis tools krijg je hem niet, en dus mag de data niet structureel klantinfo bevatten.
Misverstand 3
“Een AI-beleid is overkill voor een bedrijf van 3 mensen.”
Hoe het echt zit
Eén A4 met afspraken (welke tools, welke data wel/niet, wie controleert) is genoeg en voorkomt 99% van de incidenten. Zonder beleid maakt iedere medewerker zijn eigen keuze — en die wijken altijd af.
Schrijf een korte alinea (max 100 woorden) voor de privacyverklaring van [bedrijfsnaam], een [type bedrijf] in Nederland. We gebruiken de volgende AI-tools voor [doel: bijv. tekst- en e-mailondersteuning]: - [tool 1 + welke versie] - [tool 2 + welke versie] Maatregelen die wij nemen: - Persoonsgegevens worden geanonimiseerd voor invoer - Training-met-data is uitgeschakeld in alle gebruikte tools - Geen bijzondere persoonsgegevens worden in AI-tools verwerkt Tone: helder, juridisch correct maar leesbaar voor klanten. Geen jargon.
Beleid hoeft geen 12 pagina's te zijn. Eén A4, intern delen, één keer per jaar bijwerken — daarmee zit je voor het Nederlandse MKB ruim goed.
3 prompts om vandaag mee te beginnen
Vervang de stukken tussen blokhaken door jouw eigen gegevens. Plak in ChatGPT of Claude. Klaar.
Hieronder een stuk tekst dat ik wil verwerken met AI. Doe het volgende: 1. Identificeer welke persoonsgegevens erin staan (namen, adressen, e-mails, telefoonnummers, BSN, IBAN, gezondheidsinfo). 2. Geef per gegeven aan of het bijzonder persoonsgegeven is (AVG art. 9). 3. Geef een geanonimiseerde versie waarin alle persoonsgegevens vervangen zijn door placeholders zoals [klant], [bedrijf], [bedrag]. Tekst: """ [plak hier de tekst] """
Schrijf een AI-gebruiksbeleid van max 1 A4 voor [bedrijfsnaam], een [type bedrijf] in [stad] met [aantal] medewerkers. Het moet bevatten: - Welke AI-tools we gebruiken en voor welke taken - Welke data wel en niet in AI-tools gedeeld mag worden - Welke instellingen (training uit, etc.) verplicht zijn - Wie verantwoordelijk is voor controle - Wat te doen bij een vermoeden van een datalek via AI Tone: zakelijk, helder, niet juridisch.
Schrijf een alinea van max 120 woorden voor onze privacyverklaring waarin we uitleggen hoe we AI gebruiken. Bedrijfsinfo: - Naam: [bedrijfsnaam] - Sector: [sector] - AI-tools die we gebruiken: [bijv. ChatGPT Plus, Claude Pro] - Doel waarvoor we AI gebruiken: [bijv. tekstondersteuning, e-mailopstellen] Maatregelen die wij nemen: - Persoonsgegevens worden geanonimiseerd voor invoer - Training-met-data uitgeschakeld - Geen bijzondere persoonsgegevens worden verwerkt in AI Schrijf in heldere taal, geen juridisch jargon, geen "u" — gebruik "je/jij".
Misschien zit jouw vraag erbij
Wat heb je onthouden?
3 korte vragen. Je krijgt direct feedback bij elk antwoord.
1.Welke data mag je NIET in een gratis AI-tool plakken?
2.Wat is de snelste manier om je privacy-instellingen in ChatGPT te verbeteren?
3.Wanneer heb je een verwerkersovereenkomst (DPA) met een AI-leverancier nodig?