AI en Privacy: De harde feiten die je moet kennen
Elke prompt die je naar ChatGPT stuurt, wordt verwerkt op servers van OpenAI in de VS. Elke afbeelding die je naar Midjourney uploadt, wordt opgeslagen. Dit is niet eng maken - dit is de realiteit begrijpen.
Wat er écht gebeurt met je data
Bij consumentenversies (ChatGPT Free, Claude Free)
- Je prompts worden opgeslagen
- Ze kunnen worden gebruikt voor model-training (opt-out is mogelijk)
- OpenAI werknemers kunnen gesprekken reviewen voor kwaliteitscontrole
- Data wordt bewaard voor 30 dagen, soms langer
Bij betaalde versies (ChatGPT Plus, Claude Pro)
- Vaak is model-training standaard uitgeschakeld
- Data wordt nog steeds opgeslagen (voor abuse prevention)
- Geen garantie dat data niet door werknemers bekeken wordt
- Geen DPA (Data Processing Agreement) standaard inbegrepen
Bij enterprise versies (ChatGPT Enterprise, Claude Team)
- Data wordt NIET gebruikt voor training
- DPA beschikbaar
- Vaak EU-data-residency opties
- SOC 2 compliance
- Admin controls over wie wat mag
AVG en AI: De juridische realiteit
De AVG is duidelijk: je mag geen persoonsgegevens verwerken zonder grondslag. Wat betekent dit voor AI-gebruik?
Scenario 1: Je gebruikt AI intern
Je analyseert je eigen bedrijfsdata (zonder persoonsgegevens) met ChatGPT. AVG-risico: Laag. Zolang er geen persoonsgegevens in je prompts zitten, is er geen AVG-issue.
Scenario 2: Je verwerkt klantdata
Je stuurt klantinformatie naar ChatGPT voor analyse. AVG-risico: Hoog.
- Je hebt een verwerkersovereenkomst nodig met OpenAI/Anthropic
- Je moet klanten informeren (privacyverklaring updaten)
- Data transfer naar VS vereist adequate safeguards (SCCs)
- Je moet een rechtmatige grondslag hebben
Scenario 3: Je bouwt een AI-product voor klanten
Je integreert AI in je eigen product/dienst. Meest complex.
- Je bent verantwoordelijk als verwerkingsverantwoordelijke
- Je moet een DPIA (Data Protection Impact Assessment) overwegen
- Transparantie: gebruikers moeten weten dat AI wordt gebruikt
- Mogelijk: AI Act verplichtingen (afhankelijk van risico-categorie)
Praktische richtlijnen: Wat mag WEL
- Geanonimiseerde data: Vervang "Jan Bakker, BSN 123456789, schuld €50.000" door "Klant A, identificatie verwijderd, schuld €X"
- Synthetische voorbeelden: In plaats van echte klantcases, maak fictieve maar representatieve voorbeelden
- Aggregated data: "We hebben 500 klachten gehad over feature X" is prima, de individuele klachten zijn dat niet
- Publieke informatie: Data die al publiek is (bijv. LinkedIn profielen, gepubliceerde artikelen) is minder risicovol
Praktische richtlijnen: Wat mag NIET
- BSN, paspoort-, of ID-nummers
- Medische informatie
- Financiële gegevens van individuen
- Gevoelige persoonsgegevens (religie, politiek, seksuele geaardheid)
- Gegevens van kinderen
- Biometrische data
De enterprise-opties die compliant zijn
Microsoft Azure OpenAI
- Data blijft binnen je Azure tenant
- EU-regio beschikbaar
- Wordt NIET gebruikt voor training
- Microsoft is verwerkter (DPA beschikbaar)
- Prijs: Pay-per-use, duurder dan OpenAI direct
AWS Bedrock
- Data blijft binnen je AWS account
- EU-regio's beschikbaar
- Multiple model providers (Anthropic, Meta, Amazon)
- AWS is verwerkter
- Prijs: Pay-per-use
Self-hosted open-source modellen
- Llama 3, Mistral, en andere open modellen
- Draait op je eigen infrastructuur
- Geen data naar derden
- Nadeel: Minder capabel dan GPT-4/Claude
- Nadeel: Vereist ML-expertise
Een beleid voor je organisatie
Iedere organisatie zou een AI-gebruiksbeleid moeten hebben. Minimaal:
- Goedgekeurde tools: Welke AI-tools mogen gebruikt worden?
- Verboden data: Welke data mag NOOIT in AI-tools?
- Anonimisatie-protocol: Hoe anonimiseren we data?
- Verantwoordelijkheden: Wie keurt nieuw AI-gebruik goed?
- Incidentprocedure: Wat als iemand per ongeluk gevoelige data deelt?
De vuistregel die altijd werkt
Als je het niet in een e-mail naar buiten zou sturen, stop het dan ook niet in een AI-prompt. AI-providers zijn derden. Behandel ze als externe partijen - want dat zijn ze.