ChatGPT veilig gebruiken: 7 gouden regels voor privacy

Oktober 2025. De gemeente Eindhoven ontdekt dat medewerkers maandenlang bestanden met persoonsgegevens van inwoners hebben geüpload naar publieke AI-tools als ChatGPT. CV's, jeugdzorgdossiers, interne rapporten — allemaal in een publieke chatbot. Het datalek werd gemeld bij de Autoriteit Persoonsgegevens. ChatGPT en vergelijkbare sites werden direct geblokkeerd.

Eindhoven is geen uitzondering. Bij Samsung lekte vertrouwelijke broncode nadat drie engineers ChatGPT gebruikten om code te debuggen. Italië legde OpenAI een boete van €15 miljoen op wegens GDPR-schendingen.

Het probleem is niet ChatGPT zelf. Het probleem is hoe we het gebruiken. En met de juiste regels is ChatGPT prima veilig in te zetten — ook voor bedrijfsgevoelige taken.

Wat doet OpenAI eigenlijk met je data?

Dit is de belangrijkste vraag, en het antwoord hangt volledig af van welk abonnement je gebruikt.

Bron: OpenAI Enterprise Privacy en OpenAI Business Data

De kern: bij gratis en Plus-accounts wordt je invoer standaard gebruikt om modellen te verbeteren. Bij Team en Enterprise niet. Dat is een fundamenteel verschil voor zakelijk gebruik.

De 7 gouden regels

Regel 1: Gebruik een zakelijk abonnement

Dit is de belangrijkste regel en de basis voor alle andere. ChatGPT Team ($25/gebruiker/maand) of Enterprise biedt:

• •Geen training op je data — standaard uitgeschakeld
• •Verwerkersovereenkomst (DPA) — vereist onder de AVG als je met persoonsgegevens werkt
• •SOC 2 Type 2 certificering — onafhankelijk getoetste beveiliging
• •Admin-dashboard — zicht op wie wat gebruikt

Cyberhaven's AI Adoption Report toont dat 73,8% van ChatGPT-gebruik op werk via persoonlijke accounts gaat. Dat betekent: geen verwerkersovereenkomst, geen controle, geen beveiliging. Regel het zakelijk of regel het niet.

Regel 2: Weet welke data er nooit in mag

Niet alles hoort in een AI-tool, ook niet in een zakelijke versie. Maak een helder onderscheid:

Mag wel:

• •Publiek beschikbare informatie
• •Geanonimiseerde of gefingeerde data
• •Interne brainstorms en concepten zonder namen of cijfers
• •Algemene vragen over strategie, processen of technologie

Mag nooit:

• •Persoonsgegevens van klanten, medewerkers of sollicitanten
• •Financiële gegevens, contracten, salarisgegevens
• •Intellectueel eigendom en broncode
• •Medische of juridische dossiers
• •Wachtwoorden, API-keys, inloggegevens

De Autoriteit Persoonsgegevens waarschuwt expliciet: "Het invoeren van persoonsgegevens in AI-chatbots kan ertoe leiden dat de aanbieders van die chatbots ongeautoriseerde toegang krijgen tot die persoonsgegevens." Dat maakt het juridisch een datalek.

Regel 3: Anonimiseer altijd

Als je toch met echte scenario's wilt werken, anonimiseer dan consequent. Vervang:

• •Klantnamen door "Klant A" of "Bedrijf X"
• •Exacte bedragen door ronde getallen of verhoudingen
• •Persoonlijke details door generieke beschrijvingen
• •Specifieke data door "Q1 2026" of "afgelopen kwartaal"

Dit kost dertig seconden extra en scheelt potentieel miljoenen. IBM's Cost of a Data Breach Report 2025 meldt dat shadow AI-gerelateerde datalekken gemiddeld $670.000 duurder zijn dan reguliere incidenten.

Regel 4: Controleer altijd de output

LLM's hallucineren. Ze verzinnen feiten, statistieken, bronnen en zelfs juridische uitspraken die niet bestaan. McKinsey meldt dat slechts 27% van organisaties alle AI-output systematisch controleert.

Maak het concreet per type output:

• •Extern klantcontact — altijd een mens die meeleest voordat het de deur uitgaat
• •Financiële rapportages — cijfers handmatig verifiëren tegen de bron
• •Juridische teksten — laat een jurist meekijken, AI is geen advocaat
• •Interne notities en brainstorms — lichtere controle volstaat
• •Bronverwijzingen — controleer of de bron daadwerkelijk bestaat en zegt wat ChatGPT beweert

Regel 5: Gebruik Temporary Chats voor gevoelige vragen

ChatGPT heeft een Temporary Chat-functie die gesprekken niet opslaat in je chatgeschiedenis en ze na 30 dagen verwijdert. Bij gratis en Plus-accounts worden Temporary Chats ook niet voor training gebruikt.

Gebruik Temporary Chats voor:

• •Eenmalige gevoelige vragen
• •Scenario's die je niet in je chatgeschiedenis wilt
• •Alles waar je liever geen spoor van achterlaat

Het is geen vervanging voor een zakelijk abonnement, maar een extra beschermingslaag.

Regel 6: Documenteer je AI-gebruik

De EU AI Act verplicht AI-geletterdheid en transparantie. De AVG vereist dat je kunt aantonen dat je verantwoord met persoonsgegevens omgaat. Beide vragen om documentatie.

Leg minimaal vast:

• •Welke AI-tools je organisatie gebruikt en waarvoor
• •Welke verwerkersovereenkomsten er zijn afgesloten
• •Welke data er in mag en welke niet (je AI-beleid)
• •Hoe medewerkers getraind zijn in verantwoord AI-gebruik
• •Welke incidenten er zijn geweest en hoe die zijn afgehandeld

Het NCSC meldt dat slechts 26% van de organisaties duidelijke richtlijnen heeft voor AI-risico's. Documentatie is niet bureaucratie — het is je bewijs dat je je verantwoordelijkheid neemt.

Regel 7: Train je team

De beste regels werken niet als niemand ze kent. En "een mailtje sturen met het beleid" is geen training.

Effectieve AI-training dekt drie lagen:

1. •Bewustzijn — wat zijn de risico's, waarom bestaan de regels
2. •Vaardigheden — hoe gebruik je AI-tools effectief én veilig
3. •Praktijk — oefenen met echte scenario's uit je eigen werkomgeving

De EU AI Act verplicht AI-geletterdheid al sinds februari 2025. Maar het gaat verder dan compliance: teams die getraind zijn in verantwoord AI-gebruik zijn productiever én veroorzaken minder incidenten.

In onze ChatGPT, Claude & Gemini Masterclass trainen we teams hands-on in alle drie de grote AI-platformen — inclusief privacy-instellingen, veilig prompten en het herkennen van hallucinaties. Na afloop heeft je team aantoonbare AI-geletterdheid.

Hoe zit het met alternatieven?

ChatGPT is niet de enige optie. Een kort overzicht van de privacy-aanpak per platform:

• •Claude (Anthropic) — zakelijke versies trainen standaard niet op je data. Historisch strengere privacy-defaults dan ChatGPT.
• •Gemini (Google) — Workspace-versie traint niet op bedrijfsdata. SOC-gecertificeerd met data residency-opties.
• •Azure OpenAI — dezelfde modellen als ChatGPT, maar draaiend op Microsoft's Azure-infrastructuur. OpenAI ziet je data niet. Maximale controle voor enterprise.
• •Lokale LLM's (Llama, Mistral) — data verlaat nooit je servers. Maximale privacy, maar vereist eigen infrastructuur.

De keuze hangt af van je risicoprofiel. Voor de meeste bedrijven is een zakelijke versie van ChatGPT, Claude of Gemini voldoende. Voor organisaties met zeer gevoelige data — zorg, overheid, financieel — is Azure OpenAI of een lokaal model het overwegen waard.

De cijfers liegen niet

Even de realiteit op een rij:

• •50% van Nederlandse organisaties heeft geen AI-beleid (Beeckestijn Trendrapport 2026)
• •34,8% van bedrijfsdata die medewerkers in AI-tools invoeren is gevoelig (Cyberhaven)
• •1 op de 5 organisaties heeft al een datalek gehad door ongeautoriseerd AI-gebruik (IBM)
• •97% van getroffen organisaties had onvoldoende AI-toegangscontroles (IBM)

De Autoriteit Persoonsgegevens heeft AI als een van hun drie focusgebieden voor 2026-2028 aangewezen. De handhaving komt — de vraag is alleen wanneer, niet of.

Aan de slag

ChatGPT veilig gebruiken is geen raketwetenschap. Het is een kwestie van de juiste instellingen, duidelijke regels en een getraind team. Dat hoeft geen maanden te duren.

Drie stappen om deze week te zetten:

1. •Stap over op een zakelijk abonnement — ChatGPT Team of Enterprise. Geen persoonlijke accounts meer voor werk.
2. •Maak een simpele dataclassificatie — één A4: welke data mag wel in AI-tools, welke nooit. Deel het met je team.
3. •Train je team — niet met een pdf, maar hands-on. Zorg dat iedereen weet hoe ze veilig en effectief met AI werken.

Wil je je team in één sessie trainen in veilig en effectief AI-gebruik? Bekijk onze ChatGPT, Claude & Gemini Masterclass of plan een vrijblijvend adviesgesprek.

Bronnen

• •OpenAI — Enterprise Privacy
• •OpenAI — Business Data
• •OpenAI — Temporary Chat FAQ
• •Gemeente Eindhoven — Datalek openbare AI
• •Cybersecurity Dive — Samsung ChatGPT data leak
• •The Hacker News — Italy Fines OpenAI €15 Million
• •Autoriteit Persoonsgegevens — Opgepast: gebruik AI-chatbot kan leiden tot datalek
• •Autoriteit Persoonsgegevens — Focus 2026: AI, massasurveillance en digitale weerbaarheid
• •IBM — Cost of a Data Breach Report 2025
• •Cyberhaven — Shadow AI: AI Adoption & Risk
• •Beeckestijn — Helft Nederlandse organisaties heeft geen AI-beleid
• •NCSC — Aanzienlijk gebruik van generatieve AI onder medewerkers
• •McKinsey — The State of AI 2025
• •EU AI Act — Artikel 4: AI-geletterdheid
• •Microsoft Learn — Data privacy for Azure OpenAI