Artificial Intelligence, en dan vooral AI-chatbots zoals ChatGPT, Claude en Gemini, zijn razendsnel onderdeel geworden van ons dagelijkse werk. Ze helpen met e-mails, samenvattingen of klantvragen. Maar juist dát gemak brengt risico’s met zich mee. Hoe is AI gebruik eigenlijk geregeld in jouw organisatie?
De Autoriteit Persoonsgegevens (AP) ziet een duidelijke trend: organisaties melden steeds vaker datalekken die ontstaan doordat medewerkers persoonsgegevens invoeren in AI-tools.
Veel medewerkers gebruiken AI-chatbots op eigen initiatief, zonder dat de organisatie hier beleid voor heeft. Dit wordt ook wel “shadow AI” genoemd: tools worden buiten het zicht van IT-afdelingen of privacyteams om gebruikt.
Wat is het probleem?
Wanneer iemand:
- een e-mail, klantinformatie of cv met persoonsgegevens invoert in een gratis AI-chatbot,
- een lijst met namen of adressen uploadt om er creatief werk van te maken,
- of intern vertrouwelijke documenten laat samenvatten…
…dan verstuurt die medewerker feitelijk persoonsgegevens naar een derde partij.
Dat betekent dat de gegevens buiten de controle van jouw organisatie komen en dat is een datalek onder de AVG. Het risico daarbij is dat gegevens worden opgeslagen door de aanbieder van de AI-tool en daar mogelijk worden gebruikt voor training van modellen, zonder dat betrokkenen weten of hebben ingestemd met die verwerking.
Waarom de AP dit nu benadrukt
De AP heeft het onderwerp expliciet benoemd omdat het niet incidenteel is:
- er zijn tientallen meldingen bij de toezichthouder gedaan over AI-gerelateerde datalekken; (FD)
- bij organisaties zoals gemeenten werden duizenden bestanden met persoonsgegevens gedeeld met openbare AI-tools; (Tweakers)
- het gebruik van gratis varianten zonder duidelijk beleid vergroot het risico dat persoonsgegevens buiten zicht raken; (ICTMagazine.nl)
De waarschuwende toon van de AP laat zien dat dit geen theoretisch risico is, maar iets wat organisaties nú raakt, groot én klein.
De belangrijkste les
De belangrijkste les is eenvoudig, maar vaak lastig in de praktijk: AI-gebruik mag, maar alleen als je weet wat er gebeurt met de gegevens die erin worden gezet én daar beleid en afspraken over hebt.
Concreet betekent dit dat je als organisatie inventariseert welke AI-tools medewerkers gebruiken (zowel officieel als informeel) en dat je beleid maakt over welke gegevens wél en niet mogen worden ingevoerd.
Hoe doe je het goed? Praktische stappen
- Start met een korte inventarisatie
Vraag aan iedereen: “Welke AI-tools gebruik je voor je werk?” Je zult verrast zijn wat er al gebeurt. - Leg één duidelijke spelregel vast
Bijvoorbeeld: “Voer nooit persoonsgegevens, interne documenten of klantdata in openbare AI-tools in.” Dat ene zinnetje voorkomt al veel risico’s. - Maak het bespreekbaar
AI-gebruik verbieden werkt vaak averechts. Leg liever uit waarom je grenzen stelt en wat wel veilig kan (bijvoorbeeld met testdata of geanonimiseerde voorbeelden). - Train medewerkers kort en praktisch
Juist hier zit de winst. De meeste AI-datalekken ontstaan niet door onwil, maar door onwetendheid. Een korte training of instructievideo maakt direct verschil. - Zorg dat je weet wat te doen als het misgaat
Gaat er toch iets fout? Dan moet je het herkennen als datalek en weten wie wat doet. Dat voorkomt paniek én fouten achteraf.
Zo laat je zien dat je als organisatie bewust, proportioneel en AVG-proof met AI omgaat, precies wat de toezichthouder verwacht.
De logische vervolgvraag…
Je kunt beleid maken, trainen en afspraken vastleggen. Maar wat als medewerkers tóch hun eigen weg gaan? Dat lees je in ons artikel:
Mag je eigenlijk controleren of medewerkers AI-tools gebruiken?
Probeer AVG-support.nl 30 dagen gratis
Wil je eenvoudig voldoen aan de AVG regels? AVG-support.nl helpt je te doen wat nodig is.
- toets je organisatie en neem noodzakelijke maatregelen
- maak gebruik van alle juridische documenten
- behaal het AVG OK-vignet en laat zien dat je privacy serieus neemt
Ontdek zelf hoe het werkt. Maak een gratis proefaccount aan.
