Gratis uitproberenzonder verplichtingen
Home » Kennisbank » Mag ik controleren of medewerkers AI-tools gebruiken?

Mag ik controleren of medewerkers AI-tools gebruiken?

AVG en AI controle

Steeds meer medewerkers gebruiken AI-tools zoals ChatGPT om hun werk sneller te doen. Handig, maar soms ook riskant, zeker als er persoonsgegevens worden ingevoerd. Een klant vroeg ons daarom: “Mag ik als werkgever eigenlijk controleren of medewerkers zulke tools gebruiken?”

Antwoord van de AVG-expert:

De AVG zegt het eigenlijk heel duidelijk: jouw organisatie blijft altijd verantwoordelijk voor wat er met persoonsgegevens gebeurt, ook als een medewerker een handige AI-tool of app gebruikt. Je kunt dus niet achteraf zeggen: “Dat deed hij of zij op eigen houtje.”

Als er via zo’n tool gegevens lekken, ligt de verantwoordelijkheid nog steeds bij jou. Daarom is een vorm van controle niet alleen toegestaan, maar soms zelfs nodig om aan de AVG te voldoen. Belangrijk is wel hoe je dat doet: open, eerlijk en alleen voor dat doel.

Wat mag wél?

  • Medewerkers informeren dat AI-gebruik gecontroleerd kan worden, inclusief uitleg waarom dat gebeurt (bijv. om datalekken te voorkomen).
  • Een duidelijk beleid opstellen waarin staat welke AI-tools gebruikt mogen worden (en welke niet).
  • Controleren of medewerkers zich daaraan houden, bijvoorbeeld via logbestanden of toegangsbeheer.

Wat mag niet?

  • Stiekem meelezen of monitoren wat medewerkers in AI-systemen invoeren.
  • Meer gegevens verzamelen dan nodig is om te controleren of het beleid wordt nageleefd.
  • AI-gebruik controleren zonder vooraf beleid of aankondiging.

Kort gezegd: AI-controle mag, maar niet onzichtbaar. De medewerker moet weten dat het gebeurt, waarom en wat er met die gegevens gebeurt.

Praktijkvoorbeeld: AI in gebruik bij een sportvereniging

Een lokale sportvereniging wilde efficiënter communiceren met leden en vrijwilligers. Een enthousiaste vrijwilliger ontdekte ChatGPT en gebruikte het om nieuwsbrieven te schrijven en berichten voor social media op te stellen. Handig, maar er ging iets mis:
om de teksten persoonlijker te maken, voegde de vrijwilliger een ledenlijst toe, met namen en e-mailadressen, als voorbeeld voor de AI-tool.

Wat leek op een slimme tijdsbesparing, bleek in feite een datalek.
De ledengegevens werden ingevoerd in een AI-tool buiten de EU, zonder verwerkersovereenkomst of toestemming.

Toen het bestuur dit ontdekte, hebben ze direct actie ondernomen:

  • Ze maakten een kort AI-beleid: AI mag alleen gebruikt worden voor algemene communicatie en nooit met persoonsgegevens.
  • Vrijwilligers kregen een korte uitleg over privacy en wat wel/niet gedeeld mag worden in AI-tools.
  • Ze voegden in hun AVG-verklaring toe hoe de vereniging met AI omgaat — zodat het ook aantoonbaar is.

Sindsdien werkt de vereniging nog steeds met AI, maar op een veilige manier. Vrijwilligers weten nu dat “even proberen” niet altijd onschuldig is, en dat ook verenigingen onder de AVG vallen.

Een AI-beleid hoort bij je AVG-administratie

Net als bij cameratoezicht of e-mailcontrole geldt: als werkgever moet je kunnen aantonen dat de controle noodzakelijk en proportioneel is.
Daarom hoort een AI-beleid thuis in je AVG-administratie. Leg daarin vast:

  • waarom controle nodig is (bijvoorbeeld: om te voorkomen dat persoonsgegevens worden ingevoerd in externe tools);
  • welke AI-toepassingen zijn toegestaan;
  • hoe je controle uitvoert en bewaartermijnen hanteert;
  • hoe medewerkers worden geïnformeerd en getraind.

In AVG-support.nl kun je dit eenvoudig opnemen in je verwerkingsregister en AVG-verklaring, zodat het onderdeel wordt van je compliance-documentatie.

Ons advies: niet verbieden, maar begeleiden

Steeds meer organisaties kiezen niet voor een totaalverbod op AI, maar voor begeleiding en bewustwording. Dat werkt beter: medewerkers leren hoe ze AI veilig kunnen gebruiken, zonder risico’s voor persoonsgegevens. Gebruik bijvoorbeeld fictieve of geanonimiseerde gegevens, en leg uit dat je nooit klantdata of ledeninformatie in een AI-tool plakt.

Bronnen

AVG artikelen 5, 6, 13, 14 en 32 – Algemene Verordening Gegevensbescherming
(EUR-Lex: https://eur-lex.europa.eu/eli/reg/2016/679/oj)

Autoriteit Persoonsgegevens – Controle van werknemers
https://autoriteitpersoonsgegevens.nl/themas/werk-en-uitkering/controle-van-werknemers

Europese Commissie – European approach to Artificial Intelligence
https://digital-strategy.ec.europa.eu/en/policies/european-approach-artificial-intelligence

Maarten Roelfs

Maarten Roelfs is voorzitter van de Stichting AVG. In de rubriek Klantvragen beantwoordt hij vragen van onze klanten over privacy en de AVG./ -///

Heb je ook een vraag over de AVG?

Stel hem via het contactformulier. Misschien verschijnt jouw vraag én ons antwoord dan in deze rubriek.

Meer nieuws

Mag ik controleren of medewerkers AI-tools gebruiken?

Steeds meer medewerkers gebruiken AI-tools zoals ChatGPT. Mag je als werkgever controleren of dat gebeurt? Volgens de AVG mag dat, mits je medewerkers vooraf informeert, het doel duidelijk is en de controle niet verder gaat dan nodig. Lees meer

Werk jij met Microsoft, Google of Zoom? Dit moet je weten.

Werk jij met Amerikaanse software zoals Microsoft, Google of Zoom? Dan moet je rekening houden met het EU-US Data Privacy Framework. Wij leggen uit waarom dit verdrag onzeker is, wat je moet controleren en hoe je AVG-proof blijft. Lees meer

Strenger toezicht op cookies en telemarketing

Bijna 40% van de websites maakt het weigeren van cookies nog steeds moeilijker dan accepteren. Ook telemarketing zonder opt-in staat onder verscherpt toezicht. De AP en ACM kondigen meer controles aan, waardoor organisaties hun processen echt op orde moeten hebben. Lees meer