ChatGPT voor bedrijven: privacy, AVG en veilig gebruik
Mag je ChatGPT gebruiken met klantdata? Leer welke AVG-verplichtingen gelden, hoe abonnementen van elkaar verschillen en welke data nooit in ChatGPT mag.
Mag je ChatGPT gebruiken met klantdata? Leer welke AVG-verplichtingen gelden, hoe abonnementen van elkaar verschillen en welke data nooit in ChatGPT mag.
Je mag ChatGPT gebruiken op het werk, maar niet zomaar met alle data. De gratis versie stuurt jouw invoer standaard naar OpenAI voor modeltraining — inclusief klantgegevens en vertrouwelijke informatie. Voor zakelijk gebruik met persoonsgegevens gelden AVG-verplichtingen die de meeste bedrijven nog niet hebben geregeld.
Wat 88% van de medewerkers niet weet over ChatGPT en privacy
Medewerkers gebruiken ChatGPT massaal op het werk, maar de meesten weten niet hoe het platform omgaat met wat ze invoeren. Bijna negen op de tien medewerkers weet niet dat bij de gratis versie hun invoer standaard wordt gebruikt om het model verder te trainen.
Dat klinkt abstract, maar het heeft concrete gevolgen. Een medewerker die een klantgesprek samengevat in ChatGPT plakt, deelt daarmee persoonsgegevens van die klant met OpenAI. Een HR-medewerker die een functioneringsgesprek laat herschrijven, stuurt gevoelige personeelsdata de cloud in.
De kernvraag is niet of ChatGPT nuttig is — dat is het. De vraag is: welke regels stel jij als werkgever in om te zorgen dat het gebruik conform de AVG blijft?
Gratis vs Team vs Enterprise: hoe jouw data behandeld wordt per abonnement
Niet elk ChatGPT-abonnement gedraagt zich hetzelfde ten aanzien van jouw data.
Gratis en Plus
Jouw invoer wordt standaard gebruikt voor modeltraining. Je kunt dit handmatig uitzetten via Instellingen → Gegevensbeheer → Modelverbetering uitschakelen, maar dit geldt alleen voor nieuwe gesprekken. Wat je eerder hebt ingevoerd, is al verwerkt.
ChatGPT Team (~€23 per gebruiker per maand)
Jouw data wordt niet gebruikt voor training. Je hebt als beheerder controle over de workspace, kunt gedeelde GPT's aanmaken voor je team en krijgt hogere gebruikslimits. Dit is het minimale niveau voor zakelijk gebruik waarbij je met klantdata of persoonsgegevens werkt.
ChatGPT Enterprise
Uitgebreide beveiligingsopties: SSO, audit logs, encryptie met AES-256 en certificering voor SOC 2 Type 2 en ISO 27001. Voor bedrijven met strikte compliance-eisen of gevoelige sectoren zoals zorg, finance of juridisch is dit het juiste niveau.
De vuistregel: werk je met bedrijfsdata? Gebruik minimaal Team. Heb je compliance-verplichtingen? Kies Enterprise.
AVG-verplichtingen: verwerkersovereenkomst, DPIA en registerplicht
Als jouw medewerkers ChatGPT gebruiken met persoonsgegevens, ben je als bedrijf verantwoordelijk voor de correcte verwerking ervan. Dat brengt drie directe verplichtingen met zich mee.
1. Verwerkersovereenkomst (verplicht)
Je bent op grond van de AVG verplicht een verwerkersovereenkomst te sluiten met OpenAI als verwerker. Bedrijven die ChatGPT Team of Enterprise gebruiken, kunnen deze afsluiten via het OpenAI-klantportaal. Zonder verwerkersovereenkomst overtreedt je de AVG — ongeacht of er iets misgaat.
2. DPIA (Data Protection Impact Assessment)
Bij grootschalige verwerking van persoonsgegevens of gebruik van nieuwe technologieën zoals AI, ben je verplicht een DPIA uit te voeren. Een DPIA brengt de privacyrisico's van jouw AI-gebruik in kaart en toont aan dat je die risico's beheerst. De Autoriteit Persoonsgegevens verwacht dit bij structureel gebruik van AI-tools in bedrijfsprocessen.
3. Verwerkingsregister
Alle verwerkingen van persoonsgegevens moeten worden opgenomen in je verwerkingsregister. ChatGPT-gebruik waarbij klantdata wordt ingevoerd, telt daar ook bij. Een eenvoudige omschrijving van wie, wat, waarom en hoe lang verwerkt wordt, volstaat.
Boetes voor overtredingen kunnen hoog oplopen: tot €10 miljoen of 2% van de wereldwijde jaaromzet. In de praktijk kregen meerdere Nederlandse MKB-bedrijven in 2024 al boetes tussen €10.000 en €50.000 voor vergelijkbare overtredingen.
Welke data mag wél en welke mag nooit in ChatGPT
Een praktische indeling voor jouw team:
Groen: veilig in te voeren
- Teksten zonder namen of contactgegevens (algemene e-mailsjablonen, procesbeschrijvingen)
- Openbaar beschikbare informatie
- Interne communicatie zonder persoonsgegevens
- Creatieve brainstorms en ideeëngeneratie
Rood: nooit invoeren — ook niet in zakelijke accounts zonder DPIA
- Namen, adressen, e-mails of telefoonnummers van klanten of medewerkers
- Medische of gezondheidsgegevens
- Financiële gegevens van klanten (rekeningnummers, schulden, leningen)
- Vertrouwelijke contracten of offertes met klantinformatie
- HR-gegevens zoals functioneringsgesprekken, ziekmeldingen of salarisinfo
Maak van deze indeling een simpele A4 en deel die met je team. Eén heldere lijst doet meer dan een uitgebreid privacybeleid dat niemand leest.
Veilige alternatieven voor gevoelige bedrijfsdata
Soms wil je wél met gevoelige data aan de slag via AI. Dan zijn er betere opties dan de standaard ChatGPT-omgeving.
Microsoft Copilot (via Microsoft 365 Zakelijk)
Als je al Microsoft 365 gebruikt, is Copilot een logische keuze. Data blijft binnen de Microsoft-tenant van jouw bedrijf en valt onder de bestaande verwerkersovereenkomst. Ideaal voor bedrijven in de zakelijke dienstverlening of zorg die al in het Microsoft-ecosysteem werken.
Azure OpenAI / private deployment
Voor bedrijven die maximale controle willen, is een private Azure OpenAI-omgeving mogelijk. Jouw data wordt niet gedeeld met OpenAI en blijft binnen de EU. Dit vergt meer technische inrichting, maar biedt de sterkste compliance-garanties.
Lokale AI-modellen
Voor zeer gevoelige data bieden lokaal draaiende modellen een optie waarbij geen data de organisatie verlaat. Minder gebruiksvriendelijk, maar maximale controle voor sectoren met strenge dataregels.
Praktische bedrijfsregels die je morgen kunt invoeren
Je hoeft geen groot beleid te schrijven om te starten. Drie concrete stappen die direct effect hebben:
1. Maak een dataclassificatielijst
Eén A4 met "groen/rood"-data (zie hierboven). Deel dit via e-mail of hang het op bij werkplekken van medewerkers die veel met AI werken.
2. Stel een minimaal AI-gebruiksbeleid op
Twee regels volstaan voor de meeste MKB-bedrijven: gebruik alleen zakelijke accounts voor werkgerelateerde AI-taken, en voer nooit klant- of personeelsdata in zonder expliciete goedkeuring van de leidinggevende.
3. Upgrade naar ChatGPT Team
Als jouw medewerkers ChatGPT regelmatig gebruiken, is de overstap naar Team de eenvoudigste manier om de grootste risico's te mitigeren. De kosten (~€23/maand per persoon) wegen ruimschoots op tegen het risico van een datalek of AVG-boete.
Veelgestelde vragen
Mag ik ChatGPT gebruiken op mijn werk met klantdata?
Ja, maar alleen als je de juiste maatregelen hebt getroffen: een zakelijk abonnement (Team of Enterprise), een verwerkersovereenkomst met OpenAI, en duidelijke regels voor medewerkers over welke data ze mogen invoeren. Zonder deze stappen overtreedt je de AVG.
Wat zijn de AVG-risico's van ChatGPT voor bedrijven?
De grootste risico's zijn: data die zonder toestemming wordt gedeeld met OpenAI, het ontbreken van een verwerkersovereenkomst, en het niet uitvoeren van een DPIA bij grootschalige AI-inzet. De Autoriteit Persoonsgegevens houdt hier actief toezicht op en heeft al boetes opgelegd aan Nederlandse bedrijven.
Is ChatGPT Team AVG-proof?
ChatGPT Team is een stap in de goede richting: data wordt niet gebruikt voor training en je kunt een verwerkersovereenkomst afsluiten. Of het volledig AVG-proof is, hangt af van wat je invoert en hoe je het gebruik intern hebt geregeld. Voor sectoren met strikte compliance-eisen (zorg, finance) is Enterprise of een private deployment aan te raden.
Hoe duur is de overstap naar ChatGPT Team?
ChatGPT Team kost circa €23 per gebruiker per maand (jaarabonnement). Voor een team van tien medewerkers is dat €230 per maand. In vergelijking met de potentiële boetes voor AVG-overtredingen (€10.000 tot €10 miljoen) is dit een bescheiden investering.
Welke data mag ik absoluut nooit in ChatGPT invoeren?
Nooit invoeren: namen, adressen of contactgegevens van klanten of medewerkers, medische gegevens, financiële klantgegevens, vertrouwelijke contracten en HR-informatie zoals salarissen of functioneringsgesprekken. Dit geldt zowel voor de gratis versie als voor zakelijke accounts zonder expliciete dataclassificatie en DPIA.