Jouw medewerkers gebruiken ChatGPT. Misschien al maanden. Misschien weet je het niet eens precies. Dat hoeft geen probleem te zijn, maar het kan wel betekenen dat klantgegevens, contractteksten of interne informatie onbewust terechtkomen bij een extern AI-systeem. De vraag is niet of je AI mag gebruiken. De vraag is of je dat doet op een manier die jouw bedrijf niet blootstelt. Het goede nieuws: je hoeft geen technisch expert te zijn. Een paar gerichte controles en duidelijke afspraken met je Microsoft-partner zijn al een heel stuk van de weg.

Wat er met jouw gegevens gebeurt als je ChatGPT gebruikt

ChatGPT onthoudt standaard wat je intypt. Bij een gewoon gratis of betaald consumentenaccount wordt die informatie bewaard en kan ze gebruikt worden om het AI-model verder te trainen. Dat betekent concreet: als een medewerker een klantmail laat herschrijven of een offerte laat samenvatten, gaat die tekst de server van OpenAI op.

Een zakelijk account (ook wel een Enterprise-account genoemd) werkt anders. Daarin worden gegevens niet gebruikt voor modeltraining en gelden strengere afspraken over hoe data bewaard wordt. Dat is een belangrijk onderscheid als je als bedrijf onder de GDPR (de Europese privacywetgeving) valt, en dat doet elke Belgische onderneming.

De Europese regelgeving rond AI en dataprivacy staat bovendien niet stil. OpenAI geeft aan dat enterprise-accounts als zogeheten ‘gegevensverwerker’ optreden onder de GDPR, wat juridisch een sterkere positie oplevert dan een gewoon consumentenaccount. Voor een kmo die klantendata verwerkt, is dat een relevant verschil. Vraag je dus eerst af welk type account jouw medewerkers momenteel gebruiken. Dat is de basis van alles wat daarna komt.

Vijf concrete stappen die je vandaag al kunt zetten

Je hoeft geen IT-specialist te zijn om deze stappen te laten uitvoeren. Bespreek ze met je Microsoft-partner of laat ze intern nalopen door iemand die toegang heeft tot de accountinstellingen.

1. Controleer welk type ChatGPT-account medewerkers gebruiken (gratis, Plus of Enterprise). Alleen een Enterprise-account biedt zakelijke privacywaarborgen.
2. Zet de trainingsoptie uit. In een gewoon account kun je in de privacy-instellingen aangeven dat jouw gesprekken niet gebruikt mogen worden voor modeltraining. ZDNet legt uit hoe je die instelling vindt en activeert.
3. Verwijder opgeslagen gespreksgeschiedenis. ChatGPT bewaart standaard je volledige gesprekshistoriek. Die kan je wissen en automatisch laten verwijderen.
4. Stel een interne gedragscode op. Eén A4 met duidelijke regels volstaat: geen klantnamen, geen contractbedragen, geen persoonsgegevens invoeren in ChatGPT.
5. Controleer of externe partners of freelancers ook ChatGPT gebruiken voor werk dat ze voor jou doen. Als zij jouw data intypen, gelden dezelfde risico’s.

Deze vijf stappen kosten geen geld, maar ze vragen wel discipline en een kort gesprek met je team.

Wat je bespreekt met je Microsoft-partner

Een snelcheck van de instellingen is een goede start, maar het is niet genoeg. Je Microsoft-partner kan een stap verder gaan en een korte audit uitvoeren: welke AI-tools worden er precies gebruikt, door wie, en onder welke accountvoorwaarden?

Daarnaast zijn er contractuele punten die je wil vastleggen. Dat zijn geen luxe-details voor grote bedrijven, ze zijn relevant voor elke kmo die klantendata verwerkt:

• Vraag je Microsoft-partner om te bevestigen of jullie gebruik van ChatGPT gedekt is door een verwerkersovereenkomst (een formeel contract dat bepaalt wie verantwoordelijk is voor jouw data).
• Als je een Enterprise-account gebruikt, controleer dan of OpenAI als gegevensverwerker in dat contract staat.
• Zorg dat de interne gedragscode schriftelijk vastligt, zodat medewerkers en freelancers weten wat wel en niet mag.

Soms merk je bij zo’n gesprek dat je verder moet: een juridische check of een diepere technische analyse. Dat hoeft niet meteen en niet altijd. Maar als je bedrijf gezondheidsdata, financiële gegevens of persoonsgegevens van klanten verwerkt, is het zeker de moeite om een jurist of privacyspecialist even mee te laten kijken. Bij Clear IT bekijken we dit soort vragen regelmatig samen met klanten, maar voor bindende juridische of compliance-adviezen verwijs je het best naar een specialist.

Begin klein, maar begin vandaag

Je hoeft ChatGPT niet te verbieden in jouw bedrijf. Maar blind laten gebruiken is ook geen optie. Zet eerst de trainingsoptie uit, maak duidelijke afspraken met je team en controleer welk type account je gebruikt. Dat is de snelste manier om de grootste risico’s te beperken zonder de productiviteit te raken. Plan daarna een kort gesprek met je Microsoft-partner om de audit en de contractuele punten te bespreken. Kleine stappen, groot verschil.

Veelgestelde vragen

Mag mijn medewerker ChatGPT gebruiken voor werktaken?

Dat mag, maar met duidelijke afspraken. Leg vast wat medewerkers niet mogen invoeren: klantnamen, contractbedragen, persoonsgegevens. Zorg ook dat je weet welk type account ze gebruiken, want een gratis account biedt minder bescherming dan een zakelijk account.

Wat is het verschil tussen een gratis ChatGPT-account en een Enterprise-account?

Bij een gratis of standaard betaald account kan jouw invoer gebruikt worden om het AI-model te trainen. Een Enterprise-account doet dat niet en biedt sterkere privacywaarborgen. Voor zakelijk gebruik met klantdata is dat onderscheid belangrijk.

Moet ik als kmo een verwerkersovereenkomst afsluiten met OpenAI?

Als je persoonsgegevens van klanten of medewerkers invoert in ChatGPT, is een verwerkersovereenkomst wettelijk verplicht onder de GDPR. Een Enterprise-account maakt dat eenvoudiger. Laat dit punt nakijken door je Microsoft-partner of een juridisch adviseur.

Wat als een freelancer of extern bureau ChatGPT gebruikt voor werk dat ze voor mij doen?

Dan gelden dezelfde privacyrisico’s. Vraag expliciet welke tools ze gebruiken en of ze jouw gegevens invoeren in AI-systemen. Leg in het contract vast wat wel en niet toegestaan is met jouw bedrijfsdata.