AI op de werkvloer: wat elke KMO moet regelen
Uw medewerkers gebruiken AI. De vraag is niet of, maar hoeveel. En de kans is groot dat u daar geen zicht op heeft.
Wat er in de praktijk gebeurt.
Een medewerker plakt een offerte in ChatGPT om er een nette mail van te maken. Een collega uploadt een intern document in Claude of Gemini om een samenvatting te krijgen. Iemand vertaalt een vertrouwelijk contract via DeepL. Een ander laat Copilot een analyse draaien op klantgegevens.
Niemand doet dit met kwade bedoelingen. Maar die bedrijfsdata staan nu op servers van een Amerikaans techbedrijf. Zonder verwerkersovereenkomst. Zonder dat u het weet.
Waarom dit een probleem is.
Alles wat u intypt in de gratis versie van ChatGPT, Claude, Gemini of andere AI-tools kan gebruikt worden om het model te trainen. Uw offerteprijzen, klantnamen, interne documenten. Het verlaat uw bedrijf op het moment dat iemand op “enter” drukt. Hetzelfde geldt voor vertaaltools als DeepL en Google Translate: ook daar worden teksten verwerkt op externe servers.
De Autoriteit Persoonsgegevens waarschuwt hier expliciet voor: persoonsgegevens invoeren in een AI-chatbot zonder toestemming is een datalek. Bij de gemeente Eindhoven werden in 2025 jeugdzorgdossiers en interne rapporten ontdekt in publieke AI-tools. Bij Samsung lekte vertrouwelijke broncode via ChatGPT.
Dit zijn geen uitzonderingen. Onderzoek toont dat meer dan 7% van de werknemers die ChatGPT gebruiken al bedrijfsdata heeft ingevoerd. Bij de meeste KMO’s bestaan er simpelweg geen afspraken over wat wel en niet mag.
Wat u als KMO moet regelen
Maak duidelijke afspraken. Niet “gebruik geen AI”, want dat werkt niet. Wel: welke data mag er in, welke niet? Geen klantnamen, geen offertes, geen personeelsgegevens, geen financiële data.
Kies de juiste tools. De gratis versies van ChatGPT, Claude, Gemini en DeepL bieden weinig garanties over wat er met uw data gebeurt. Zakelijke versies zoals Claude Team, Microsoft 365 Copilot, Google Gemini for Workspace of DeepL Pro bieden betere controle en sluiten uw data uit van modeltraining.
Informeer uw team. De meeste medewerkers beseffen niet dat wat ze intypen wordt opgeslagen. Een kort gesprek of een eenvoudige richtlijn maakt al een groot verschil.
Denk aan GDPR. Als er persoonsgegevens van klanten of medewerkers in een AI-tool terechtkomen, bent u als werkgever verantwoordelijk. Niet de medewerker die het intikte. U. En met de komst van NIS2 kunnen ook uw klanten u vragen stellen over hoe u met data en beveiliging omgaat.
AI verbieden is geen optie
AI gaat niet meer weg. Uw medewerkers worden er productiever door en dat is positief. Maar zonder spelregels is het alsof u uw bedrijfsdocumenten op straat legt en hoopt dat niemand ze oppakt.
De oplossing is niet verbieden, maar regelen. En dat begint met één simpele vraag: weet u welke data uw team vandaag in AI-tools stopt?
Bronnen:
- Autoriteit Persoonsgegevens: gebruik AI-chatbot kan leiden tot datalek – Autoriteit Persoonsgegevens
- Gemeente Eindhoven blokkeert ChatGPT na datalek – Binnenlands Bestuur
- Samsung bans ChatGPT after staff leak – Bloomberg
- VLAIO: waarom artificiële intelligentie – VLAIO
- EU AI Act: strengere regels vanaf augustus 2025 – KMOinsider
Wilt u weten hoe uw bedrijf er vandaag voorstaat op vlak van IT-beveiliging?
Vraag een Security & IT-audit aan.
Johnathan Kesteloot
Managing Director