Even snel een e-mail laten herschrijven. Een verslag samenvatten. Of een Excel-formule laten bouwen. Generatieve AI maakt werk makkelijker tot iemand onbewust persoonsgegevens of vertrouwelijke bedrijfsinformatie in een chat plakt.
En dát is precies waar het in de praktijk misgaat: niet door slechte intenties, maar door onduidelijke afspraken en een “het zal wel kunnen”-gevoel. De Autoriteit Persoonsgegevens (AP) waarschuwde al dat het invoeren van persoonsgegevens in AI-chatbots kan leiden tot datalekken.
In dit blog krijg je heldere regels, voorbeelden én een checklist: wat mag wel, wat mag niet, en wat is slim als je AI gebruikt op de werkvloer (Nederland).
Heel simpel: zodra informatie herleidbaar is tot een persoon. Denk aan:
naam, e-mail, telefoonnummer
klantdossiers, medische info, HR-notities
personeelsbeoordelingen, verlof/ziekte
klantcases met details die iemand herkenbaar maken
De AVG (GDPR) draait om principes zoals dataminimalisatie, doelbinding, transparantie en beveiliging.
Met generatieve AI betekent dat: deel niet méér dan nodig is, gebruik het voor een duidelijk doel, en zorg dat je weet wat er met de data kan gebeuren.
Het grootste risico is niet AI zelf, maar wat mensen erin stoppen. AP benoemt expliciet het risico van ongeoorloofde toegang wanneer je persoonsgegevens invoert in AI-chatbots.
Ook zonder persoonsgegevens kan het misgaan:
prijzen, marges, contractvoorwaarden
interne strategie, offertes, leveranciersafspraken
niet-gepubliceerde resultaten, incidenten, klantlijsten
AI kan overtuigend klinken en tóch fouten maken. Dat is niet alleen kwaliteitsrisico; het kan ook juridisch/ethisch misgaan (bijv. discriminerende formuleringen of onjuiste claims). (Hier speelt AI-geletterdheid een grote rol.)
Hier zijn toepassingen die meestal veilig zijn, mits je geen gevoelige info toevoegt:
✅ Algemene teksten herschrijven
“Maak deze mail vriendelijker en korter” (zonder namen/klantdetails).
✅ Structuur & brainstorm
“Geef 5 koppen voor een blog over AI-geletterdheid.”
✅ Uitleg en training
“Leg het verschil uit tussen dataminimalisatie en doelbinding.”
✅ Template-werk
sjablonen voor vacatureteksten
standaard antwoorden voor klantenservice (generiek)
meeting agenda’s / actielijsten (zonder namen)
✅ Anoniem/gesynthetiseerd oefenen
Gebruik fictieve data (bijv. “Klant A”, “Order 123”) of synthetische voorbeelden.
Vuistregel: als je het niet in een openbare LinkedIn-post zou zetten, plak het dan ook niet in een publieke AI-chat.
❌ Persoonsgegevens in een publieke AI-chat
Namen, e-mails, klantcasussen, HR-notities. AP waarschuwt hiervoor i.v.m. datalekrisico.
❌ Bijzondere persoonsgegevens
Gezondheid, BSN, religie, politieke voorkeur, strafrechtelijke gegevens. (Extra gevoelig.)
❌ Contracten, offertes, interne cijfers
Omdat je niet altijd controle hebt over opslag/gebruik/retentie binnen tools en accounts.
❌ Complete exports / lijsten
Klantbestanden, medewerkerlijsten, supporttickets. Dat is bijna nooit noodzakelijk (dataminimalisatie).
Heb je nog steeds vragen? Geen zorgen. Hier behandelen we de belangrijkste vragen, zodat je precies weet waar je aan toe bent.” Staat je vraag er niet tussen? Neem dan gerust contact op met ons. Dan helpen we je graag verder
In principe: liever niet. Het invoeren van persoonsgegevens (zoals namen, e-mails, klantcases of dossierinformatie) kan privacy- en datalekrisico’s geven. Werk daarom bij voorkeur met geanonimiseerde of synthetische voorbeelden en maak duidelijke interne afspraken over welke tools wel/niet zijn toegestaan.
Bij anonimiseren kan niemand de informatie nog herleiden naar een persoon (ook niet met extra gegevens). Bij pseudonimiseren vervang je bijvoorbeeld namen door “Klant A”, maar als je via context alsnog kunt herleiden wie het is, dan is het nog steeds persoonsgegevens. Gebruik dus zo min mogelijk detail en verwijder herkenbare context.
Dat is risicovol, omdat je snel met persoonsgegevens en gevoelige informatie werkt. Als je AI inzet, doe dit dan alleen met sterk geanonimiseerde input, gebruik een beveiligde omgeving (zoals een goed ingerichte zakelijke oplossing) en zorg altijd voor menselijke controle en interne richtlijnen.
Dat verschilt per tool en per organisatie-instelling. Precies daarom is het slim om uit te gaan van de veilige regel: plaats geen gevoelige informatie in chats, tenzij je zeker weet hoe opslag, logging en toegang binnen jouw organisatie zijn geregeld.
Start met een AI-gedragscode (1 pagina): wat mag wel/niet, voorbeelden per afdeling, en een simpele reviewregel (“AI-output is concept”). Combineer dat met een korte training in AI-geletterdheid en privacy-bewust werken van Academie Nederland, zodat iedereen dezelfde spelregels begrijpt en toepast.
We helpen je graag bij het vinden van de training die bij jouw wensen aansluit.
