Gevoelige Data in ChatGPT: Risicobeheer, AVG-regels en Veilige Alternatieven

Het invoeren van gevoelige data of persoonsgegevens in de publieke versie van ChatGPT is een significant veiligheidsrisico en veelal een overtreding van de Algemene Verordening Gegevensbescherming (AVG). Gegevens die u deelt, zoals klantnamen, BSN-nummers of contracten, worden opgeslagen op externe (vaak Amerikaanse) servers en kunnen gebruikt worden om toekomstige AI-modellen te trainen. De Autoriteit Persoonsgegevens waarschuwt expliciet voor deze AI-datalekken. Gebruik voor het verwerken van bedrijfsgeheimen en persoonsgegevens uitsluitend afgeschermde bedrijfsomgevingen zoals ChatGPT Enterprise of Microsoft 365 Copilot, en hanteer altijd strikte anonimisering.

Het gebruik van generatieve AI-tools biedt enorme productiviteitsvoordelen, maar de omgang met bedrijfsdata brengt aanzienlijke risico's met zich mee. Wanneer medewerkers klantinformatie, financiële prognoses of patiëntendossiers kopiëren en plakken in de publieke versie van ChatGPT, verlaat deze data de veilige bedrijfsomgeving. Dit leidt niet alleen tot mogelijke bedrijfsspionage en reputatieschade, maar kan ook resulteren in hoge boetes wegens overtreding van de Algemene Verordening Gegevensbescherming (AVG).

Dit artikel biedt een gedetailleerde analyse van de risico's rondom gevoelige data in ChatGPT, de juridische kaders van de AVG in relatie tot kunstmatige intelligentie, en de technische en beleidsmatige alternatieven om veilig met Large Language Models (LLM's) te werken.

Waarom gevoelige data in de publieke ChatGPT een risico vormt

Wanneer een gebruiker een prompt invoert in de standaard, gratis versie van ChatGPT (of ChatGPT Plus), worden deze gegevens verstuurd naar de servers van OpenAI, voornamelijk gevestigd in de Verenigde Staten. De voorwaarden van OpenAI stellen expliciet dat de ingevoerde conversaties gebruikt mogen worden om toekomstige iteraties van hun taalmodellen te trainen.

Dit mechanisme creëert twee fundamentele beveiligingsproblemen:

1. Retentie op externe servers: De data wordt opgeslagen buiten de invloedssfeer van uw IT-beheerders. U kunt deze gegevens na invoer doorgaans niet selectief verwijderen.
2. Trainingsdata blootstelling (Memorization): Zodra modellen getraind worden op uw data, bestaat het risico dat deze data – inclusief bedrijfsgeheimen of persoonsgegevens – onbedoeld wordt gereproduceerd wanneer een andere gebruiker buiten uw organisatie een specifieke, gerelateerde prompt invoert.

Zodra gevoelige data in het model is geïncorporeerd via training, is het technisch uitermate complex, zo niet onmogelijk, om de AI deze specifieke kennis te laten "vergeten" (machine unlearning). Hierdoor ontstaat een permanent risico op blootstelling. Voor meer informatie over de bredere maatschappelijke en zakelijke implicaties van dit soort AI-vraagstukken, kunt u de andere zorgen over AI raadplegen.

Wat is een AI-datalek volgens de AVG?

De Autoriteit Persoonsgegevens (AP) heeft in 2024 expliciet gewaarschuwd voor de gevaren van het invoeren van persoonsgegevens in chatbots. Volgens de AVG is er sprake van een datalek wanneer persoonsgegevens onbedoeld of ongeautoriseerd worden vernietigd, verloren gaan, gewijzigd, verstrekt of toegankelijk gemaakt.

Wanneer een medewerker persoonsgegevens (zoals de naam van een cliënt, een medische aandoening of een combinatie daarvan) in een publieke AI-tool plaatst, kwalificeert dit wettelijk als een ongeautoriseerde verstrekking aan een derde partij. Er ontbreekt in dergelijke gevallen namelijk een geldige verwerkersovereenkomst (Data Processing Agreement).

Een bekende casus die nationale aandacht kreeg, betrof de gemeente Eindhoven. Hier bleken ambtenaren burgergegevens te hebben ingevoerd in ChatGPT om teksten te redigeren en samen te vatten. De gemeente moest dit formeel als datalek melden bij de AP en de functionaliteit op het interne netwerk onmiddellijk blokkeren. Organisaties riskeren bij dergelijke overtredingen boetes tot 20 miljoen euro of 4% van de wereldwijde jaaromzet.

Welke gegevens u absoluut niet met AI mag delen (Tabel)

Om medewerkers duidelijke richtlijnen te geven, is het cruciaal om exact te definiëren wat onder 'gevoelige data' valt. Elk informatiebeveiligingsbeleid omtrent AI dient in ieder geval de volgende categorieën expliciet te verbieden in publieke AI-tools.

Categorie	Voorbeelden van specifieke datapunten	Potentiële impact bij lek
Persoonsgegevens (PII)	BSN-nummers, NAW-gegevens, geboortedata, paspoortnummers.	Identiteitsfraude, zware AVG-boetes, reputatieschade.
Bijzondere persoonsgegevens	Medische dossiers, politieke voorkeur, ras, biometrische data.	Schending van grondrechten, directe AP-interventie.
Financiële bedrijfsinformatie	Ongepubliceerde kwartaalcijfers, budgetplannen, bankrekeningen.	Handel met voorwetenschap, concurrentienadeel, financiële fraude.
Intellectueel Eigendom (IP)	Niet-gepatenteerde uitvindingen, ruwe broncode met API-keys.	Diefstal van bedrijfsgeheimen, verlies van concurrentievoordeel.
Klant- en leveranciersdata	Sluitende contracten, prijsafspraken, NDA's.	Contractbreuk, vertrouwensverlies, verlies van accounts.

Voor organisaties is een heldere demarcatie cruciaal. Wilt u uw zakelijke kaders juridisch en technisch borgen, ondersteund door diepgaand marktonderzoek, overweeg dan het inzetten van AI-consultancy voor veilig AI-beleid of bekijk de best practices in de AI-rapporten van ai.nl.

Veilige AI-alternatieven voor bedrijfsmatig gebruik

Als u de functionaliteit van generatieve AI wilt benutten zonder data in gevaar te brengen, biedt de markt diverse zakelijke alternatieven waarbij privacy by design centraal staat. De keuze voor een specifiek platform hangt af van uw compliance-eisen (zoals ISO 27001 of NEN 7510) en budget.

1. ChatGPT Enterprise en Team

OpenAI biedt zakelijke abonnementsvormen (Enterprise en Team) die fundamenteel afwijken van de publieke versies. Bij deze abonnementen staat expliciet in de contracten dat klantinvoer niet wordt gebruikt voor het trainen van de modellen van OpenAI. Bovendien stelt OpenAI hiervoor verwerkersovereenkomsten (DPA) beschikbaar, is Single Sign-On (SSO) mogelijk en kan geëist worden dat bedrijfsdata behouden blijft binnen Enterprise-omgevingen via specifieke retentie-instellingen.

2. Microsoft 365 Copilot en Azure OpenAI

Voor veel organisaties die al gebruikmaken van het Microsoft-ecosysteem, is Microsoft 365 Copilot de meest logische stap. Deze AI werkt met dezelfde GPT-modellen, maar is geïsoleerd binnen de tenant (afgeschermde bedrijfsomgeving) van de organisatie. Data die door Copilot wordt verwerkt, blijft in principe in dezelfde geografische regio (EU Data Boundary) en erfta automatisch de reeds ingestelde toegangsrechten van SharePoint en Teams. Er vindt geen modeltraining plaats met tenant-data.

3. Europese en Open-Source Modellen

Voor organisaties met de hoogste veiligheidseisen—zoals de rijksoverheid, defensie of banken—is afhankelijkheid van Amerikaanse techreuzen soms ongewenst vanwege de US Cloud Act. Europese alternatieven zoals Mistral (Le Chat), gehuisvest in Frankrijk, voldoen strikter aan de EU-visie op datasouvereiniteit. Daarnaast kan een organisatie kiezen voor Llama (Meta) of andere open-source modellen en deze on-premises of in een zelfbeheerde Europese cloudomgeving hosten. In deze opzet stuurt u absoluut geen data naar externe partijen.

Data anonimiseren en pseudonimiseren (Prompting technieken)

Zelfs bij het gebruik van zakelijke AI-omgevingen raadt the best practice aan het principe van dataminimalisatie toe te passen. Voor het samenvatten of verwerken van teksten hoeft een AI-model vaak de specifieke namen of unieke identifiers niet te kennen. We onderscheiden twee technieken om prompts te ontdoen van gevoeligheid:

• Anonimiseren: Reeds ingevoerde data is definitief niet meer te herleiden naar een persoon. Bijvoorbeeld, het wijzigen van "Patiënt Johan de Vries, BSN 12345678, heeft diabetes" naar "Een anonieme patiënt heeft diabetes".
• Pseudonimiseren: Gegevens worden vervangen door een synoniem of code, waarbij de sleutel lokaal wordt bewaard. Bijvoorbeeld het veranderen van namen in "[Klant A]" en "[Klant B]". De AI herstructureert de tekst, en na de output vervangt u lokaal (buiten de AI-tool) "[Klant A]" weer terug naar de echte naam.

Het trainen van medewerkers op het herkennen en redigeren van dit soort data is essentieel voor een veilige AI-uitrol. Voor gerichte workshops en cursussen biedt platforms zoals ai.nl verantwoorde ChatGPT-training om teams deze vaardigheden aan te leren.

Privacy-instellingen aanpassen in standaard ChatGPT

Hoewel bedrijfsbrede adoptie van publieke ChatGPT wordt afgeraden, maken miljoenen professionals er toch lokaal gebruik van. Mocht een medewerker – in de rol van zzp'er, student, of via privégebruik – toch de reguliere (gratis of Plus) applicatie gebruiken voor minder kritieke data, dan kunnen de risico's op trainingsblootstelling handmatig geminimaliseerd worden.

U kunt in de instellingen van ChatGPT voorkomen dat gesprekken worden gebruikt voor AI-training:

1. Klik linksonder op uw profielnaam.
2. Navigeer naar Settings (Instellingen).
3. Ga naar Data controls (Gegevensbeheer).
4. Schakel de optie Chat history & training uit.

Let op: Door deze optie uit te zetten, wordt de chathistorie niet meer bewaard op uw account, wat het navigeren door oude prompts bemoeilijkt. Dit is bovendien een persoonlijke instelling en kan door een IT-afdeling niet centraal worden afgedwongen in de gratis versie.

Technisch toezicht en Data Loss Prevention (DLP)

Naast het informeren en opleiden van personeel, zijn technische blokkades vaak noodzakelijk om datalekken definitief in de kiem te smoren. Netwerkbeheerders en CISO's zetten steeds vaker Data Loss Prevention (DLP) tools en Cloud Access Security Brokers (CASB) in om data-exfiltratie naar AI-tools te voorkomen.

Een DLP-tool controleert real-time netwerkverkeer en klembordactiviteiten. Wanneer een medewerker het BSN-patroon (een specifiek nummer van negen cijfers) of het patroon van een creditcardnummer markeert, kopieert en deze probeert te plakken in het domein chat.openai.com of claude.ai, grijpt het systeem in. DLP-systemen kunnen:

• Waarschuwen (Soft block): Er verschijnt een pop-up die vraagt: "Weet u zeker dat u burgerservicenummers wilt verzenden naar een externe website? Dit is in strijd met het beleid."
• Blokkeren (Hard block): De tekstuitvoer (paste-actie) wordt technisch geblokkeerd en er gaat direct een automatische melding (alert) naar de IT-helpdesk.
• Domeinblokkade (DNS-level block): De toegang tot onbeoordeelde AI-websites wordt tijdelijk stopgezet of omgeleid naar de goedgekeurde interne bedrijfs-chatbot.

De impact van AI-hallucinaties op bedrijfscontinuïteit

Wanneer u AI voedt met ruwe, interne data zonder goede vangrails, speelt er naast het risico op het lekken van data, ook een integriteitsrisico. Generatieve AI is getraind om plausibele, goed lezende stukken tekst te produceren, niet om per se de feitelijke waarheid te garanderen. Dit fenomeen staat bekend als een hallucinatie.

Als een medewerker (gepseudonimiseerde) financiële contracten invoert met de vraag: "Bereken de totale afschrijving van de afgelopen vier kwartalen", kan het LLM correct ogende, maar wiskundig foute bedragen genereren. Veel standaard tekstmodellen zijn niet geoptimaliseerd voor berekeningen zonder de Advanced Data Analysis plugins.

Waneer gevoelige beslissingen—zoals juridisch advies of kredietbeoordelingen—door mensen direct worden gekopieerd vanuit een AI-output zonder een menselijke "human-in-the-loop" review, leidt dit tot operationele fouten. Data mag dan misschien wel of niet gelekt zijn; als de output niet klopt, richt het alsnog schade aan binnen bedrijfsbeslissingen.

Een robuust, intern AI-beleid opstellen (Checklist)

Voorkomen is beter dan genezen. Elke moderne organisatie moet inmiddels over een expliciet AI-protocol of een AI Acceptable Use Policy (AUP) beschikken, ongeacht de bedrijfsomvang. Dit beleid dekt niet alleen AI-chatbots af, maar ook AI-plugins, browser-extensies en API-koppelingen.

Neem in uw beleid de volgende fundamenten op:

• Aanwijsbare whitelisting: Exact opsommen welke AI-tools (specifieke versies) zijn vrijgegeven voor organisatiegebruik.
• Geclassificeerde datastromen: Het "Stoplichtmodel". Groen voor openbare data; Oranje voor interne data die met zorg in bedrijfsomgevingen (Enterprise/Copilot) mag; Rood voor streng persoonsgebonden of kritische financiële data die wellicht uitsluitend intern-gehoste on-premise AI mag voeden.
• Aanpak rondom output: Richtlijnen dat medewerkers eindverantwoordelijk blijven voor alles wat een AI genereert en publiceert onder naam van de organisatie.
• Rechtsbasis: Het garanderen dat het gebruik de AVG nakomt, eventueel gesterkt met een Data Protection Impact Assessment (DPIA) voor structurele inzet van AI op gevoelige data.

Door voor bewuste bedrijfsaccounts te kiezen, medewerkers proactief te trainen in het herkennen van gevoelige data, en technische oplossingen zoals DLP in te zetten, behouden organisaties de controle. Artificial Intelligence kan uw bedrijfskritische processen aanzienlijk versnellen, zolang deze versnelling niet ten koste gaat van compliance en informatieveiligheid.