alle gidsen

Training

3 lagen voor ai met klantdata

51% van de Nederlandse ondernemers vreest datalekken door AI, maar slechts 7% weet hoe de regels echt zitten. Deze gids dicht dat gat in drie concrete lagen: voorkom dat AI op jouw data traint, werk veilig met klantdata en volg een ondernemers-roadmap.

download de pdf
Bepaalt de provider of je data voor training wordt gebruikt?
Nee, het ligt niet aan de provider maar aan welk abonnement je gebruikt. Consumer-tier (ChatGPT Free of Plus, Claude Pro, de Gemini-app) gebruikt data standaard voor training; Anthropic zette die toggle in augustus 2025 zelfs default op aan, klein gedrukt onder een grote Accept-knop. Business-tier (ChatGPT Team of Enterprise, Claude for Work, Microsoft 365 Copilot, Gemini for Workspace) sluit training op klantdata contractueel uit, zwart-op-wit in de Commercial Terms en DPA's.
Waar zet je de trainingsinstelling uit?
Per tool op een andere plek. ChatGPT Free of Plus: Settings, Data Controls, "Improve the model" uit. Claude Pro of Max: Privacy Settings, "Help improve Claude" uit (aan sinds augustus 2025). Gemini-app: via myactivity.google.com de Gemini Apps Activity pauzeren. Bij de business-tiers (ChatGPT Team of Enterprise, Claude for Work, Microsoft 365 Copilot, Gemini for Workspace) staat het contractueel uit en is geen actie nodig.
Welke tier heb je nodig voor welk soort werk?
Dat hangt af van of er klantdata in zit. Marketing-teksten en eigen content zonder klantdata kunnen op Consumer Pro of business. Klant-mails, offertes en contracten vragen verplicht business, met EU-residency aanbevolen. Gevoelige CRM-data, contracten en financiële gegevens vragen business plus EU Data Boundary en een DPA-audit. Hoog-risico werk in zorg, finance of juridisch vraagt business plus EU plus een sectorale audit en een DPIA. Daarnaast gelden drie regels: één officieel AI-pakket voor het hele team, een schriftelijke werkinstructie van één pagina, en anonimiseer waar het kan.
Welke vijf stappen zet je als ondernemer?
Eén: een AI-inventarisatie, een lijst van alle AI-tools met per tool welke tier, wie het gebruikt en op welke data (ongeveer een uur werk). Twee: één tier-keuze voor het hele team, geen versnipperde abonnementen. Drie: beleid op één pagina, met wat wel en niet mag, wat te doen bij twijfel en wie eindverantwoordelijk is. Vier: training van mensen, zodat ze weten waarom de regels er zijn en niet alleen wat ze zijn. Vijf: toezicht vanaf 2 augustus 2026, wanneer de EU AI Act geldt; houd dan een AI-register bij en markeer AI-gegenereerde content als AI.
Wat is wél een echt risico, als het niet om training gaat?
De echte risico's zitten in de mens en de configuratie, niet in training. Credential theft: Group-IB vond in 2022-2023 ruim 101.000 met infostealer besmette devices met opgeslagen ChatGPT-credentials; oplossing is MFA verplicht en geen wachtwoord-hergebruik. Cross-user lekken: de Redis-bug van maart 2023 toonde gesprekstitels van 1,2% van de ChatGPT Plus-gebruikers aan andere users. Shadow-IT: Samsung-engineers plakten broncode in consumer-ChatGPT zonder dat IT het wist; oplossing is één officieel pakket plus monitoring. Prompt injection: agents zijn misleid via verstopte instructies in e-mails of documenten; laat agents niet zonder review op klantdata los. Training is in 99% van de MKB-AI-incidenten niet het probleem.
nlen