alle gidsen
Training
3 lagen voor ai met klantdata
51% van de Nederlandse ondernemers vreest datalekken door AI, maar slechts 7% weet hoe de regels echt zitten. Deze gids dicht dat gat in drie concrete lagen: voorkom dat AI op jouw data traint, werk veilig met klantdata en volg een ondernemers-roadmap.
download de pdf- Bepaalt de provider of je data voor training wordt gebruikt?
- Nee, het ligt niet aan de provider maar aan welk abonnement je gebruikt. Consumer-tier (ChatGPT Free of Plus, Claude Pro, de Gemini-app) gebruikt data standaard voor training; Anthropic zette die toggle in augustus 2025 zelfs default op aan, klein gedrukt onder een grote Accept-knop. Business-tier (ChatGPT Team of Enterprise, Claude for Work, Microsoft 365 Copilot, Gemini for Workspace) sluit training op klantdata contractueel uit, zwart-op-wit in de Commercial Terms en DPA's.
- Waar zet je de trainingsinstelling uit?
- Per tool op een andere plek. ChatGPT Free of Plus: Settings, Data Controls, "Improve the model" uit. Claude Pro of Max: Privacy Settings, "Help improve Claude" uit (aan sinds augustus 2025). Gemini-app: via myactivity.google.com de Gemini Apps Activity pauzeren. Bij de business-tiers (ChatGPT Team of Enterprise, Claude for Work, Microsoft 365 Copilot, Gemini for Workspace) staat het contractueel uit en is geen actie nodig.
- Welke tier heb je nodig voor welk soort werk?
- Dat hangt af van of er klantdata in zit. Marketing-teksten en eigen content zonder klantdata kunnen op Consumer Pro of business. Klant-mails, offertes en contracten vragen verplicht business, met EU-residency aanbevolen. Gevoelige CRM-data, contracten en financiële gegevens vragen business plus EU Data Boundary en een DPA-audit. Hoog-risico werk in zorg, finance of juridisch vraagt business plus EU plus een sectorale audit en een DPIA. Daarnaast gelden drie regels: één officieel AI-pakket voor het hele team, een schriftelijke werkinstructie van één pagina, en anonimiseer waar het kan.
- Welke vijf stappen zet je als ondernemer?
- Eén: een AI-inventarisatie, een lijst van alle AI-tools met per tool welke tier, wie het gebruikt en op welke data (ongeveer een uur werk). Twee: één tier-keuze voor het hele team, geen versnipperde abonnementen. Drie: beleid op één pagina, met wat wel en niet mag, wat te doen bij twijfel en wie eindverantwoordelijk is. Vier: training van mensen, zodat ze weten waarom de regels er zijn en niet alleen wat ze zijn. Vijf: toezicht vanaf 2 augustus 2026, wanneer de EU AI Act geldt; houd dan een AI-register bij en markeer AI-gegenereerde content als AI.
- Wat is wél een echt risico, als het niet om training gaat?
- De echte risico's zitten in de mens en de configuratie, niet in training. Credential theft: Group-IB vond in 2022-2023 ruim 101.000 met infostealer besmette devices met opgeslagen ChatGPT-credentials; oplossing is MFA verplicht en geen wachtwoord-hergebruik. Cross-user lekken: de Redis-bug van maart 2023 toonde gesprekstitels van 1,2% van de ChatGPT Plus-gebruikers aan andere users. Shadow-IT: Samsung-engineers plakten broncode in consumer-ChatGPT zonder dat IT het wist; oplossing is één officieel pakket plus monitoring. Prompt injection: agents zijn misleid via verstopte instructies in e-mails of documenten; laat agents niet zonder review op klantdata los. Training is in 99% van de MKB-AI-incidenten niet het probleem.