Het begint vaak onschuldig. Een medewerker laat ChatGPT een lastige klantmail herschrijven. Een projectleider plakt notulen in een prompt. De ondernemer gebruikt AI voor offertes en merkt dat hij eindelijk sneller door zijn administratie heen komt. Pas later komt de vraag: welke gegevens hebben we eigenlijk ingevoerd, wie gebruikt welk account en staat training op onze data uit?
Dit artikel is voor zzp’ers en mkb-teams die ChatGPT, Claude, Gemini of Copilot zakelijk willen gebruiken zonder kramp. De kern is niet “verbied alles”, maar “maak veilig werken de makkelijkste route”. Met een paar instellingen, werkafspraken en templates voorkom je shadow AI en houd je de productiviteitswinst vast.
TL;DR: veilig starten in 90 minuten - Gebruik zakelijke accounts waar mogelijk, niet losse privélogins. - Controleer data controls en leg vast of input voor modeltraining wordt gebruikt. - Maak 4 dataklassen: openbaar, intern, vertrouwelijk en verboden. - Bouw een promptbibliotheek voor terugkerende taken. - Verplicht menselijke controle bij klantcommunicatie, advies en cijfers.
Waarom een betaald account niet automatisch een veilig proces is
Veel ondernemers denken dat “we hebben Business” gelijkstaat aan “het is geregeld”. Een zakelijk abonnement helpt, vooral bij beheer, teamtoegang en databeleid. Maar veiligheid ontstaat pas als medewerkers weten wat ze wel en niet mogen invoeren, welke outputs gecontroleerd worden en waar ze goede prompts kunnen vinden.
Zonder afspraken zoekt iedereen zijn eigen route. De één gebruikt een privéaccount, de ander een browserextensie, de derde uploadt volledige klantdossiers omdat het nu eenmaal snel werkt. Dat is shadow AI: niet omdat mensen roekeloos zijn, maar omdat het officiële alternatief onduidelijk of onhandig is.
De oplossing is een licht werkprotocol. Niet 40 pagina’s beleid, maar 1 pagina regels, 1 pagina voorbeelden en 10 herbruikbare prompts. Daarmee verlaag je risico’s én verhoog je gebruik.
Stap 1: kies het accountmodel dat past bij je risico
Voor een solo-ondernemer kan een professioneel individueel abonnement voldoende zijn, mits data-instellingen goed staan en gevoelige klantdata buiten de tool blijft. Voor teams is een zakelijke omgeving verstandiger, omdat je gebruikers kunt beheren, toegang kunt intrekken en centrale afspraken kunt maken.
Kijk niet alleen naar prijs per maand. Let op beheerfuncties, datagebruik voor training, bewaartermijnen, exportmogelijkheden, ondersteuning voor teamspaces en de mogelijkheid om connectors te beperken. Als je werkt met juridische dossiers, medische gegevens, financiële klantinformatie of personeelsdata, moet de lat hoger liggen dan bij algemene marketingteksten.
Maak ook een exit-afspraak. Wie beheert het account? Wat gebeurt er als een medewerker vertrekt? Waar staan gedeelde prompts? Hoe voorkom je dat bedrijfskennis in persoonlijke chats blijft hangen? Dit zijn saaie vragen, maar ze besparen later gedoe.
Stap 2: controleer data controls en documenteer de keuze
Open de instellingen van je AI-tool en controleer of gesprekken, uploads of feedback gebruikt mogen worden om modellen te verbeteren. De exacte namen verschillen per aanbieder en veranderen regelmatig. Daarom is de beste werkwijze: screenshot maken, datum noteren en elk kwartaal opnieuw controleren.
Leg in je AI-register per tool vast: leverancier, abonnement, datatraining aan/uit, toegestane datatypes, eigenaar en laatste controle. Dit hoeft geen juridisch document te zijn. Een spreadsheet is genoeg zolang hij actueel blijft.
Belangrijk: zelfs als training uitstaat, betekent dat niet dat je onbeperkt persoonsgegevens of geheimen mag invoeren. Er blijven vragen over bewaartermijn, toegangsrechten, supportinzage, plugins, connectors en menselijke fouten. Data controls zijn een vangrail, geen vrijbrief.
Stap 3: maak 4 dataklassen die iedereen begrijpt
Gebruik geen abstracte securitytaal. Maak vier praktische klassen. Klasse 1: openbaar. Denk aan websiteteksten, productinformatie en algemene blogs. Dit mag meestal in AI. Klasse 2: intern. Denk aan procesnotities, conceptplannen en niet-gevoelige interne documenten. Dit mag alleen in goedgekeurde zakelijke tools.
Klasse 3: vertrouwelijk. Denk aan klantnamen, offertes, contracten, financiële details en personeelsinformatie. Dit mag alleen geanonimiseerd of in speciaal goedgekeurde omgevingen met duidelijke noodzaak. Klasse 4: verboden. Denk aan wachtwoorden, API-sleutels, volledige BSN’s, medische dossiers, betaalgegevens en informatie die je niet in een e-mail naar de verkeerde persoon zou durven sturen.
De kantinetest werkt goed: zou je deze tekst op het prikbord in de bedrijfskantine hangen? Zo nee, plak hem dan niet zomaar in AI. Voor nuance maak je voorbeelden uit je eigen bedrijf. Een installateur, marketingbureau en accountant hebben andere rode lijnen.
Stap 4: bouw een promptbibliotheek die veilig gedrag uitlokt
Mensen gebruiken onveilige prompts vaak omdat ze haast hebben. Geef ze betere startpunten. Maak een gedeelde promptbibliotheek met taken die vaak voorkomen: klantmail herschrijven, offerte structureren, vergadering samenvatten, FAQ opstellen, blogoutline maken, klacht analyseren en Excel-formule uitleggen.
Elke prompt bevat drie vaste regels: gebruik geen ontbrekende feiten, vraag door bij onzekerheid en markeer aannames. Voor klantcommunicatie voeg je toe: schrijf als concept, niet als definitieve waarheid. Voor cijfers voeg je toe: controleer berekeningen apart en geef aan welke input nodig is.
Een voorbeeld voor klantmail: “Herschrijf onderstaande tekst tot een duidelijke, vriendelijke conceptmail. Gebruik geen extra beloftes. Houd de feiten gelijk. Markeer zinnen waar juridische, financiële of planningstechnische controle nodig is. Output in Nederlands, maximaal 180 woorden.” Zo stuur je AI richting bruikbare voorzichtigheid.
Stap 5: regel menselijke controle per risiconiveau
Niet elke AI-output vraagt dezelfde controle. Een interne brainstorm mag losser. Een klantmail vraagt menselijke eindredactie. Een offertebedrag, juridisch advies, medische interpretatie of personeelsbesluit vraagt inhoudelijke controle door iemand die verantwoordelijk mag beslissen.
Maak een eenvoudige matrix. Laag risico: AI mag helpen, medewerker controleert vluchtig. Middel risico: medewerker controleert inhoud en toon. Hoog risico: specialist of ondernemer keurt goed. Verboden: AI niet gebruiken of alleen na expliciete toestemming en passende omgeving.
Dit voorkomt twee fouten: alles blokkeren en alles vertrouwen. De meeste productiviteitswinst zit in laag en middel risico. Laat medewerkers daar vrij werken binnen kaders, zodat ze niet stiekem naar privétools grijpen.
Stap 6: train je team met echte situaties
Een AI-training hoeft geen dagdeel te duren. Plan 45 minuten. Laat 5 voorbeelden zien: een veilige prompt, een prompt met te veel klantdata, een hallucinatie in een offerte, een goede anonimisatie en een output die te stellig klinkt. Vraag medewerkers wat ze zouden doen.
Sluit af met drie afspraken: welke tool gebruiken we, welke data is verboden en waar meld je twijfel of fouten? Laat iedereen bevestigen dat hij de regels kent. Voor de AI Act is AI-geletterdheid bovendien geen luxe; bedrijven moeten kunnen aantonen dat mensen die met AI werken passende kennis hebben.
Herhaal elk kwartaal 15 minuten. Nieuwe functies zoals agents, connectors en bestandstoegang veranderen het risico. Een update is makkelijker dan een incident uitleggen.
Praktijkvoorbeeld: klein bureau met veel klantteksten
Een marketingbureau met 7 medewerkers gebruikte AI dagelijks, maar versnipperd. Sommigen werkten in privéaccounts, klantbriefings werden soms volledig geplakt en niemand wist welke prompts goed waren. De eigenaar wilde niet terug naar langzaam handwerk, maar kreeg buikpijn van de datarisico’s.
In één week stapten ze over op zakelijke accounts, maakten ze een dataklassenkaart en bouwden ze 12 prompts voor vaste taken. Klantnamen werden standaard vervangen door “Klant A” tenzij er een duidelijke reden was. Offertes en claims kregen een controlelabel. Nieuwe medewerkers kregen bij onboarding 30 minuten AI-uitleg.
De output werd niet minder creatief. Integendeel: omdat medewerkers minder twijfelden, gebruikten ze AI vaker voor veilige taken en minder voor riskante improvisatie. Veiligheid werd geen rem, maar een spoor waarlangs sneller gewerkt kon worden.
Checklist: ChatGPT Business veilig inrichten
- Kies zakelijke accounts voor teamgebruik
- Controleer data controls en maak screenshots
- Maak een AI-register met eigenaar per tool
- Definieer 4 dataklassen met voorbeelden
- Verbied wachtwoorden, sleutels en gevoelige dossiers in gewone prompts
- Maak 10 veilige prompttemplates
- Stel controle per risiconiveau vast
- Train medewerkers 45 minuten
- Review instellingen elk kwartaal
- Log incidenten en verbeter prompts daarna
FAQ
Mag klantdata nooit in ChatGPT? Niet zo absoluut. Openbare of geanonimiseerde gegevens kunnen vaak veilig worden gebruikt in een goedgekeurde zakelijke omgeving. Vertrouwelijke persoonsgegevens, dossiers en geheimen vragen strengere beoordeling of horen er niet in.
Is ChatGPT Business AVG-proof? Een abonnement kan helpen, maar AVG-proof hangt af van jouw gebruik, instellingen, verwerkersafspraken, dataminimalisatie en controle. Behandel het als onderdeel van je proces, niet als keurmerk.
Hoe voorkom ik dat medewerkers privétools blijven gebruiken? Maak de veilige route makkelijker dan de onveilige. Geef toegang tot goede tools, duidelijke voorbeelden en snelle templates. Alleen verbieden werkt zelden als mensen onder tijdsdruk staan.
Conclusie
Zakelijk AI-gebruik wordt pas volwassen als productiviteit en controle samen optrekken. Data controls, dataklassen en prompttemplates klinken misschien administratief, maar ze geven medewerkers juist ruimte. Iedereen weet wat kan, wat niet kan en wanneer een mens moet meekijken.
Begin klein: instellingen controleren, vier dataklassen opschrijven en tien prompts delen. Binnen 90 minuten heb je een veiliger fundament dan veel bedrijven met alleen een betaald account en goede bedoelingen.
Direct toepasbare prompt
"Geef me een praktische aanpak voor [probleem] voor een Nederlands mkb-bedrijf. Houd het kort, met concrete stappen en voorbeeldtekst."