Hoe weet je of AI-gebruik op de werkvloer voldoet aan de AVG?
Ontdek hoe je AI-gebruik op de werkvloer auditeert, ongeautoriseerde modellen blokkeert en AVG-compliant werkt met enterprise of lokale AI.
Jack van der Vall
8 min leestijd
Samenvatting: Medewerkers gebruiken AI op de werkvloer, vaak zonder dat IT of directie weet welke data er naar buiten gaat. Dit artikel helpt technisch directeuren om AI-gebruik te inventariseren, de AVG-risico’s te begrijpen, onveilige modellen te blokkeren en een verantwoord alternatief te kiezen: enterprise AI met contractuele bescherming of lokale AI die je netwerk nooit verlaat.
Laatst bijgewerkt: 6 april 2026 · Door Jack van der Vall, AI Engineer
Gerelateerd: lees ook welke processen je verantwoord automatiseert, hoe AI-contractanalyse bedrijfsrisico verlaagt, en onze diensten voor veilige AI-infrastructuur.
Wat is shadow AI en waarom is het een probleem?
Je medewerkers gebruiken AI. De vraag is niet óf ze het doen, maar welke data ze invoeren en bij welke aanbieder die data terechtkomt.
Uit een onderzoek van Software AG blijkt dat 50% van de werknemers AI-systemen gebruikt die niet zijn goedgekeurd door hun werkgever. Ze typen klantnamen in ChatGPT, plakken contractfragmenten in vertaalsystemen of laten offertes samenvatten door gratis AI-diensten.
Dit fenomeen heet shadow AI: het gebruik van AI-systemen buiten het zicht en de controle van de organisatie. Voor technische installatiebedrijven is het risico bijzonder concreet. Offertes bevatten prijsinformatie, klantadressen en technische specificaties. Contractdocumenten bevatten aansprakelijkheidsclausules en persoonlijke gegevens van opdrachtgevers. Wanneer deze informatie in een extern AI-model belandt, verlies je de controle over wie er toegang toe heeft.
Welke AI-modellen trainen op je invoer?
Niet elk AI-model verwerkt je data op dezelfde manier. Het verschil zit in het onderscheid tussen consumentenversies en zakelijke omgevingen.
De onderstaande tabel vat samen hoe de belangrijkste AI-aanbieders omgaan met invoerdata:
| AI-aanbieder | Versie | Traint op je data? | Datalocatie | AVG-verwerkersovereenkomst beschikbaar? |
|---|---|---|---|---|
| OpenAI | Gratis (ChatGPT) | Standaard ja, opt-out mogelijk | VS | Nee |
| OpenAI | Enterprise / API | Nee | VS, EU-optie beschikbaar | Ja |
| Vertex AI | Nee | EU-regio instelbaar | Ja | |
| Microsoft | Copilot (M365 tenant) | Nee, binnen je tenant | Conform je M365-regio | Ja |
| DeepSeek | Alle versies | Onduidelijk, data gaat naar China | China | Nee |
| Lokaal model | Ollama, vLLM | Nee, niets verlaat je netwerk | Je eigen server | Niet van toepassing |
De kern is helder: gratis AI-diensten en modellen zonder verwerkersovereenkomst vormen een AVG-risico wanneer medewerkers er persoonsgegevens of bedrijfsdata in invoeren.
Google Cloud documenteert expliciet dat Vertex AI-modellen niet worden gebruikt voor het trainen of finetunen van modellen zonder voorafgaande toestemming. Microsoft Copilot opereert binnen je bestaande Microsoft 365-tenant en verwerkt data volgens dezelfde contractuele afspraken als je e-mail en bestanden.
Bij aanbieders als DeepSeek is de situatie fundamenteel anders. Invoerdata wordt opgeslagen op servers in China en valt onder Chinese wetgeving. Een Algemene Verordening Gegevensbescherming (AVG)-conforme verwerkersovereenkomst is niet beschikbaar. Voor een Europees bedrijf dat persoonsgegevens verwerkt, is dat een directe complianceovertreding.
Wat zegt de AVG over AI-gebruik op de werkvloer?
De AVG is technologieneutraal. De regels voor het verwerken van persoonsgegevens gelden ongeacht of je data in een spreadsheet staat, een e-mail of een AI-prompt. Wanneer een medewerker een klantnaam, adres of contractdetail invoert in een extern AI-systeem, is dat een verwerkingshandeling.
Europese toezichthouders handhaven actief. In december 2024 legde de Italiaanse privacytoezichthouder (Garante) een boete van €15 miljoen op aan OpenAI wegens gebrekkige informatievoorziening over gegevensverwerking. De European Data Protection Board (EDPB) heeft daarnaast een specifieke taskforce opgericht voor AI-handhaving.
Voor een technisch MKB-bedrijf betekent dit drie concrete verplichtingen:
- Verwerkingsregister: Je moet documenteren welke AI-systemen persoonsgegevens verwerken, welke data erin gaat en waar die data wordt opgeslagen.
- Verwerkersovereenkomst: Als je een AI-dienst gebruikt die data opslaat of verwerkt, heb je een verwerkersovereenkomst nodig die voldoet aan de AVG-vereisten.
- Beleid en instructie: Medewerkers moeten weten welke AI-systemen ze mogen gebruiken en welke data ze niet mogen invoeren.
Zonder deze drie elementen loop je als verwerkingsverantwoordelijke een handhavingsrisico.
Hoe voer je een AI-audit uit?
Een AI-audit hoeft geen maandenlang traject te zijn. Voor een technisch installatiebedrijf met 10 tot 50 medewerkers is het een gestructureerde inventarisatie van vier elementen:
Stap 1: Inventariseer welke AI-systemen in gebruik zijn
Breng in kaart welke AI-diensten medewerkers gebruiken. Denk niet alleen aan ChatGPT. Browser-extensies voor vertaling, e-mail-assistenten en spraakherkenning vallen er ook onder. Vraag per afdeling na welke diensten ze dagelijks gebruiken.
Stap 2: Classificeer de datastromen
Voor elke geïdentificeerde AI-dienst, bepaal welke data erin gaat:
graph TD
A[Medewerker gebruikt AI-systeem] --> B{Welke data gaat erin?}
B -->|Geen persoonsgegevens| C[Laag risico]
B -->|Klantgegevens of contracten| D{Heeft aanbieder verwerkersovereenkomst?}
D -->|Ja, AVG-conform| E[Toegestaan mits geregistreerd]
D -->|Nee| F[Blokkeren of vervangen]
B -->|Bedrijfskritieke informatie| G{Waar wordt data opgeslagen?}
G -->|EU of lokaal| H[Beoordeel per geval]
G -->|Buiten EU, geen adequaatheidsbesluit| I[Blokkeren]Toegankelijke samenvatting: Een beslisboom die AI-gebruik classificeert op basis van datatype, beschikbaarheid van een verwerkersovereenkomst en opslaglocatie. Gebruik zonder persoonsgegevens is laag risico. Gebruik met klantdata vereist een AVG-conforme verwerkersovereenkomst. Opslag buiten de EU zonder adequaatheidsbesluit moet worden geblokkeerd.
Stap 3: Stel een goedgekeurde lijst op
Definieer welke AI-systemen medewerkers mogen gebruiken en onder welke voorwaarden. Een effectief AI-beleid voor het technische MKB bevat minimaal:
- Een lijst van goedgekeurde AI-systemen met hun classificatie
- Regels over welke datatypen in welk systeem mogen worden ingevoerd
- Een expliciete blokkadelijst voor aanbieders zonder verwerkersovereenkomst
- Instructies voor het melden van nieuw ontdekte AI-gebruik
Stap 4: Implementeer technische controles
Beleid zonder technische handhaving is een papieren tijger. Effectieve controles omvatten:
- DNS-blokkering van geblokkeerde AI-diensten op het bedrijfsnetwerk
- Endpoint-monitoring om ongeautoriseerd AI-gebruik te signaleren
- Browserbeheer om ongoedgekeurde extensies te voorkomen
- Periodieke heraudit (minimaal elk kwartaal)
Welke AI-infrastructuur is AVG-compliant voor het MKB?
Er zijn twee routes naar verantwoord AI-gebruik. De keuze hangt af van je datavolume, budget en technische complexiteit.
Route 1: Enterprise cloud met contractuele bescherming
Grote cloudplatforms bieden zakelijke AI-diensten met volledige AVG-dekking. Google Vertex AI en Microsoft Azure OpenAI Service zijn de meest volwassen opties voor het Europese MKB.
De voordelen zijn helder: geen eigen hardware, schaalbare capaciteit en een juridisch afdwingbare verwerkersovereenkomst. De kosten zijn gebruiksafhankelijk, doorgaans enkele honderden euro’s per maand voor een MKB-toepassing.
Route 2: Lokale AI-infrastructuur
Voor bedrijven met hoge geheimhoudingseisen of die structureel grote volumes bedrijfsgevoelige data verwerken, is lokale AI een serieus alternatief. Moderne open-source modellen draaien op gangbare server-hardware.
Wat kost lokale AI in 2026?
| Component | Specificatie | Geschatte kosten |
|---|---|---|
| Server met professionele GPU | NVIDIA RTX 4090 of A4000, 64GB RAM | €5.000 – €8.000 |
| Compacte werkstation-optie | NVIDIA RTX 4060, 32GB RAM | €2.500 – €3.500 |
| Software | Ollama, vLLM (open source) | €0 |
| Energieverbruik | 300-500W bij actief gebruik | €50 – €100/maand |
| Onderhoud en updates | Intern of uitbesteed | Variabel |
Met een investering van €3.000 tot €8.000 draai je modellen die geschikt zijn voor documentanalyse, contractscreening en offerte-assistentie. Die investering is vergelijkbaar met een standaard werkstation en beduidend lager dan de potentiële kosten van een AVG-boete.
De afweging is niet absoluut. Veel bedrijven combineren beide routes: lokale AI voor het verwerken van gevoelige contracten en klantdata, enterprise cloud voor taken waarbij schaalbare rekenkracht vereist is.
Ruwe data beschikbaar: AI Audit & Compliance Benchmark Data
Waarom lage adoptie het risico vergroot, niet verkleint
Volgens de CBS AI-Monitor 2025 gebruikt slechts 4,6% van de bedrijven in de bouwnijverheid AI-technologie. In het bredere MKB (10-249 medewerkers) ligt het percentage op 29,8%.
Die lage adoptiecijfers suggereren niet dat AI irrelevant is. Ze betekenen dat de meeste technische bedrijven nog geen formeel AI-beleid hebben. Juist in die situatie is shadow AI het gevaarlijkst: medewerkers experimenteren individueel, zonder kaders, zonder overzicht en zonder verwerkersovereenkomst.
De bedrijven die nu een audit uitvoeren en een beleidskader neerzetten, lopen niet achter. Ze lopen voor op de 95% die nog geen antwoord heeft op de vraag wie er meetraint op hun bedrijfsdata.
Veelgestelde Vragen
Mag een medewerker ChatGPT gebruiken voor werkgerelateerde taken?
Dat hangt af van de versie en je AVG-beleid. De gratis versie van ChatGPT kan invoer gebruiken voor modeltraining. De Enterprise-versie doet dat niet. Zonder bedrijfsbreed beleid loop je het risico dat persoonsgegevens of bedrijfsgevoelige informatie onbedoeld wordt verwerkt door een derde partij.
Is lokale AI haalbaar voor een bedrijf met 20 medewerkers?
Ja, maar het hangt af van de toepassing. Voor documentverwerking en contractanalyse volstaat een server met één professionele GPU. De hardwarekosten liggen rond de 3.000 tot 8.000 euro, vergelijkbaar met een standaard werkstation. Voor complexe toepassingen is een enterprise cloud-oplossing met contractuele databescherming vaak kosteneffectiever.
Wat als een medewerker al maanden bedrijfsdata in een gratis AI-dienst invoert?
Breng de omvang in kaart en documenteer welke datatypen zijn ingevoerd. Controleer of er persoonsgegevens bij zaten. Is dat het geval, dan kan een meldplicht bij de Autoriteit Persoonsgegevens gelden. Blokkeer de dienst direct en bied een goedgekeurd alternatief aan.
Belangrijkste Inzichten
- De helft van de werknemers gebruikt AI zonder goedkeuring van IT. Bij technische bedrijven gaat het om offertes, contracten en klantgegevens.
- Gratis AI-diensten en aanbieders zonder verwerkersovereenkomst vormen een direct AVG-risico.
- Een AI-audit voor het MKB omvat vier stappen: inventariseren, classificeren, autoriseren en technisch handhaven.
- Lokale AI-infrastructuur is haalbaar vanaf €3.000 en houdt gevoelige data binnen je eigen netwerk.
- Enterprise cloud-oplossingen met contractuele AVG-bescherming zijn geschikt voor schaalbare, minder gevoelige toepassingen.
Over de auteur
Jack van der Vall is AI Engineer bij Opusmatic, gespecialiseerd in AI-automatisering voor technische installatiebedrijven en het MKB in Zuid-Holland. Hij helpt bedrijven bij het auditen van AI-gebruik en het implementeren van veilige, AVG-conforme AI-infrastructuur die bedrijfsdata beschermt.
Lees verder
Hoe vermindert AI-contractanalyse bedrijfsrisico's?
Ontdek hoe AI-contractanalyse technische MKB-bedrijven helpt faalkosten te verlagen, Wkb-compliance te borgen en standaardvoorwaarden zoals UAV 2012 in minuten te beoordelen.
Welke administratieve processen je verantwoord kunt automatiseren in de techniek
Ontdek hoe technische installatiebedrijven administratieve druk kunnen verlagen en effectief kunnen voldoen aan de Wkb door middel van robuuste systeemarchitectuur.
Hoe maken installatiebedrijven sneller een offerte — zonder opnieuw te beginnen bij elke aanvraag?
Ontdek hoe je het offerteproces versnelt door gefragmenteerde systemen te koppelen met robuuste systeemintegratie en AI-architectuur.