Checklist Privacy

Is dit AI-tool veilig voor bedrijfsdata?

Acht vragen waarmee je snel beoordeelt of een AI-tool geschikt is voor gebruik met interne of gevoelige informatie. Uitkomst: groen, oranje of rood.

Hoe gebruik je deze checklist?

Beoordeel een tool in vijf minuten

Voordat je een AI-tool inzet met bedrijfsdata, klantgegevens of interne documenten, loont het om acht gerichte vragen te stellen. De antwoorden bepalen het kleuradvies: groen (veilig in te zetten), oranje (aanvullende stappen nodig) of rood (niet inzetten zonder nader onderzoek).

Dit is geen juridisch advies. Het is een praktisch startpunt voor de beoordeling. Bij twijfel of gevoelige data: laat een specialist meekijken.

De acht vragen

Stel jezelf deze vragen

1

Slaat de aanbieder jouw invoer op voor modeltraining?

Veel gratis AI-tools gebruiken wat je intypt standaard om hun model te verbeteren. Dat betekent dat jouw tekst in de trainingsdata terechtkomt.

Nee of opt-out beschikbaar: groen signaal
Ja of onduidelijk: rood signaal
2

Is er een verwerkersovereenkomst beschikbaar?

Als de tool persoonsgegevens verwerkt, is een verwerkersovereenkomst (DPA) verplicht onder de AVG. Serieuze aanbieders hebben dit document beschikbaar in hun privacy-documentatie.

Ja: groen signaal
Nee of niet gevonden: rood signaal
3

Worden gegevens buiten de EU opgeslagen of verwerkt?

Opslag of verwerking buiten de EU is niet verboden, maar vereist aanvullende waarborgen (standaard contractuele bepalingen of adequaatheidsbesluit). VS-servers vallen hier doorgaans onder.

Alleen binnen EU: groen signaal
Buiten EU met SCC: oranje signaal
Onduidelijk: rood signaal
4

Is er een actuele, AVG-conforme privacyverklaring?

De aanbieder moet helder uitleggen welke data worden verzameld, waarvoor, hoe lang ze worden bewaard en wie er toegang toe heeft.

Ja, specifiek en actueel: groen signaal
Vaag of outdated: oranje signaal
5

Is de tool goedgekeurd door je eigen IT/security afdeling?

Interne beoordeling voorkomt dat individuele medewerkers het wiel opnieuw uitvinden. Een goedgekeurde toollijst beschermt de organisatie én biedt medewerkers houvast.

Ja: groen signaal
Nog niet beoordeeld: oranje signaal
Geen intern proces: rood signaal
6

Kun je kiezen om niet bij te dragen aan modeltraining?

Zakelijke abonnementen en enterprise-versies bieden doorgaans een opt-out of standaard geen trainingsgebruik. Gratis consumentenversies doen dit zelden.

Ja: groen signaal
Nee: rood signaal voor gevoelige data
7

Is bekend wie toegang heeft tot ingevoerde data?

Kunnen medewerkers van de aanbieder meelezen? Alleen geautomatiseerde systemen? Is er toegangslogging? Dit raakt aan data-security en vertrouwelijkheid van bedrijfsinformatie.

Duidelijk gedocumenteerd: groen signaal
Niet vermeld: rood signaal
8

Heeft de aanbieder een actueel beveiligingscertificaat?

Certificaten zoals ISO 27001, SOC 2 Type II of vergelijkbaar tonen aan dat de aanbieder informatiebeveiliging serieus neemt en dit extern laat toetsen.

Ja: groen signaal
In aanvraag: oranje signaal
Geen: rood signaal voor gevoelige data
Wat meten we?

Groen: de tool voldoet aan dit criterium (DPA aanwezig, opt-out beschikbaar, EU-hosting, etc.). Oranje: het criterium is gedeeltelijk of onduidelijk (verificatie nodig). Rood: het criterium is niet ingesteld of niet beschikbaar. Controleer altijd de actuele voorwaarden en DPA van de aanbieder zelf.

Interpretatie

Wat betekent de uitkomst?

Groen

Alle of bijna alle vragen beantwoord met groen signaal. De tool is in principe veilig in te zetten, mits het gebruik aansluit bij jullie intern beleid. Leg de keuze vast en informeer betrokken medewerkers.

Richtlijn: 7 of meer groene signalen
⚠️

Oranje

Een of meerdere oranje signalen. De tool is mogelijk bruikbaar, maar vereist aanvullende stappen: een verwerkersovereenkomst afsluiten, IT laten beoordelen, of gebruik beperken tot niet-gevoelige taken.

Richtlijn: 1 of meer oranje, geen rode signalen
🛑

Rood

Een of meer rode signalen. Zet de tool niet in met bedrijfsdata, klantgegevens of andere gevoelige informatie totdat de rode punten zijn opgelost of nader zijn onderzocht door een specialist.

Richtlijn: 1 of meer rode signalen
Snel overzicht

Veelgebruikte tools: hoe scoren ze?

Zakelijke abonnementen bieden vaak (maar niet altijd) aanvullende contractuele en technische waarborgen vergeleken met gratis consumentenversies. Het verschil hangt sterk af van het specifieke contract, de gekozen configuratie en de DPA-voorwaarden. Controleer altijd de actuele documentatie van de aanbieder zelf.

Let op: dit overzicht is informatief en geen juridisch advies. Beoordeel altijd de actuele documentatie van de aanbieder zelf.

ChatGPT Free / Plus
Consumentenabonnement: geen DPA, data mogelijk voor training
Oranje
ChatGPT Enterprise / Team
DPA, opt-out training, US-hosting, audit logs
Groen
Microsoft Copilot (365)
DPA via M365-contract, data niet voor training
Groen
Google Gemini (Workspace)
DPA via Workspace, opt-out training, US-hosting
Groen
Gereedschap

Checklist voor documentverificatie

Voordat je een tool inzet, controleer je deze vijf kernpunten direct bij de aanbieder:

DPA of zakelijk contract

Staat er een Data Processing Agreement (DPA) of zakelijk contract beschikbaar? Dit is verplicht voor gegevensverwerking.

Modeltraining opt-out

Is er duidelijkheid of opt-out over gebruik van jouw data voor modeltraining? Dit is kritiek voor bedrijfsgeheimen.

Dataplaatsing en GDPR

Waar worden je gegevens gehost? Hoe zit het met AVG/GDPR-conformiteit en standaard contractuele bepalingen (SCC)?

Encryptie en logging

Zijn data versleuteld in transit en in rust? Zijn toegangslogs aanwezig? Dit beschermt tegen ongeautoriseerde inzage.

Audit- en compliancerapporten

Biedt de aanbieder ISO 27001, SOC 2 Type II of gelijkwaardige certificeringen? Dit geeft onafhankelijke validatie.

Verdiepende stap

Wanneer ook een DPIA?

Bij AI-tools die persoonsgegevens verwerken is een checklist soms niet genoeg. De AVG verplicht in bepaalde situaties een formele DPIA: een Data Protection Impact Assessment.

Wat is het

DPIA in het kort

Een DPIA is een gestructureerde beoordeling van de privacy-risico's van een verwerking. Je brengt in kaart welke gegevens worden verwerkt, met welk doel, welke risico's er zijn voor betrokkenen en welke maatregelen je neemt om die risico's te beheersen.

De DPIA is geen formaliteit. Het is een werkbaar instrument om vóóraf knelpunten te zien en op te lossen, voordat een datalek of klacht je daartoe dwingt.

Wanneer verplicht

DPIA verplicht bij AI als...

  • De tool persoonsgegevens systematisch en op grote schaal verwerkt
  • Er bijzondere gegevens worden verwerkt (gezondheid, etniciteit, biometrie)
  • De AI beslissingen neemt of voorbereidt met juridisch of vergelijkbaar effect (CV-screening, kredietbeoordeling)
  • Werknemers stelselmatig gemonitord worden
  • Nieuwe technologie wordt ingezet met onbekende risico's
In de praktijk

Zet je een AI-tool in voor CV-screening, klantsegmentatie of medewerkersmonitoring? Dan is de kans groot dat een DPIA verplicht is, ook al staat de tool zelf op "groen" in deze checklist. De checklist beoordeelt de leverancier; de DPIA beoordeelt jouw eigen gebruik. Beide zijn nodig.

Achtergrond

Waarom dit zo belangrijk is

De AVG verplicht organisaties om zorgvuldig om te gaan met persoonsgegevens. Een AI-tool die klantdata verwerkt zonder de juiste waarborgen kan leiden tot een datalek, een boete of reputatieschade.

Medewerkers zijn zich hier lang niet altijd van bewust. Een naam en e-mailadres in een AI-tool plakken voor een samenvatting: al een verwerking van persoonsgegevens. Deze checklist helpt om die bewustwording te verankeren in een concreet beoordelingsproces.

Lees meer over de AVG →
Hulp bij het beoordelen van jullie AI-toolset?

We helpen je door het woud van tools

Wij beoordelen welke tools passen binnen AVG-kaders en helpen jullie organisatie een heldere goedgekeurde toollijst op te stellen.

Plan een gesprek → Bekijk AI Consultancy