Stijn Belmans
Contactgegevens
Stijn Belmans
BTW-nummer: BE 0698.645.666
E-mailadres
info@stijnbelmans.be
Back

Privacy by AI

ChatGPT, Claude, Gemini - geweldige tools, maar niet GDPR-proof. Ik help je om AI in te zetten zonder privacy te verkwanselen of boetes te riskeren.
Bekijk alle privacy diensten
EU-gehoste AI implementaties
Eigen chatbots zonder data lekkage
ChatGPT policies voor bedrijven

Waarom ChatGPT op je werk een GDPR-risicobomaanleg is

Je medewerkers gebruiken ChatGPT, Claude of Gemini – waarschijnlijk al maanden. Ze plakken klantdata in prompts, kopiëren interne documenten voor samenvatten, of uploaden contracten om juridische vragen te stellen. Het voelt efficient en modern.

Maar wat er echt gebeurt, is dat al die data naar Amerikaanse servers gaat, mogelijk gebruikt wordt voor model training, en onder de Schrems II-problematiek valt waarbij Amerikaanse inlichtingendiensten theoretisch toegang kunnen hebben.

De GDPR vereist dat je een rechtmatige grondslag hebt voor elke verwerking, dat je een verwerkersovereenkomst afsluit met je leveranciers, en dat je data niet zomaar naar de VS stuurt zonder extra waarborgen. De meeste bedrijven hebben geen AI-gebruik policy, geen training gegeven aan medewerkers over wat wel en niet mag, en geen verwerkersovereenkomst met OpenAI, Anthropic of Google. En dan is er ook nog de AI Act die vanaf 2025 extra eisen stelt aan hoog-risico AI-systemen.

Dit is niet theoretisch: de Gegevensbeschermingsautoriteit heeft al signalen gegeven dat ze AI-gebruik gaat controleren. De vraag is niet óf dit een probleem wordt, maar wanneer. En als jij als DPO of directeur niet kunt aantonen dat je hier beleid over hebt, ben je persoonlijk aansprakelijk.

Check gratis jouw GDPR

De risico's van ongecontroleerd AI-gebruik

Verwerking zonder rechtsgrondslag

Je medewerker plakt klantdata in ChatGPT om een email te schrijven. Dat is verwerking van persoonlijke data. Heb je toestemming? Nee. Is het noodzakelijk voor contractuitvoering? Nee. Gerechtvaardigd belang? Twijfelachtig - je had ook zelf die email kunnen schrijven.

Geen verwerkersovereenkomst

OpenAI, Anthropic, Google zijn je verwerkers als je hun tools gebruikt. GDPR Artikel 28 vereist een schriftelijke overeenkomst waarin staat wat ze met je data mogen doen. De gratis consumer versies hebben geen DPA (Data Processing Agreement). De betaalde versies wel, maar heeft jouw organisatie die afgesloten?

Data transfer buiten EU

ChatGPT, Claude en Gemini worden gehost in de VS. Na het Schrems II-arrest van het Europese Hof moet je extra waarborgen treffen voor data transfers naar landen zonder adequate bescherming. Heb jij die Transfer Impact Assessment gedaan? Waarschijnlijk niet.

Model training met jouw data

Bij de gratis consumer versies wordt je input gebruikt om de modellen te verbeteren. Dat betekent dat een klantgesprek die jij samengevat hebt, mogelijk deel wordt van het trainingsmateriaal. En dus potentieel door anderen "geleerd" kan worden door het model.

Vertrouwelijke informatie lekt

Een medewerker uploadt een concept fusiecontract in ChatGPT voor feedback. Die informatie is niet meer te controleren. Samsung heeft dit probleem gehad toen engineers chipdesigns en meeting notes uploadden.

IP verdwijnt in de void

Je verkoopteam gebruikt AI om offertes te maken. Je marketeer laat ChatGPT je unique positioning schrijven. Je developer vraagt Claude om proprietary code te debuggen. Al die bedrijfskritische informatie gaat naar externe partijen.

Klanten verliezen vertrouwen

Als het uitkomt dat jij klantdata in Amerikaanse AI-tools gooit zonder beleid, hoe reageren je klanten dan? Vooral als je B2B werkt of in gevoelige sectoren (zorg, finance, legal).

Boek een gratis intake

Wat zegt de wet eigenlijk?

De wetgeving rond AI is complex omdat je te maken hebt met twee kaders: de bestaande GDPR en de nieuwe AI Act. Hier is wat je moet weten om compliant te zijn.

De GDPR-eisen voor AI-gebruik

Ten eerste: elke keer dat je persoonlijke data in een AI-tool stopt, ben je bezig met “verwerking” in de zin van de GDPR. Dat betekent dat je aan alle standaard eisen moet voldoen. Je hebt een rechtsgrondslag nodig – meestal gerechtvaardigd belang, maar dan moet je aantonen dat de verwerking noodzakelijk is en dat je privacy-impact hebt afgewogen. Je moet transparant zijn richting betrokkenen: In je privacy policy vermelden dat je AI gebruikt en hoe. En je moet een verwerkersovereenkomst hebben met je AI-leverancier die voldoet aan Artikel 28 eisen.

Ten tweede geldt de data minimalisatie principe. Je mag niet zomaar hele klantdatabases in AI-tools gooien “om te kijken wat eruit komt”. Je verzamelt en verwerkt alleen wat nodig is voor het specifieke doel. En als je gevoelige data hebt (gezondheid, strafrechtelijk, biometrisch), dan zijn de eisen nóg strenger.

Ten derde moet je data transfers buiten de EU goed regelen. Amerikaanse AI-bedrijven vallen onder Schrems II, wat betekent dat je een Transfer Impact Assessment moet doen waarin je beoordeelt of de waarborgen (meestal Standard Contractual Clauses) voldoende zijn. Voor veel organisaties is het eerlijkere antwoord: nee, ze zijn niet voldoende en dan moet je naar EU-alternatieven.

De AI Act

De AI Act maakt onderscheid tussen verschillende risico-niveaus. Verboden AI mag je niet gebruiken (social scoring, manipulatieve AI). Hoog-risico AI (bijvoorbeeld: CV-screening, kredietbeoordeling, medische diagnose) heeft zware eisen rond transparantie, menselijk toezicht en documentatie. Beperkt risico AI (zoals chatbots) vereist dat je transparant bent: gebruikers moeten weten dat ze met AI praten. En minimaal risico AI mag je vrij gebruiken, maar GDPR blijft natuurlijk wel gelden.

Wat betekent dit praktisch? Als je ChatGPT gebruikt voor customer service, moet je je klanten vertellen dat ze met AI communiceren. Als je AI gebruikt voor HR-beslissingen, val je onder hoog-risico en moet je veel meer documenteren. En ongeacht het risico-niveau moet je altijd checken of je GDPR-compliant bent.

Boek een gratis intake

AI gebruiken zonder risico

Ik help je niet door te zeggen “stop met AI” – dat is wereldvreemd. AI is te waardevol om te negeren. In plaats daarvan help ik je om het op de juiste manier te implementeren zodat je de voordelen haalt zonder de risico’s.

EU-gehoste alternatieven implementeren

Mistral AI - Het Franse antwoord op ChatGPT
Mistral is gebouwd en gehost in Europa, voldoet aan GDPR, en heeft enterprise versies met volledige DPA's. De modellen zijn vergelijkbaar met GPT-4 voor veel taken. Ik help je met de setup, API-integratie in je bestaande workflows, en training van je team.

On-premise LLM's - Volledige controle
Met tools zoals Ollama kun je open-source modellen (Llama, Mistral, Gemma) draaien op je eigen servers. Nul data lekkage, volledige controle, maar wel technische kennis nodig. Ik setup de infrastructuur, configureer de modellen voor jouw use cases, en train je team in het gebruik.

Azure OpenAI vs. Consumer OpenAI
Er is een verschil tussen ChatGPT gratis en OpenAI via Azure. Azure heeft EU-hosting opties, volledige DPA's, en garantie dat je data niet voor training wordt gebruikt. Ik help je de business case maken en migreren naar de compliant versie.

Eigen customer service chatbots

In plaats van je medewerkers ChatGPT te laten gebruiken voor klantvragen, bouw ik een eigen chatbot die:

  • Gehost wordt op EU-servers
  • Alleen toegang heeft tot jouw kennisbank (geen internet)
  • Alle gesprekken logt voor kwaliteitscontrole
  • Voldoet aan AI Act transparantie-eisen
Interne chatbot agents

Je medewerkers willen AI gebruiken om snel informatie te vinden in jullie interne documenten. Ik bouw een RAG-systeem (Retrieval Augmented Generation) waarbij:

  • Je documenten lokaal blijven
  • Het model alleen antwoord geeft op basis van jouw data
  • Toegang per afdeling of rol kan worden geregeld
  • Audit trail bijhoudt wie wat vraagt
AI-gebruik & policies opstellen

Een heldere policy die iedereen begrijpt:

  • Wat mag wel: welke tools, voor welke doeleinden
  • Wat mag niet: klantdata, vertrouwelijke info, code
  • Hoe gebruik je AI veilig: data anonimiseren, checks
  • Wat doe je bij twijfel: escalatie naar DPO/manager
Medewerkerstrainingen

Je team moet snappen waarom het belangrijk is. Ik geef praktische trainingen:

  • Echte voorbeelden van wat fout kan gaan
  • Hands-on oefeningen met veilige tools
  • Checklists voor dagelijks gebruik
  • Q&A voor specifieke use cases
DPA regelen met AI-leveranciers

Als je toch Amerikaanse tools wil gebruiken (enterprise versies), zorg ik dat je verwerkersovereenkomsten op orde zijn. Ik review de contracten, onderhandel indien nodig, en zorg dat je Transfer Impact Assessment gedocumenteerd is.

Verschillende opties

AI Privacy Assessment

Voor organisaties die met AI aan de slag willen op een privacygerichte manier

€995 Eenmalig
  • Inventarisatie: welke AI-tools worden er nu gebruikt?
  • Risico-analyse: wat zijn de GDPR/AI Act risico's?
  • Alternatievenonderzoek: EU-opties voor jouw use cases
  • Roadmap: wat moet er gebeuren en in welke volgorde
Contacteer mij
AI Compliance Implementatie

Voor organisaties waar data verwerking een core onderdeel is van je business.

€2.500 Eenmalig
  • AI Gebruik Policy schrijven (op maat voor jouw organisatie)
  • Verwerkersovereenkomsten regelen met leveranciers
  • Privacy impact assessment (DPIA) voor hoog-risico AI
  • Medewerkerstraining (halve dag, tot 25 personen)
  • Dashboard voor DPO: wie gebruikt wat en wanneer
Contacteer mij
Custom Chatbot Development

Voor grote organisaties waar repetitief werk vereenvoudigd kan worden met AI.

€5.000 Eenmalig
  • Customer service chatbot voor je website
  • Internal knowledge assistant voor medewerkers
  • Hosting op EU-servers (België/Nederland)
  • Admin panel voor beheer en analytics
  • GDPR/AI Act compliance by design
  • Verwerkersovereenkomst met hosting partner
  • Training & 3 maanden support na oplevering
Contacteer mij

AI Privacy Retainer (€295 per maand)

Voor organisaties die structureel AI inzetten:

  • Maandelijks overleg (1 uur): nieuwe tools checken, beleid updaten
  • Onbeperkt email/chat support voor "mag dit wel?" vragen
  • Kwartaal review: zijn we nog compliant met laatste regelgeving
  • Training nieuwe medewerkers (op aanvraag, max 2x/jaar)
  • Toegang tot template library (policies, checklists, DPA's)

Waarom juist nu AI privacy aanpakken?

Er zijn drie redenen waarom dit jaar hét moment is om dit goed te regelen – wacht niet tot de GBA aanbelt of tot je eerste datalek.

De AI Act wordt gehandhaafd

De wetgeving is er en de handhaving is gestart. Dat betekent dat toezichthouders zoals de GBA actief gaan controleren of organisaties compliant zijn met de nieuwe eisen. De eerste boetes zullen voorbeeldfunctie hebben – de EU wil laten zien dat ze het serieus neemt. Early adopters die hun zaken op orde hebben, onderscheiden zich positief. Late movers riskeren een voorbeeld te worden.

Je concurrenten weten dit ook nog niet

De markt is nog niet volwassen. De meeste bedrijven gebruiken AI wild west-style zonder beleid of controle. Als jij nu investeert in compliant AI-gebruik, kun je dit als USP inzetten: “Wij gebruiken AI zonder jouw data te verkopen aan Big Tech.” Dat is een krachtige boodschap voor privacy-bewuste klanten, vooral in B2B, zorg, finance, en legal sectors. Over twee jaar is dit standaard – nu kun je er nog voorloper in zijn.

AI wordt te waardevol om te negeren

Je kunt niet zeggen “we doen gewoon niet aan AI” en denken dat je het probleem oplost. Je concurrenten gebruiken het wel, je medewerkers gebruiken het stiekem toch (ook al verbied je het), en je loopt efficiency mis. De vraag is niet óf je AI gebruikt, maar hoe je het veilig doet. En hoe eerder je het goed regelt, hoe minder achterstand je oploopt. Investeer nu in de juiste infrastructuur en beleid, dan kun je experimenteren en innoveren zonder constant te hoeven remmen vanwege compliance zorgen.

Boek een gratis intake
Stappenplan

Cconcrete eerste stappen

Of check gratis jouw GDPR
Stap 1: Quick wins opzetten
  • Inventariseer welke tools je team nu gebruikt
  • Block ChatGPT gratis versie op bedrijfsnetwerk
  • Upgrade naar ChatGPT Enterprise of switch naar Mistral
Stap 2: Assessment starten
  • Ik analyseer je huidige situatie
  • Identificeer risico's en quick wins
  • Stel roadmap op met prioriteiten
Stap 3: Oplossingen implementeren
  • AI Gebruik Policy + training medewerkers
  • DPA's regelen met leveranciers
  • Migratie naar compliant tools (indien nodig)
Stap 4: Retainer opzetten
  • Maandelijks check-in voor nieuwe tools
  • Continue compliance met updates in regelgeving

Veelgestelde vragen

Mag ik ChatGPT gebruiken voor werk of niet?

De gratis versie van ChatGPT gebruikt je input voor model training en heeft geen verwerkersovereenkomst. Als je het voor werk gebruikt met klantdata of vertrouwelijke info, ben je in overtreding met de GDPR. De betaalde versies (ChatGPT Team, Enterprise) hebben wel DPA's en data isolatie, maar zijn nog steeds US-gehost wat Schrems II-vragen oproept.

Wat ik aanraad:

  • Voor persoonlijke productiviteit zonder gevoelige data: ChatGPT Plus kan
  • Voor bedrijfskritisch werk: migreer naar EU-alternatieven (Mistral) of Azure OpenAI met EU-hosting
  • Altijd: duidelijke policy zodat medewerkers weten wat wel/niet mag
Wat zijn de boetes voor non-compliance met AI?

GDPR-boetes:

Tot €20 miljoen of 4% wereldwijde jaaromzet (zie ook DPO pagina). Als je AI gebruikt voor ongeoorloofde verwerking van persoonlijke data, val je hieronder.

AI Act-boetes:

  • Verboden AI gebruiken: tot €35 miljoen of 7% omzet
  • Hoog-risico AI niet compliant: tot €15 miljoen of 3% omzet
  • Incorrecte informatie geven aan autoriteiten: tot €7,5 miljoen of 1% omzet

De GBA kan ook waarschuwingen geven, audits verplichten, of het gebruik van bepaalde systemen verbieden. Imagoschade is vaak groter dan de boete zelf.

Hoe weet ik of mijn AI hoog-risico is volgens de AI Act?

De AI Act heeft een specifieke lijst van hoog-risico toepassingen. Je valt eronder als je AI gebruikt voor:

HR & recruitment:

  • CV-screening en ranking
  • Interview analyse (emotieherkenning, stemanalyse)
  • Performance evaluatie

Toegang tot diensten:

  • Kredietbeoordeling
  • Verzekeringsrisico inschatting
  • Sociale voorzieningen toekennen

Law enforcement:

  • Predictive policing
  • Gezichtsherkenning in publieke ruimtes
  • Risk assessment van personen

Onderwijs:

  • Examen scores bepalen
  • Toelating tot onderwijsinstellingen

Als je AI gebruikt voor één van bovenstaande, heb je uitgebreide documentatie-verplichtingen, menselijk toezicht, en impact assessments nodig. Ik help je bepalen of je hieronder valt en wat je moet doen.

Kan ik open-source LLM's lokaal draaien zonder risico?

Ja, maar je hebt wel technische capaciteit nodig.

Voordelen:

  • Volledige data controle (niets verlaat je servers)
  • Geen verwerkersovereenkomsten nodig met externe partijen
  • Geen kosten per API-call
  • Compliance met Schrems II (geen data transfer)

Uitdagingen:

  • Server infrastructuur nodig (GPU's voor goede performance)
  • Technische kennis om te onderhouden
  • Modellen zijn iets minder krachtig dan GPT-4 (maar goed genoeg voor veel use cases)
  • Je bent zelf verantwoordelijk voor updates en security

Wat ik doe: Ik setup Ollama of vergelijkbare tools op je servers (on-premise of EU-hosted cloud), configureer de modellen voor jouw taken, en train je team. Daarna kun je het zelf draaien.

Wat is het verschil tussen Mistral en ChatGPT?

Mistral AI:

  • Frans bedrijf, EU-gehost, GDPR-compliant
  • Open-source modellen + enterprise versies
  • Vergelijkbaar met GPT-3.5 / GPT-4 voor veel taken
  • Enterprise DPA's beschikbaar, data blijft in EU
  • API pricing vergelijkbaar met OpenAI

ChatGPT (OpenAI):

  • Amerikaans bedrijf, US-gehost (tenzij via Azure EU)
  • Closed-source, proprietary modellen
  • Momenteel nog iets krachtiger voor zeer complexe taken
  • Schrems II-problematiek bij directe OpenAI API
  • Breed bekend, veel community resources

Mijn advies: Start met Mistral voor nieuwe projecten. Migreer bestaande ChatGPT-gebruik naar Mistral of Azure OpenAI (EU-regio's). De performance gap wordt kleiner elke maand.

Moet ik elke AI-tool via een DPIA laten lopen?

Niet elke tool vereist een volledige DPIA, maar je moet wel altijd een basis privacy check doen.

DPIA verplicht bij:

  • Grootschalige verwerking van gevoelige data (gezondheid, strafrechtelijk)
  • Systematische monitoring (employee tracking, gedragsanalyse)
  • Geautomatiseerde besluitvorming met juridisch/significant effect
  • Hoog-risico AI volgens AI Act

Basis privacy check voldoende bij:

  • AI voor interne productiviteit (email drafts, samenvattingen)
  • Chatbots met algemene info (geen persoonlijke data)
  • Content generatie (blogs, social media)

In de praktijk: Ik help je een flowchart maken: beantwoord 5 vragen en je weet of je een DPIA nodig hebt. Voor standaard tools (Gmail AI features, Grammarly, etc.) maak ik standaard assessments die je kunt hergebruiken.

Hoe train ik mijn team om AI veilig te gebruiken?

Een policy alleen is niet genoeg: mensen moeten begrijpen waarom het belangrijk is en hoe ze het in de praktijk toepassen.

Mijn trainingsaanpak:

Deel 1: Waarom het belangrijk is (30 min)

  • Echte voorbeelden van AI-datalekken (Samsung, etc.)
  • GDPR/AI Act boetes en risico's
  • Impact op vertrouwen van klanten

Deel 2: Wat mag wel/niet (45 min)

  • Goedgekeurde tools vs. verboden tools
  • Anonimiseren van data voor AI gebruik
  • Checklist: 3 vragen voor elke AI-interactie

Deel 3: Hands-on oefeningen (45 min)

  • Herschrijf deze prompt zonder klantdata
  • Check deze AI-tool: compliant of niet?
  • Wat doe je in deze scenario's?

Deel 4: Q&A (30 min)

  • Specifieke use cases van je team
  • Escalatieprocedure bij twijfel
Mijn reviews

Wat zeggen klanten
over mij?

⭐⭐⭐⭐⭐

“De webshop die we voor ogen hadden is snel en vakkundig opgezet. Wij kunnen deze nu zelf beheren waardoor we uiteindelijk kosten besparen."

Wouter den Ouden
⭐⭐⭐⭐⭐

“Goede samenwerking, professioneel werk afgeleverd. De communicatie verliep eenvoudig waardoor je snel met elkaar kan schakelen.”​

Jasper Bulthoven
⭐⭐⭐⭐⭐

"Resultaatgericht, vlotte communicatie en betrouwbaar. Ze vragen feedback voor optimaal resultaat. Website werd snel afgeleverd."

Danny Petersen
België

"Revaio heeft ons goed geholpen met SEO & digital marketing. Het aantal backlinks is sterk gestegen wat onze Google rankings ten goede kwam. Verder heeft Revaio onze eerste digital marketing campagnes op Facebook & Google succesvol opgezet."

Valérie Brabanders

Mede-manager Glazoo

Nederland

"Stijn is met Revaio onze held op gebied van online marketing. Hij onderhoud zelfstandig onze Facebook pagina, maakt doelgerichte advertenties en werkt aan de hand van duidelijke doelen."

Daniel Jan van Oudheusden

Manager iXL Hosting

Nederland

"Heel prettig samengewerkt met Stijn. Snel in reactie en vlot in verbeteringen doorvoeren. Met een frisse nieuwe website als resultaat: vso-beoordeling.nl. Enorme aanrader!"

Martin Saul

Manager VSO Beoordeling

Laten we samenwerken!

Nood aan een babbel?
Let's talk business.

Contacteer mij

Stuur me een bericht met het antwoord op “Welke AI-tools gebruikt jouw team?” en ik stuur je binnen 24 uur een eerste risico-inschatting (gratis, geen verplichtingen).

Ik gebruik cookies uitsluitend voor anonieme verwerking. Cookies Policy