Een ChatGPT-beleid in 1 pagina voor MKB

De Autoriteit Persoonsgegevens raadt aan dat elke organisatie die generatieve AI inzet een data-classificatie van één A4 heeft. De EU AI Act verplicht sinds 2 februari 2025 dat medewerkers AI-geletterd zijn. Voor een MKB-bedrijf van 5-50 medewerkers betekent dat: schrijf een ChatGPT-beleid op, bespreek het, en zorg dat het na een paar weken niet vergeten is.

Hieronder een complete template die je in je personeelshandboek, op intranet of als losse pagina kunt opnemen. Onder elk artikel staat een korte uitleg waarom het erin staat. Pas de tekst aan op je organisatie waar je dat nodig vindt; de meeste artikelen zijn algemeen genoeg om over te nemen.

Dit beleid is een aanvulling op de bredere gids ChatGPT in je MKB-bedrijf: wat technisch veilig is en wat niet. Die behandelt het waarom en de techniek; deze pagina is de praktische uitvoering.

Template: ChatGPT-beleid [bedrijfsnaam]

Artikel 1: Doel en reikwijdte

Dit beleid beschrijft hoe medewerkers van [bedrijfsnaam] ChatGPT en vergelijkbare AI-tools mogen gebruiken voor werk. Het geldt voor alle medewerkers, stagiairs, freelancers en externe partijen die toegang hebben tot bedrijfssystemen of bedrijfsdata. Het beleid is een aanvulling op het bestaande privacy- en informatiebeveiligingsbeleid.

Waarom: dit maakt duidelijk dat het beleid niet alleen voor vaste medewerkers geldt. Externe inhuur is een veelvoorkomende blinde vlek. Door expliciet naar bestaande policies te verwijzen voorkom je tegenstrijdigheden.

Artikel 2: Goedgekeurde tools

Voor werk-gerelateerd gebruik van AI-chatbots is uitsluitend toegestaan: [vul in: bijv. ChatGPT Business via het bedrijfsaccount, Microsoft 365 Copilot, Claude voor Teams]. Het gebruik van persoonlijke accounts (ChatGPT Plus, gratis accounts, persoonlijke Claude- of Gemini-accounts) voor werkgerelateerde taken is niet toegestaan. Andere AI-tools mogen alleen ingezet worden na expliciete goedkeuring van [vul in: directie / IT / DPO].

Waarom: persoonlijke accounts hebben geen verwerkersovereenkomst (DPA) met OpenAI of Anthropic. Daarmee voldoet zakelijk gebruik niet aan de AVG zodra er persoonsgegevens worden ingevoerd. De Autoriteit Persoonsgegevens kwalificeert dat sinds 2025 expliciet als een datalek. Een centrale lijst van goedgekeurde tools maakt het ook makkelijker om tijdig te updaten als de tool-keuze verandert.

Artikel 3: Toegestane data

In ChatGPT en vergelijkbare AI-tools mag worden ingevoerd:

• Openbare informatie (van onze website, brochures, blogposts).
• Geanonimiseerde voorbeelden zonder herleidbare persoons- of klantgegevens.
• Eigen schrijfsels, marketing-conceptteksten, ideeën, brainstormvragen.
• Generieke code zonder credentials, API-keys of productie-data.
• Samenvattingen van interne gesprekken, mits zonder namen of identificeerbare details.

Waarom: dit is de positieve formulering. Mensen onthouden beter wat ze mogen dan wat ze niet mogen. Door concreet te benoemen welke categorieën veilig zijn, neem je een groot deel van de twijfel weg. Een ZZP’er die zijn LinkedIn-post wil herschrijven hoeft niet eerst de juridische afdeling te bellen.

Artikel 4: Verboden data

De volgende categorieën gegevens mogen in geen enkele AI-tool worden ingevoerd, ongeacht het abonnement:

• Bijzondere persoonsgegevens zoals gedefinieerd in AVG artikel 9 (gezondheid, ras, religie, seksuele gerichtheid, politieke overtuiging, vakbondslidmaatschap, biometrie, strafrechtelijke gegevens).
• Burgerservicenummers, identiteitsbewijsnummers, paspoort- of rijbewijsnummers.
• Volledige namen, e-mailadressen of telefoonnummers van klanten of medewerkers in combinatie met inhoudelijke context.
• Informatie onder geheimhoudingsplicht of NDA (klantcontracten, M&A-documenten, salaris-onderhandelingen, broncode onder licentie van derden).
• Inloggegevens, API-keys, SSH-sleutels, encryptiesleutels, tokens.
• Bankrekening-, betalings- of creditcardgegevens van derden.
• Medische dossiers of vergelijkbare zorggegevens.
• Niet-openbare financiële cijfers van het bedrijf (jaarcijfers vóór publicatie, prognoses, prijslijsten die niet publiek zijn).

Waarom: de eerste vier categorieën zijn AVG- of NDA-issues, de overige zijn beveiligings- of bedrijfsbelang-issues. De expliciete lijst voorkomt discussie (“ik dacht dat een naam wel mocht”). Pas de lijst aan op je sector: een zorginstelling voegt patiëntendossiers expliciet toe, een advocatenkantoor cliëntinformatie.

Artikel 5: Kwaliteitscontrole van AI-output

AI-tools maken fouten. Output van ChatGPT en vergelijkbare tools mag niet ongecontroleerd naar buiten worden gestuurd of voor besluitvorming worden gebruikt. Vóór elke externe communicatie geldt:

• Een menselijke check op feitelijke juistheid (geen verzonnen citaten, namen, cijfers of bronnen).
• Een controle of de toon en stijl bij ons bedrijf past.
• Bij juridische, financiële of medische uitspraken: validatie door iemand met inhoudelijke expertise.
• Bij gebruik in publicaties of klantcommunicatie: vermeld dat AI-ondersteuning is gebruikt, conform de transparantieplicht uit de EU AI Act.

Waarom: ChatGPT hallucineert. Modellen verzinnen plausibel-klinkende maar foutieve gegevens, vooral als ze proberen je tegemoet te komen. De 4-ogen-regel is geen pesterij, het is risicobeheer. Reputatieschade door één foutief getrouwde naam in een nieuwsbericht is grotere kostenpost dan de tijdsbesparing die AI levert. De transparantieplicht uit artikel 50 van de AI Act gaat in op 2 augustus 2026 en geldt onder andere voor AI-gegenereerde tekst, beeld en audio die als zodanig wordt gepubliceerd.

Artikel 6: Wat te doen bij een fout

Als je per ongeluk verboden data (zie artikel 4) hebt ingevoerd in een AI-tool, meld dit dan binnen 24 uur bij [vul in: contactpersoon AI / DPO / directie]. Het melden van een fout heeft geen disciplinaire gevolgen; het niet-melden wel.

Bij het melden geef je door: welke data, in welke tool, met welk account, op welk moment, en of de conversatie inmiddels is verwijderd. De contactpersoon bepaalt vervolgens of er sprake is van een meldingsplichtig datalek aan de Autoriteit Persoonsgegevens of aan betrokkenen.

Waarom: de AVG geeft je 72 uur om een datalek te melden bij de AP. Reken erop dat het uitzoeken zelf tijd kost. Een drempelloze meldingscultuur is de enige manier om binnen die termijn te blijven. Strafmaatregelen voor “verkeerd gebruik” werken hier averechts: medewerkers zwijgen liever dan dat ze opbiechten. Dat is precies wat je niet wilt. Beloon transparantie door expliciet te zeggen dat melden geen consequenties heeft.

Artikel 7: Aanspreekpunt

Eindverantwoordelijk voor dit beleid is [vul in: directeur / CIO / DPO]. Voor dagelijkse vragen (“mag dit?”, “hoe doe ik dat?”, “ik denk dat ik een fout heb gemaakt”) is [vul in: naam, e-mail] het aanspreekpunt. Voor technische vragen over de inrichting van onze AI-tools: [vul in: IT-coördinator].

Waarom: “vraag het iemand” werkt niet. Mensen vragen het dan niemand. Eén naam, één e-mail, één gezicht maakt het verschil tussen een policy die werkt en een policy die op de plank blijft liggen. Voor bedrijven onder 50 medewerkers is dit vaak de directeur of de IT-coördinator zelf.

Artikel 8: Goedkeuringsproces voor nieuwe AI-tools

De AI-markt verandert snel. Voor het inzetten van een nieuwe AI-tool (een nieuwe chatbot, een AI-functie in een bestaande app, een GPT uit de GPT Store) is voorafgaande goedkeuring nodig. De aanvraag moet bevatten: doel van het gebruik, welke data wordt gedeeld, of er een DPA beschikbaar is, en in welk land de provider gevestigd is.

Waarom: de risico’s zitten vaak in “kleine” tools. Een browser-extensie die “automatisch je e-mails samenvat” stuurt heel veel data naar een onbekende provider. Een GPT uit de GPT Store stuurt je input naar de maker van die GPT. Het is technisch onmogelijk om dit allemaal achteraf te detecteren; vooraf vragen is praktischer.

Artikel 9: AI-geletterdheid

In lijn met artikel 4 van de EU AI Act zorgt [bedrijfsnaam] dat medewerkers die met AI-tools werken voldoende kennis hebben van: (a) hoe deze tools werken in hoofdlijnen, (b) hun beperkingen (hallucinaties, bias), (c) de risico’s voor privacy en intellectueel eigendom. Bij indiensttreding krijgt elke medewerker een AI-introductie van [vul in: 1 uur / workshop / e-learning]. Bestaande medewerkers volgen dit jaarlijks.

Waarom: AI-geletterdheid is sinds 2 februari 2025 wettelijk verplicht voor alle organisaties die AI-systemen inzetten. Het hoeft niet veel te zijn, een uur introductie, gedocumenteerd met deelnamebewijs, voldoet voor de meeste MKB-rollen. Wat handhavers willen zien is bewijs dat je het systematisch doet, niet dat het uitgebreid is.

Artikel 10: Evaluatie en wijziging

Dit beleid wordt minstens jaarlijks geëvalueerd, of eerder als er belangrijke wijzigingen zijn in de gebruikte tools, in wet- en regelgeving (AI Act, AVG), of in de bedrijfsactiviteiten. Wijzigingen worden gecommuniceerd via [vul in: intranet, werkoverleg, e-mail] en zijn na publicatie van toepassing.

Waarom: dit veld verandert sneller dan elk ander compliance-domein. Wat in 2026 geldt, kan in 2027 anders zijn (denk aan Digital Omnibus, nieuwe AP-richtsnoeren, nieuwe OpenAI-tiers). Een jaarlijkse review-datum in je agenda voorkomt dat je beleid stilzwijgend achterhaald raakt.

Hoe je dit beleid daadwerkelijk laat werken

Een beleid op papier doet niets. Wat het effectief maakt:

1. Korte introductie tijdens werkoverleg. 15 minuten, met twee concrete voorbeelden: één van wat wel mag (een marketingmedewerker die een nieuwsbrief laat herschrijven), één van wat niet mag (een HR-medewerker die het hele ontslagdossier in ChatGPT plakt). Mensen leren van scenario’s, niet van clausules.
2. Eenvoudige plek om vragen te stellen. Een Slack-kanaal, een mailadres, of een vast spreekuur. Geen formulier in te vullen.
3. Voorbeelden uit het nieuws. Als er iets in het nieuws is over een AI-incident (Samsung-medewerkers die broncode in ChatGPT plakten, de Italiaanse Garante-boete, een AVG-incident bij een Nederlandse organisatie), stuur dat door met een korte reflectie. Dat houdt het onderwerp levend zonder belerend te zijn.
4. Eén keer per kwartaal een check-in. Welke nieuwe tools zijn er? Heeft iemand recente incidenten ervaren? Wat moet er aan het beleid?
5. Eerlijke verwachtingen. Niemand verwacht dat dit beleid 100% wordt nageleefd vanaf dag één. Wat je wel verwacht: dat mensen erover nadenken voordat ze data invoeren, en dat ze het melden als ze twijfelen.

Praktische uitvoering

Wat je technisch tegelijk regelt:

• Upgrade naar ChatGPT Business als organisatie, zodat je een DPA hebt en training-opt-out by-default geldt. Of kies voor Microsoft 365 Copilot als je al Microsoft 365 gebruikt.
• Stel SSO in via je identity provider, zodat de bedrijfsaccounts gekoppeld zijn aan in/uitdiensttreding.
• Werk je verwerkingsregister bij (AVG artikel 30) met OpenAI of Microsoft als verwerker, doel van de verwerking, en bewaartermijn.
• Werk je privacy-statement bij op je website: vermeld dat je AI-tools gebruikt en voor welke doeleinden.
• Bewaar bewijs van AI-training per medewerker (deelnamelijst, datum, korte inhoud), voor het geval een toezichthouder vraagt naar artikel-4-compliance.

Voor de bredere context van dit beleid (welk abonnement voor welk gebruik, wat OpenAI met je data doet, hoe de AVG en AI Act precies in elkaar steken) zie de pillar ChatGPT in je MKB-bedrijf: wat technisch veilig is en wat niet.

Hulp nodig?

Een ChatGPT-beleid uitwerken is meestal een paar uur werk: deze template als basis nemen, aanpassen op je sector, bespreken met directie en OR (indien aanwezig), en een keer met het team doornemen. Voor de meeste MKB-bedrijven is dat te doen zonder externe hulp.

Loop je vast op een specifiek punt, twijfel je over welk abonnement past, of wil je een sparring-partner die met je doorneemt wat je inrichting moet zijn: neem contact op voor een vrijblijvend gesprek.

Disclaimer: deze template is geen juridisch advies. Voor specifieke AVG- of AI Act-vragen voor jouw situatie raadpleeg een functionaris gegevensbescherming of jurist. Het beleid is bedoeld als startpunt; uiteindelijke verantwoordelijkheid voor de inhoud ligt bij het bedrijf dat het invoert.