Kan OpenAI mijn chats lezen?

OpenAI geeft aan dat medewerkers in beperkte gevallen toegang kunnen hebben tot gesprekken, bijvoorbeeld voor misbruikdetectie en veiligheidsonderzoek. Bij Business- en Enterprise-accounts zijn de toegangsgaranties strenger. De exacte voorwaarden veranderen regelmatig. Check de actuele versie op openai.com.

Moet ik ChatGPT vermelden in mijn privacyverklaring?

Als je persoonsgegevens van klanten invoert bij ChatGPT, verwerk je die gegevens via een derde partij. Dan is het aan te raden om dit te vermelden in je privacyverklaring. Noem welke tool je gebruikt, waarvoor, en welk type gegevens betrokken kan zijn.

Geldt training opt-out met terugwerkende kracht?

Nee. Als je de training opt-out inschakelt, geldt dat voor nieuwe invoer. Tekst die je eerder hebt ingevoerd terwijl training aanstond, kan al zijn meegenomen. Een reden om de instelling zo vroeg mogelijk aan te zetten.

Mag ik ChatGPT gebruiken als mijn opdrachtgever het niet expliciet verbiedt?

Niet verboden is niet hetzelfde als toegestaan. Steeds meer opdrachtgevers stellen AI-beleid op. Als je contract er niets over zegt, is het verstandig om het bespreekbaar te maken. Zeker als je klantgegevens van die opdrachtgever invoert bij een AI-tool.

Is Microsoft Copilot veiliger dan ChatGPT voor zakelijk gebruik?

Als je al Microsoft 365 gebruikt, valt Copilot onder je bestaande verwerkersovereenkomst met Microsoft. Data wordt niet gebruikt voor modeltraining en blijft binnen de Microsoft-omgeving. Dat maakt het vanuit AVG-perspectief eenvoudiger dan een los ChatGPT-account. Stand van zaken: maart 2026.

Je gebruikt ChatGPT voor werk

Je plakt een klantbriefing in ChatGPT. Of je laat een e-mail herschrijven met de naam van je opdrachtgever erin. Of je vat vergadernotities samen waarin drie klanten bij naam worden genoemd. Het gaat snel, het werkt goed, en ergens vraag je je af of dit eigenlijk wel mag.

Die twijfel is terecht. Niet omdat het per definitie fout is, maar omdat het verschil tussen "prima" en "probleem" afhangt van details die de meeste ZZP'ers niet kennen. Welk accounttype heb je? Wat voer je in? En heb je afspraken met OpenAI over wat zij met die data mogen doen? Het antwoord op die vragen bepaalt of je gebruik problematisch is of niet.

In het kort

Eigen teksten zonder klantdata? Gratis of Plus is prima, schakel training uit.
Klantdata? Je hebt een zakelijk account met verwerkersovereenkomst nodig.
Anonimiseer gevoelige info voordat je het in een AI-tool plakt.

Wat gebeurt er met je invoer?

Bij de gratis versie van ChatGPT kan je invoer worden gebruikt voor het trainen van het model. Dat betekent dat de tekst die je intypt, inclusief namen, projectdetails en bedrijfsinformatie, in principe kan bijdragen aan toekomstige antwoorden. Niet dat die tekst letterlijk terugkomt bij iemand anders. Maar dat het model er patronen uit leert.

Bij ChatGPT Plus (rond de 20 euro per maand) kun je training uitschakelen via Instellingen > Datacontroles > Verbeter het model voor iedereen. Bij Business- en Enterprise-accounts staat training standaard uit.

Training is niet het enige punt. Je invoer wordt ook tijdelijk opgeslagen op servers van OpenAI. Medewerkers van OpenAI kunnen in beperkte gevallen toegang hebben tot gesprekken, bijvoorbeeld voor misbruikdetectie. En de data wordt verwerkt in de VS, tenzij je een Enterprise-account hebt met EU-dataresidentie.

Stand van zaken: maart 2026. OpenAI wijzigt regelmatig hun voorwaarden. Check altijd de actuele versie op openai.com.

Gratis, Plus, Business of Enterprise: wat maakt het uit?

Dit is het punt waar de meeste verwarring zit. "Ik betaal voor ChatGPT, dus het is veilig." Dat klopt niet. Het verschilt per abonnement.

Gratis. Je invoer kan worden gebruikt voor training. Geen verwerkersovereenkomst beschikbaar. Geen zakelijke privacygaranties. Voor eigen teksten zonder klantgegevens is het prima. Voor klantdata niet.

Plus (rond de 20 euro per maand). Je kunt training uitschakelen. Dat is een verbetering. Maar er is geen verwerkersovereenkomst beschikbaar. OpenAI biedt geen Data Processing Addendum voor Plus-accounts. Dat betekent: je hebt geen contractuele afspraken over hoe OpenAI met de persoonsgegevens omgaat die jij invoert. Voor incidenteel gebruik met geanonimiseerde data kan het werkbaar zijn. Voor structureel gebruik met klantgegevens is het onvoldoende.

Business (rond de 25 euro per persoon per maand, voorheen "Team"). Training staat standaard uit. OpenAI biedt een Data Processing Addendum aan (bijgewerkt december 2025). Let op: dit plan vereist minimaal 2 gebruikers. Als solo ZZP'er kun je het niet afsluiten. Dan is de API (zie hieronder) het alternatief met verwerkersovereenkomst.

Enterprise. Alles van Business, plus: SOC 2-compliance, SAML SSO, optionele EU-dataresidentie, en uitgebreidere auditrechten. Voor de meeste ZZP'ers overkill, maar voor bedrijven met gevoelige data de meest complete optie.

API. Als je ChatGPT via de API gebruikt (voor eigen tools of integraties), gelden aparte voorwaarden. Data wordt standaard niet voor training gebruikt. Een DPA is beschikbaar. De prijsstructuur is per token, niet per maand. Dit is vooral relevant als je een ontwikkelaar bent die AI integreert in eigen software, of als je een tool als Zapier of Make gebruikt die via de API werkt.

Prijzen kunnen wijzigen. Check de actuele tarieven op openai.com/pricing.

Wanneer wordt het een privacy-probleem?

Als je alleen je eigen teksten laat herschrijven, zonder klantnamen of herkenbare details, verwerk je geen persoonsgegevens van anderen. Dan is er vanuit de AVG weinig aan de hand.

Het kantelt op het moment dat je:

Klantnamen of contactgegevens invoert. Dan verwerk je persoonsgegevens via een derde partij. Onder de AVG heb je daar een grondslag voor nodig, en waarschijnlijk ook een verwerkersovereenkomst met OpenAI. Bij een gratis of Plus-account heb je die niet.

Hele documenten plakt. Een offerte met klantgegevens, een projectbriefing met namen, een contract. Zelfs als de klantnaam er maar één keer in staat, is het een verwerking van persoonsgegevens.

Bijzondere persoonsgegevens invoert. BSN-nummers, medische informatie, financiële details van personen. Dit mag onder de AVG alleen onder strikte voorwaarden. Bij een AI-tool is dit vrijwel nooit verantwoord, ongeacht je accounttype.

AI-output ongecontroleerd doorstuurt. ChatGPT kan onjuiste informatie genereren. Als je dat zonder controle naar een klant stuurt, ben jij verantwoordelijk voor de inhoud. Dit is geen AVG-kwestie, maar een professioneel risico dat erbij hoort.

Hoe anonimiseer je je invoer in 30 seconden?

Anonimiseren is de snelste manier om je risico te verlagen. Het kost bijna geen moeite en maakt het verschil tussen "verwerking van persoonsgegevens" en "geen persoonsgegevens".

Concreet:

Vervang namen. "Jan de Vries van Bakkerij De Vries" wordt "Klant A van Bedrijf X". Doe dit voordat je de tekst plakt, niet erna.

Verwijder contactgegevens. E-mailadressen, telefoonnummers, adressen. Als je een e-mail laat herschrijven, verwijder de handtekening met contactgegevens.

Haal identificeerbare combinaties weg. Een naam alleen is een persoonsgegeven. Maar ook een combinatie van functie, bedrijf en woonplaats kan iemand identificeerbaar maken. Wees kritisch: als jij kunt raden over wie het gaat, kan de AVG het als persoonsgegeven beschouwen.

Gebruik placeholders consequent. Als je meerdere klanten noemt in een tekst, gebruik "Klant A", "Klant B" enzovoort. Niet "mijn klant in Utrecht" (dat vernauwt het te veel).

Een extra stap die weinig mensen nemen: check ook de output. ChatGPT kan in zijn antwoord namen of details herhalen die je hebt ingevoerd. Als je die output kopieert naar een document dat je deelt, zitten de persoonsgegevens alsnog in je werkproces.

Dit klinkt misschien omslachtig. In de praktijk is het een gewoonte die je na een week automatisch doet. Net als het wissen van vertrouwelijke gegevens voordat je een document deelt.

Alternatieven als ChatGPT niet past

ChatGPT is niet de enige optie. Afhankelijk van je situatie zijn er alternatieven die vanuit privacy eenvoudiger zijn.

Microsoft Copilot (via Microsoft 365). Als je al een zakelijk Microsoft 365-abonnement hebt, valt Copilot onder je bestaande verwerkersovereenkomst. Data wordt niet voor training gebruikt. Geen extra privacyactie nodig. Voor veel ZZP'ers de pad-van-minste-weerstand.

Google Gemini (via Google Workspace). Vergelijkbaar: als je Google Workspace zakelijk gebruikt en het Data Processing Amendment hebt geaccepteerd, valt Gemini daaronder. Data binnen Workspace wordt niet voor training gebruikt bij betaalde accounts.

Claude (Anthropic). Gebruikt invoer standaard niet voor training, ook niet bij gratis accounts. Een verwerkersovereenkomst is beschikbaar via de API en zakelijke accounts. Vanuit privacy een van de schonere opties. Stand van zaken: maart 2026.

Lokale AI-modellen. Tools als Ollama of LM Studio draaien AI-modellen volledig op je eigen computer. Geen data die je apparaat verlaat. Nul privacy-risico. De trade-off: de modellen zijn kleiner en minder capabel dan ChatGPT of Claude. Voor eenvoudige taken als tekst herschrijven of samenvatten kan het voldoende zijn.

De keuze hangt af van wat je al gebruikt. Heb je Microsoft 365? Copilot is de makkelijkste stap. Heb je niets? De ChatGPT API (met DPA, pay-per-token) of Claude via de API is het overwegen waard. ChatGPT Business vereist minimaal 2 users, dus als solo ZZP'er is de API de realistischere optie.

Nog iets om in gedachten te houden: je bent niet verplicht om één tool te gebruiken voor alles. Veel ZZP'ers gebruiken ChatGPT voor eigen creatief werk (geen klantgegevens) en een tool met verwerkersovereenkomst voor taken waar klantdata bij komt kijken. Dat is pragmatisch en AVG-technisch prima.

Wat je opdrachtgever ervan vindt

Dit is het punt dat de meeste artikelen overslaan. De AVG is niet je enige zorg. Je opdrachtgever is dat ook.

Steeds meer bedrijven stellen AI-beleid op. Sommige verbieden het gebruik van AI-tools voor klantdata expliciet. Andere staan het toe onder voorwaarden. En veel contracten bevatten geheimhoudingsclausules die je onbedoeld kunt schenden door klantinformatie in een AI-tool te plakken.

Check je contract of overeenkomst. Staat er iets over vertrouwelijkheid, geheimhouding, of het delen van informatie met derden? ChatGPT is een derde. Ook als het voelt als een handig hulpmiddel op je eigen laptop.

Als het contract er niets over zegt, is het verstandig om het bespreekbaar te maken. "Ik gebruik AI-tools voor tekstwerk, maar nooit met herkenbare klantgegevens. Is dat akkoord?" Dat gesprek kost vijf minuten en voorkomt discussie achteraf.

De eerlijke risico-inschatting

De Autoriteit Persoonsgegevens heeft in 2025 actief gewaarschuwd dat het invoeren van persoonsgegevens in AI-chatbots kan leiden tot een datalek. De AP ontvangt steeds meer meldingen hierover. Tegelijk richt de handhaving zich primair op grotere organisaties en structurele overtredingen. De kans dat de AP een individuele ZZP'er beboet die een e-mail laat herschrijven is klein.

Maar "de AP komt niet langs" is geen privacybeleid. Het werkelijke risico zit op drie plekken.

Een klant die vraagt. "Wat heb je met mijn gegevens gedaan?" Als je geen antwoord hebt, heb je een probleem. Niet juridisch per se, maar in de vertrouwensrelatie.

Een opdrachtgever die het ontdekt. Je plakt klantdata in ChatGPT terwijl je contract geheimhouding vereist. Dat is geen AVG-risico. Dat is een contractbreuk.

Een datalek bij OpenAI. Het is eerder voorkomen: in maart 2023 waren chatgeschiedenissen van andere gebruikers kort zichtbaar door een bug. Als jouw klantgegevens op dat moment in die gesprekken stonden, had je een meldplichtig datalek. Zonder verwerkersovereenkomst heb je geen contractuele basis om OpenAI aan te spreken op hun verplichtingen. Geen melding, geen medewerking, geen afspraken over herstel.

De drempel om het goed te doen is laag. Training uitzetten kost twee klikken. Anonimiseren kost dertig seconden. De API kost je per gebruik (vaak minder dan 10 euro per maand bij normaal gebruik). Het gesprek met je opdrachtgever kost vijf minuten. Allemaal minder dan een uur van je uurtarief.

Dit is informatie, geen juridisch advies. Raadpleeg een specialist voor je specifieke situatie.