Stap 01 - Herkenning

Herken jij jezelf hierin?

Kies een situatie die lijkt op wat jij (of een collega) weleens doet. Geen oordeel - we zijn er allemaal weleens ingetrapt. Klik op een situatie en je ziet direct wat er daarna kan gebeuren.

Tip: zodra je klikt, volgt de simulatie automatisch dezelfde route als jouw prompt.

Stap 02 - De route

Jouw data maakt een reis die jij niet kunt stoppen.

Dit kan op de achtergrond gebeuren, afhankelijk van aanbieder, producttype, contract en privacy-instellingen. Niet bij elke tool, maar het risico is reëel genoeg om serieus te nemen.

Elke stap hieronder licht op om te laten zien hoe één onschuldige prompt onderweg steeds meer risico kan opbouwen.

Jouw invoer - dit verstuur jij
Jij typt het in
Klantnamen, wachtwoorden, dossiers - in een gratis chatbot. Voelt normaal.
Opgeslagen op servers
Alles bewaard - voor support, kwaliteit, analytics. Staat in de kleine lettertjes.
Review kan plaatsvinden
Bij sommige diensten kunnen prompts en antwoorden worden ingezien voor abuse-monitoring, support, kwaliteitscontrole of expliciete feedback. Dit verschilt per aanbieder en contract.
Kan in verbetering terechtkomen
Bij consumentendiensten of opt-in instellingen kan inhoud worden gebruikt om modellen of veiligheidsfilters te verbeteren. Bij veel zakelijke varianten staat dit standaard uit, maar logging en retentie kunnen nog steeds relevant zijn.
Onbedoelde blootstelling
In het slechtste geval kan gevoelige informatie later herleidbaar terugkomen via output, logging, exports of reviewprocessen. Deze simulatie laat dat risico bewust overdreven zichtbaar zien voor awareness.
Datalek

Stap 03 - De simulatie

Zo komt jouw data later terug.

Iemand anders, ergens anders, stelt een onschuldige vraag. En het model antwoordt - met jouw gegevens.

Jij - eerder
Later...
Iemand anders

Het model antwoordt...
Klik op de knop om de simulatie te starten.

Stap 04 - Veilig werken

Niet alles verbieden. Wél nadenken.

Het 3-zone model helpt je in één oogopslag bepalen wat mag, wat eerst bewerkt moet worden, en wat volgens beleid of risicobeoordeling niet in publieke of niet-goedgekeurde cloud-AI hoort.

Zone 1 - Cloud mag

Generieke vragen, publieke info, niet-herleidbare voorbeelden.

  • ✓ Schrijf een e-mail over verlofregeling
  • ✓ Leg uit hoe HTTPS werkt
  • ✓ Maak een presentatie over duurzaamheid
  • ✗ Geen persoonsgegevens
  • ✗ Geen klantidentifiers
AVG: Geen verwerkingsgrondslag nodig

Zone 2 - Eerst pseudonimiseren

Operationele context mag - maar verwijder namen, nummers en locaties eerst.

  • → 'Klant A' i.p.v. bedrijfsnaam
  • → Geen e-mailadressen of telefoonnummers
  • → Geen interne systemen of accountnamen
  • → Gebruik enterprise AI mét DPA
AVG: Verwerkersovereenkomst vereist

Zone 3 - Niet in publieke of niet-goedgekeurde cloud-AI

Hoog-risico data blijft lokaal of in een volledig afgeschermde omgeving.

  • ✗ Wachtwoorden, API keys, tokens
  • ✗ Volledige klantdossiers
  • ✗ Medische of financiële details
  • ✗ Security-rapporten met kwetsbaarheden
  • ✗ Contracten met vertrouwelijkheidsclausule
Beleidsregel: alleen in afgeschermde of expliciet goedgekeurde omgeving

Stap 05 - Gevolgen

Wat kost één verkeerde klik?

Een datalek via een AI-tool is geen IT-probleem. Het is een juridisch, commercieel en reputatieprobleem tegelijk.

§

Juridisch

  • AVG-boete tot €20 miljoen of 4% wereldwijde omzet
  • Meldplicht bij Autoriteit Persoonsgegevens binnen 72 uur
  • Aansprakelijkheid bij schade bij betrokken personen
  • EU AI Act: extra verplichtingen bij hoog-risico toepassingen

Commercieel

  • Klant beëindigt contract direct na ontdekking
  • Contractbreuk als geheimhouding is afgesproken
  • Herstelkosten: forensisch onderzoek, juridisch advies
  • Verlies van certificeringen of aanbestedingsrecht

Reputatie

  • Nieuws gaat sneller dan de disclaimer
  • Klanten delen ervaringen - ook de slechte
  • Jarenlang opgebouwd vertrouwen weg in één dag
  • Moeilijk herstelbaar bij B2B-relaties

De goede kant op

Gebruik enterprise AI met een Data Processing Agreement. Zet trainingsopties uit. Volg het 3-zone model. Vraag je IT-afdeling of MSP welke tools goedgekeurd zijn. Eén korte check voorkomt een lang gesprek met een advocaat.