De korte versie: ChatGPT.com (Free of Plus) is niet AVG-proof voor klantdata. Punt. Wel veilig: ChatGPT Team (€25/p/m), met DPA en geen training op je data. Helemaal veilig: ChatGPT Enterprise, met SOC 2 en EU-data residency. In deze post welk abonnement past bij welk gebruik, een AI-policy template, en de vuistregels die voorkomen dat je klantdata terechtkomt waar het niet hoort.
Per medewerker per maand. ChatGPT Team — minimumvariant voor zakelijk gebruik met klantdata. Geen training op je data, DPA inbegrepen, basis voor compliance.
Verschil tussen de versies
OpenAI biedt vier verschillende ChatGPT-tieren. Het praktische verschil zit in drie dimensies: training-op-data, DPA en data-residency.
| Versie | Prijs | Trainen op jouw data? | DPA? | EU-residency? |
|---|---|---|---|---|
| ChatGPT Free | €0 | Ja (default) | Nee | Nee |
| ChatGPT Plus | €20/p/m | Ja (default, opt-out mogelijk) | Nee | Nee |
| ChatGPT Team | €25/p/m | Nee | Ja | Beperkt |
| ChatGPT Enterprise | Vanaf €50/p/m | Nee | Ja, uitgebreid | Ja, SOC 2 |
Belangrijkste les: het verschil tussen Plus (€20) en Team (€25) is de DPA en het non-training. Voor €5/p/m extra verandert je AVG-positie volledig. Wij zien nog steeds MKB-bedrijven Plus-abonnementen gebruiken voor klantdata. Dat is een onnodig risico.
Wat te doen: 5 concrete stappen
1. Upgrade naar Team of Enterprise
Voor 80% van MKB-bedrijven is Team voldoende. Enterprise pas wanneer je >50 medewerkers hebt, kritieke data verwerkt of in gereguleerde sector zit (zorg, financieel, overheid).
2. Schrijf een AI-policy
Eén document, 1-2 A4. Niet meer. Hieronder de template die werkt in MKB-context. Plak het in je intranet of personeelshandboek, laat iedereen tekenen voor ontvangst.
3. Verbod op klantdata in publieke versies
Expliciet in de policy: geen klantnamen, klantgegevens, intern vertrouwelijke documenten in ChatGPT.com (Free/Plus). Ook niet "even snel". Ook niet thuis. Eén misstap = mogelijk meldplicht aan AP.
Vuistregel: Als je twijfelt of iets "klantdata" is, beschouw het als klantdata. Beter een policy die te streng is dan een AVG-melding op je bureau.
4. Training met concrete voorbeelden
Een 30-minuten sessie per team. Toon 5 voorbeelden van wat wel mag en 5 van wat niet mag. Mensen onthouden voorbeelden, geen regels.
5. Quartaalreview
Eén keer per kwartaal: bekijk wie er ChatGPT gebruikt, of de policy nog matcht, of er nieuwe tools zijn. 30 minuten in een ops-meeting volstaat.
AI-policy template (6 paragrafen)
De minimale AI-policy voor MKB. Pas aan op je eigen bedrijf en sla op in je personeelshandboek.
1. Doel en scope
Deze policy beschrijft hoe medewerkers van [bedrijfsnaam] AI-tools mogen gebruiken in hun werk. De policy geldt voor alle AI-tools, ook tools die je privé hebt en zakelijk inzet.
2. Toegestane tools
Voor zakelijk gebruik met klantdata zijn alleen Enterprise- of Team-tier abonnementen toegestaan, met DPA. Concreet goedgekeurd: ChatGPT Team, Claude Team/Enterprise, Microsoft Copilot Enterprise. Niet toegestaan voor klantdata: ChatGPT.com Free/Plus, Claude.ai Free/Pro, Gemini Free.
3. Welke data mag je invoeren
Vrij: publiek beschikbare informatie, marketingteksten, code-snippets zonder bedrijfslogica. Beperkt (alleen Team/Enterprise): klantnamen, contactgegevens, offertes, interne documenten, codebases. Verboden: BSN, bankgegevens, medische data, salarisgegevens, juridisch gevoelige zaken — ongeacht het abonnement.
4. Verantwoordelijkheid en controle
Je bent zelf verantwoordelijk voor de juistheid van AI-output. Controleer voor je iets verstuurt of toepast. Bij twijfel: leg voor aan je manager. Bij vermoeden van datalek: meld direct bij [interne DPO/eigenaar].
5. Transparantie
Bij externe communicatie waar AI substantieel heeft bijgedragen, vermeld je dat. Voorbeeld: "Geschreven met AI-assistentie." Voor interne notities is dit niet nodig.
6. Sancties bij overtreding
Bij eerste overtreding: gesprek met manager + extra training. Bij herhaalde of opzettelijke overtreding: arbeidsrechtelijke stappen volgens cao/contract. Datalek door bewuste overtreding kan tot ontslag leiden.
Wat we in de praktijk zien
Drie patronen die in 80% van de MKB-trajecten terugkomen wanneer we een AI-audit doen:
- Schaduw-IT: 60% van de medewerkers gebruikt AI-tools die management niet kent. Inventariseren is stap 1.
- Privé-accounts voor zakelijk werk: ChatGPT Plus-abonnement op privé-mail, gebruikt voor offertes. Veelvoorkomend, ongewenst.
- Geen policy: 70% van MKB-bedrijven heeft geen AI-policy. Daarmee ontbreekt het juridische vangnet bij incidenten.
We dachten dat alleen het sales-team ChatGPT gebruikte. Bij een rondvraag bleken 14 van de 18 medewerkers actief gebruik te maken van AI-tools, deels op privé-accounts. Policy + Team-licenties geregeld in een week. Voorheen lagen we open voor data-incidenten.— DGA, MKB-dienstverlener 18 medewerkers
De vuistregel die alles vereenvoudigt
Gebruik geen ChatGPT.com voor klantdata, ooit. Een Team-licentie kost €25/maand per persoon. Voor een team van 10 is dat €3.000 per jaar — minder dan één AVG-boete. De business case is niet "is het de moeite waard?" maar "kunnen we ons een datalek veroorloven?". Voor de meeste MKB-bedrijven is het antwoord: nee.