Trusq

feitelijke duiding · herleidbaar naar primaire bronnen

Onderwerpen Kansen Doe de check Samenwerken LinkedIn NL·EN
Uitleg

AI, bedrijfsgeheimen en vertrouwelijkheid

Vastgesteld 2026-06-22 · ≈ 2 min lezen · Dirk Baaijen

Vertrouwelijke informatie in een extern AI-model invoeren kan de status van bedrijfsgeheim aantasten en geheimhoudings- of AVG-verplichtingen schenden. Bescherming hangt af van geheime maatregelen; oncontroleerbaar delen ondermijnt die. Beheers het met beleid, contract en toegangsregels.

Kort antwoord: Het invoeren van vertrouwelijke bedrijfsinformatie in een extern (cloud-)AI-model is juridisch risicovol. Een bedrijfsgeheim is alleen beschermd zolang het geheim is en je redelijke maatregelen neemt om dat te houden. Onbeheerst delen met een externe leverancier — die de input mogelijk hergebruikt of opslaat — kan die bescherming aantasten en kan geheimhoudings- of AVG-verplichtingen schenden.

Waarom invoer een bedrijfsgeheim kan aantasten

De bescherming van bedrijfsgeheimen (Richtlijn (EU) 2016/943) hangt af van drie voorwaarden: de informatie is geheim, heeft handelswaarde doordat ze geheim is, en is onderworpen aan redelijke geheimhoudingsmaatregelen. Verdwijnt die laatste pijler — bijvoorbeeld door informatie zonder waarborgen in een extern model te plaatsen dat de input bewaart of voor training gebruikt — dan kan het geheim zijn beschermde status verliezen. Het gaat niet alleen om feitelijke lekkage, maar om het niet nemen van redelijke maatregelen.

Contractuele en geheimhoudingsrisico's

Vertrouwelijke informatie die je van klanten of partners ontvangt, valt vaak onder een geheimhoudingsovereenkomst (NDA). Die NDA's beperken doorgaans aan wie en hoe je de informatie mag verstrekken. Een AI-leverancier is een derde partij; informatie daar invoeren kan een NDA schenden, ook als het onbedoeld gebeurt. Hetzelfde geldt voor broncode, prijsmodellen en niet-gepubliceerde strategie.

De AVG-laag bij persoonsgegevens

Zitten er persoonsgegevens in de input, dan komt de AVG erbij. Je hebt een rechtsgrond nodig, een verwerkersovereenkomst met de leverancier, en duidelijkheid over waar de gegevens worden verwerkt en of ze buiten de EER gaan. Hergebruik van input voor modeltraining is een aparte verwerking die zelden gedekt is door je oorspronkelijke grondslag.

Het verschil tussen aanbiedingen

Niet elk aanbod is gelijk. Consumentenversies van chatmodellen kunnen input standaard hergebruiken voor training; zakelijke en enterprise-varianten bieden vaak contractueel dat input niet wordt gebruikt voor training en niet wordt bewaard. Lees die voorwaarden goed: standaardinstellingen verschillen van betaalde tiers, en een gratis proefomgeving valt zelden onder dezelfde garanties. Het beheersbaar maken van dit risico begint bij het kiezen van een aanbod met de juiste contractuele waarborgen — zie ook RAG en enterprise-AI-governance.

Schaduw-AI als grootste lek

Het reële risico zit vaak niet in een bewuste keuze maar in schaduwgebruik: medewerkers die zonder afstemming een gratis chatmodel openen en er een offerte, contract of klantbestand in plakken. Eén handeling kan dan zowel een NDA, de AVG als de geheimhoudingsmaatregel onderuithalen. Beleid zonder een bruikbaar, goedgekeurd alternatief lost dit niet op — medewerkers wijken uit naar wat werkt. Bied daarom een veilige route aan naast het verbod.

Wat te doen

  • Classificeer informatie vóór invoer: publiek, intern, vertrouwelijk of geheim. Geheime en NDA-gebonden informatie hoort niet in een onbeheerd model.
  • Kies een enterprise-aanbod met contractuele garantie dat input niet wordt gebruikt voor training en niet wordt bewaard.
  • Sluit een verwerkersovereenkomst en controleer de verwerkingslocatie bij persoonsgegevens.
  • Leg een inputbeleid vast in je AI-gebruiksbeleid voor medewerkers, met heldere "niet invoeren"-categorieën.
  • Beperk en log toegang, zodat je redelijke maatregelen aantoonbaar zijn.

Bronnen

  1. https://eur-lex.europa.eu/eli/dir/2016/943/oj
    Richtlijn (EU) 2016/943 (bescherming bedrijfsgeheimen); bescherming vereist redelijke maatregelen om informatie geheim te houden.
  2. https://eur-lex.europa.eu/eli/reg/2016/679/oj
    Verordening (EU) 2016/679 (AVG); rechtsgrond, verwerkersafspraken en doorgifte bij persoonsgegevens in AI-modellen.

Deel op LinkedIn

Lees ook

A

AI-sentimentanalyse van medewerkers: de dunne lijn naar het emotieverbod

AI die de stemming van medewerkers afleidt uit e-mail, chat, enquêtes of spraak schuurt tegen het emotieherkenningsverbod (art. 5 AI Act) en de AVG. Geaggregeerd en anoniem kan soms; individueel volgen vrijwel nooit.

U

RAG en enterprise-AI: governance van bedrijfseigen generatieve AI

RAG koppelt een generatief model aan je eigen bronnen, zodat antwoorden uit bedrijfsdocumenten komen. Dat verlaagt verzinsels maar verschuift het risico naar toegang, vertrouwelijkheid en herkomst. Governance draait om bronafbakening, autorisatie, logging en menselijke controle.

W

Een AI-gebruiksbeleid voor medewerkers: generatieve AI op het werk

Medewerkers gebruiken allang generatieve AI — vaak zonder regels. Een gebruiksbeleid begrenst de risico's: lekken van vertrouwelijke of persoonsgegevens, onbetrouwbare output, IE-vragen en transparantie. De AI-geletterdheidsplicht (art. 4) maakt zulk beleid bovendien onderdeel van naleving.

Dirk Baaijen

Over deze kennisbank

Samengesteld en onderhouden door YRproject — programma- en projectregie op het snijvlak van digitale transformatie, AI en regelgeving. Elke feitelijke claim is herleidbaar naar de primaire bron. Achter YRproject staat Dirk Baaijen Over & methode →

Een project of programma? Werk met YRproject →

De maandelijkse briefing

AI-regulering in vijf minuten: wat er veranderde, wat eraan komt en wat het betekent. Geen spam, uitschrijven kan altijd.

Je adres wordt alleen hiervoor gebruikt en op eigen servers bewaard.