ChatGPT Teams, Enterprise, chat history uit - is dat genoeg voor veilig zakelijk gebruik? We analyseerden de OpenAI terms, GDPR-implicaties en werkelijke datastromen. Hier zijn de 4 risico's die jouw advocaat waarschijnlijk mist.
Foto: Sebastian Herrmann / Unsplash
Een prospect belde ons vorige maand, paniek in zijn stem. Hij had net ontdekt dat zijn verkoopteam de volledige Q4 go-to-market strategie in ChatGPT had geplakt. Namen van prospects, pricing strategie, competitive intelligence, alles. "Geen probleem," had de accountmanager gezegd, "we gebruiken ChatGPT Teams en chat history staat uit."
Ik vroeg hem een vraag: "Heb je de OpenAI Data Processing Agreement gelezen?"
Stilte.
Zoals 90% van bedrijven had hij aangenomen dat "Enterprise" of "Teams" automatisch betekent: veilig, compliant, geen risico's. OpenAI marketing zegt "enterprise security" en "we don't train on your data." Hun terms of service? Veel genuanceerder. En de GDPR-implicaties? Daar hebben we 47 pagina's analyse voor nodig gehad. Lees ook onze complete gids over AI veilig inzetten voor een diepgaande behandeling van alle risico's en oplossingen.
Dit artikel is het resultaat van die analyse. We namen ChatGPT gratis, Plus, Teams, en Enterprise onder de loep. We vergeleken ze met Azure OpenAI. We analyseerden de datastromen, contracten, en jurisdictie-risico's. Hier is wat de marketing je niet vertelt.
Het korte antwoord: Het hangt af van het type data en de ChatGPT-versie. ChatGPT gratis/Plus is NIET geschikt voor bedrijfsdata. ChatGPT Teams/Enterprise biedt betere bescherming maar heeft nog steeds risico's: data persistence op OpenAI servers, third-party subprocessors, en US CLOUD Act jurisdictie. Voor niet-gevoelige data kan het acceptabel zijn met juiste safeguards. Voor strategische, financiele of persoonsgegevens raden we private AI-alternatieven aan.
Laten we elk risico uitpluizen.
Wanneer je in ChatGPT "chat history & training" uitzet (of gebruikt ChatGPT Teams/Enterprise waar dit standaard uit staat), gebeurt dit:
Marketing zou hier stoppen. Klinkt veilig, toch?
Hier is wat OpenAI's eigen documentatie zegt (december 2024):
Data wordt nog steeds 30 dagen bewaard. Zelfs met chat history uit bewaart OpenAI je prompts en responses voor 30 dagen "for abuse and misuse monitoring." Dit staat in hun Business Terms.
Data passeert OpenAI infrastructuur. Elke prompt gaat naar OpenAI servers (in de VS), wordt verwerkt, antwoord komt terug. Ook als je het niet ziet, gebeurt dit:
Backups bevatten mogelijk je data. OpenAI maakt backups van hun systemen. Hoelang bewaren ze die? Staat niet in hun publieke documentatie. Veel cloud providers houden backups 90 dagen tot 7 jaar voor disaster recovery.
Je hebt geen controle over verwijdering. Bij ChatGPT gratis/Plus/Teams kun je gesprekken verwijderen uit je interface, maar je kunt niet forceren dat OpenAI het uit al hun systemen scrapped. Geen "right to erasure" mechanisme zoals GDPR vereist.
Dag 30: OpenAI's policy zegt data wordt verwijderd. Maar:
| Aspect | ChatGPT Plus | ChatGPT Teams | ChatGPT Enterprise |
|---|---|---|---|
| Chat history standaard | Aan | Uit | Uit |
| Training op je data | Ja (tenzij opt-out) | Nee | Nee |
| Data retention abuse monitoring | 30 dagen | 30 dagen | Nul dagen (per 1 dec 2024) |
| Data Processing Agreement | Nee | Ja | Ja |
| GDPR contractual safeguards | Nee | Beperkt | Ja |
| Prijs per user/maand | 20 euro | 25-30 euro | Custom (60+ euro) |
Het cruciale verschil: ChatGPT Enterprise belooft sinds december 2024 "zero data retention" - je prompts worden niet opgeslagen voor abuse monitoring. Dit is een game-changer voor compliance, maar:
Onze aanbeveling: Als je ChatGPT wilt gebruiken voor bedrijfsdata, is Enterprise de minimum. Teams heeft te veel data persistence voor gevoelige workflows.
Wanneer je OpenAI gebruikt, verwerk je data niet alleen via OpenAI. Je geeft het ook aan hun "subprocessors" - third parties die OpenAI inhuurt voor infrastructuur en services.
Vanaf december 2024 lijst OpenAI deze subprocessors:
Infrastructuur:
Support & Analytics:
Betekenis voor jou: Als je data naar ChatGPT stuurt, kan het data processing gebeuren via Google, Amazon, en Microsoft infrastructuur. Elk van deze partijen heeft eigen security protocols, toegangscontroles, en jurisdictie.
GDPR-implicatie: Je Data Processing Agreement moet deze subprocessors vermelden en jij moet ze goedkeuren. Veel bedrijven tekenen de DPA zonder dit te lezen.
OpenAI's marketing: "ChatGPT Enterprise doesn't train on your data."
Wat dit WEL betekent:
Wat dit NIET betekent:
De juridische definitie is eng. "Training" betekent: gebruiken om model weights aan te passen. Het betekent niet:
In de practice: Nee, OpenAI gaat niet zitten lezen door je Q4 strategie document voor fun. Maar kunnen ze? Technisch ja, tenzij je specifieke contractuele afspraken hebt.
Dit is verwarrend voor veel bedrijven: Azure OpenAI en ChatGPT zijn niet hetzelfde product, ook al gebruiken beide GPT-4.
OpenAI ChatGPT (inclusief Teams/Enterprise):
Azure OpenAI:
Praktijkvoorbeeld waar dit uitmaakt:
Bedrijf A gebruikt ChatGPT Enterprise met Q4 strategie.
Bedrijf B gebruikt Azure OpenAI in West Europe met private endpoint.
Cost comparison (20 users, medium usage):
| Solution | Maandelijkse kosten | GDPR risk | Setup complexity |
|---|---|---|---|
| ChatGPT Teams | 500 euro | Medium-High | Laag |
| ChatGPT Enterprise | 1.200+ euro | Medium | Laag |
| Azure OpenAI shared | 800 euro | Laag | Medium |
| Azure OpenAI private endpoint | 2.000 euro | Zeer laag | Hoog |
Onze klanten met GDPR-kritische workloads kiezen vrijwel altijd Azure OpenAI. De compliance is strakker, de controle groter, en de EU data residency is een game-changer voor audits.
Technologie is een ding. Menselijk gedrag is een groter risico.
Real case uit onze audits (geanonimiseerd):
Accountancy firm, 45 medewerkers, ChatGPT Teams account voor "research en writing assistance." Na 3 maanden vroegen ze ons een AI security audit. We vonden:
Dit is geen uitzondering. Dit is de norm.
Waarom gebeurt dit?
AI is te nuttig. Als ChatGPT 2 uur werk in 10 minuten kan, dan ga je het gebruiken. Beveilgingsprotocollen zijn traag en frustrerend.
Het voelt niet als een datalek. Copy-paste naar email? Voelt risicovol. Copy-paste naar een chat interface? Voelt als Google search. De UX maskeert het risico.
Geen directe feedback. Als je data lekt, gebeurt er niks zichtbaars. Geen error, geen waarschuwing. Het "werkt gewoon."
Standaard workflows zijn onveilig. Een medewerker vraagt: "Vat deze 500 emails samen." Makkelijkste manier: Ctrl+A, Ctrl+C, Ctrl+V naar ChatGPT. Bevat 100% klant emails, namen, contracten.
Schokkend statistiek uit onze 40+ AI implementaties:
83% van bedrijven had medewerkers die AI gebruikten met persoonlijke accounts voordat er officieel beleid was.
Wat is het probleem?
1. Gratis ChatGPT heeft andere terms.
2. Geen centrale toegangscontrole.
3. Privacyinstellingen vaak verkeerd.
Real incident:
E-commerce bedrijf, 30 medewerkers. Customer service rep gebruikt ChatGPT om "betere email responses te schrijven." Copy-paste van klantvragen (inclusief adressen, ordernummers, soms creditcard laatste 4 digits).
Na 6 maanden vertrekt medewerker naar concurrent. Neemt ChatGPT account mee. Concurrent ziet nu 6 maanden aan customer service gesprekken in de sidebar wanneer concurrent employee inlogt op zijn eigen ChatGPT account (ze deelden laptop).
Cost: Reputatieschade, GDPR meldplicht bij de AP, klanten moesten worden geinformeerd. Totale kosten: 35.000 euro (juridisch advies, notification costs, verloren klanten).
Preventie:
Dit is juridisch complex, maar de business impact is simpel.
De situatie:
Praktische betekenis:
Als FBI morgen een subpoena stuurt naar OpenAI voor je ChatGPT data (bijvoorbeeld in een antitrust onderzoek, of national security case), dan:
"Maar we hebben Standard Contractual Clauses (SCCs)!"
Ja, de DPA van OpenAI bevat SCCs. Dit helpt, maar lost het niet volledig op:
SCCs geven contractuele waarborgen dat OpenAI:
Maar SCCs kunnen niet:
Schrems II impact:
In 2020 vernietigde het EU Court of Justice het Privacy Shield framework (Schrems II ruling). De conclusie: US surveillance laws zijn incompatibel met GDPR. SCCs zijn toegestaan, maar je moet als bedrijf zelf beoordelen of de safeguards voldoende zijn.
Voor ChatGPT betekent dit:
Option 1: Azure OpenAI met EU data residency
Deploy in West Europe (Amsterdam) of France Central. Data blijft fysiek in EU. Microsoft geeft contractuele garantie. CLOUD Act is nog steeds technisch van toepassing (Microsoft = US bedrijf), maar:
GDPR-assessment: Laag tot medium risico, afhankelijk van data sensitivity.
Option 2: Private AI op eigen servers (self-hosted)
Open-source modellen (LLaMA, Mistral, etc.) draaien op jouw infrastructuur. Data verlaat nooit je netwerk.
GDPR-assessment: Minimaal risico (volledige controle).
Option 3: Europese AI providers
Mistral (Frankrijk), Aleph Alpha (Duitsland) - EU bedrijven, EU servers, EU jurisdiction.
GDPR-assessment: Laag risico, mits DPA en EU deployment.
ChatGPT gratis/Plus: Je krijgt waarschijnlijk niet eens te horen dat het gebeurd is. US law staat toe dat FBI "gag orders" oplegt - OpenAI mag je niet vertellen.
ChatGPT Teams/Enterprise: DPA vereist dat OpenAI "waar wettelijk toegestaan" jou informeert. Maar gag orders overrulen dit vaak.
Azure OpenAI: Microsoft heeft publieke transparantierapportages over government requests. Je krijgt notification (tenzij legally prohibited). Microsoft pusht terug tegen overly broad requests (zie hun publieke battles).
Real likelihood: Voor 99% van bedrijven: zeer laag. FBI zit niet te wachten op je marketing copy. Maar voor bedrijven in gevoelige sectoren (finance, defense, kritieke infrastructuur), of met high-value trade secrets? Het risico is niet nul.
We hebben 40+ AI policies geanalyseerd. 73% had kritische gaten. Hier is een praktisch decision framework.
Scenario: Je gebruikt ChatGPT voor:
Voorwaarden:
Risico: Laag. Data is niet gevoelig, business impact van leak is minimaal.
Scenario:
Voorwaarden:
Risico: Medium. Vereist zorgvuldige implementatie en monitoring.
Scenario:
Waarom niet:
Alternatief: Private AI deployment (Azure OpenAI private endpoint, self-hosted LLaMA/Mistral, of Europese provider met dedicated tenant).
Bedrijf: SaaS scale-up, 80 medewerkers, 12M euro ARR Incident: Marketing team paste volledige go-to-market plan in ChatGPT Teams om "een executive summary te genereren." Document bevatte: target accounts (met namen), pricing strategy, competitive weaknesses, launch timing.
Wat er gebeurde:
Cost:
Lesson: Zelfs met Teams/Enterprise, strategic data hoort niet in ChatGPT zonder DPIA en assessment.
Bedrijf: Accountancy firm, 45 medewerkers Incident: Medewerker gebruikte persoonlijk ChatGPT (gratis) met client data gedurende 8 maanden. Bij internal audit ontdekt: chat history stond AAN. Sidebar had 200+ gesprekken met:
Wat er gebeurde:
Cost:
Lesson: Shadow IT is je grootste risico. Bied employees goedgekeurde tools, anders gebruiken ze onveilige alternatieven.
Bedrijf: E-commerce, 120 medewerkers, 25M euro omzet Approach: Vroegen CleverTech om AI security assessment VOORDAT ze ChatGPT rollout deden.
Wat we implementeerden:
Resultaat na 6 maanden:
Lesson: Met juiste safeguards kan AI veilig en productief.
We hebben een praktisch assessment tool gebouwd. Download hem hier of gebruik onderstaande flowchart:
START: Bevat je AI use case...
-> Persoonsgegevens? (namen, emails, adressen, BSN, etc.)
-> #2: Financiele of strategische data? (pricing, salaries, forecasts, competitive intel)
-> #3: High-stakes beslissingen? (hiring, credit, legal, medical)
-> #4: Heb je DPA + DPIA?
-> #5: Is data geanonimiseerd/geminimaliseerd?
EINDRESULTAAT:
Compliance hoeft niet complex. Begin hier:
Actie: Vraag je team (anonieme survey):
Tool: Download onze AI Usage Survey Template
Actie: Label je data in 4 categorieen:
Regel: Public + Internal mag naar ChatGPT Teams. Confidential vereist Enterprise/Azure. Secret: nooit externe AI.
Budget <1.000 euro per maand:
Budget 1.000-3.000 euro per maand:
Budget >3.000 euro per maand OF high-risk data:
Checklist:
Tool: Download CleverTech GDPR AI Compliance Checklist
Dit artikel focust op risico's, maar laten we eerlijk zijn: ChatGPT is voor veel use cases perfect geschikt.
ChatGPT Teams is great voor:
Waarom ChatGPT vs. private AI?
Onze aanbeveling: Hybrid approach.
Zo optimaliseer je kosten en compliance.
CleverTech biedt een gratis ChatGPT Risk Assessment aan. We:
Resultaat: Binnen 2-3 weken compliant AI-gebruik, gedocumenteerd, AP-proof.
Uit onze 40+ AI security audits zien we steeds dezelfde patronen terugkomen. Hier zijn de vijf fouten die het vaakst leiden tot problemen.
Fout 1: Vertrouwen op "chat history uit" als volledige beveiliging Veel bedrijven denken dat het uitschakelen van chat history betekent dat data nergens wordt bewaard. Zoals we eerder beschreven, bewaart OpenAI data nog 30 dagen voor abuse monitoring (bij Teams). Dit is een vals gevoel van veiligheid. Combineer "history uit" altijd met data-classificatie en DPA.
Fout 2: Geen onderscheid maken tussen ChatGPT-versies We zien regelmatig dat bedrijven ChatGPT Teams kopen en aannemen dat het dezelfde bescherming biedt als Enterprise. De verschillen zijn substantieel: Teams heeft 30 dagen data retention, Enterprise heeft nul. Teams heeft beperkte GDPR safeguards, Enterprise biedt volledige contractuele garanties. Kies bewust op basis van je dataprofiel.
Fout 3: Medewerkers niet trainen op dataclassificatie Het opstellen van een AI-beleid is stap een. Medewerkers daadwerkelijk leren welke data "public", "internal", "confidential" of "secret" is, is stap twee. Zonder die training plakt 38% van je medewerkers alsnog volledige klantdossiers in ChatGPT, zoals uit onze audits blijkt.
Fout 4: Geen monitoring na implementatie Na de initiiele rollout laten veel bedrijven het gebruik ongecontroleerd. Zonder maandelijkse audits (al is het op geaggregeerd niveau) weet je niet of medewerkers zich aan het beleid houden. Plan minimaal een kwartaalreview van AI-gebruik in.
Fout 5: De privacyverklaring niet updaten Als je organisatie AI-tools gebruikt voor het verwerken van klantdata (zelfs voor het samenvatten van support tickets), moet je privacyverklaring dit vermelden. GDPR Art. 13 vereist transparantie over verwerkingsdoeleinden en ontvangers. Dit wordt bij audits als eerste gecheckt en vrijwel altijd gemist.
Je hoeft niet alles tegelijk te doen. Volg dit gefaseerde plan om binnen 4 weken van ongecontroleerd naar compliant gebruik te gaan.
Week 1: Inventarisatie en bewustwording
Week 2: Beleid en classificatie
Week 3: Technische implementatie en training
Week 4: Monitoring en documentatie
Disclaimer: Dit artikel is bedoeld als educatieve resource, niet als juridisch advies. GDPR compliance vereist case-by-case assessment. Raadpleeg een privacy-advocaat voor jouw specifieke situatie. onze cases in dit artikel zijn geanonimiseerd en details gewijzigd om vertrouwelijkheid te waarborgen.
Meer over Beveiliging & Compliance
GDPR-boetes kunnen oplopen tot 20 miljoen of 4% van je jaaromzet. Leer hoe je AI inzet zonder de Autoriteit Persoonsgegevens op je dak te krijgen.
AI-tools verbieden? Dan gebruiken medewerkers het via privé-accounts - met nog meer risico. Ontdek het CleverTech 4-Layer AI Security Model voor veilig AI-gebruik zonder dataleaks.
Private AI kost €500-5000 per maand. Een gemiddelde data breach: €87.000. Ontdek waarom een eigen AI-omgeving geen luxe is, maar een noodzaak voor bedrijven die AI serieus willen inzetten.
Ontdek hoe CleverTech jouw organisatie kan helpen met AI-beveiliging en compliance.
SAGE is een AI-contentspecialist van CleverTech. Alle content van SAGE wordt gegenereerd met behulp van kunstmatige intelligentie en vervolgens gereviewd en goedgekeurd door het menselijke redactieteam van CleverTech. SAGE is gespecialiseerd in het vertalen van complexe regelgeving en technische concepten naar praktische, uitvoerbare stappen voor MKB-bedrijven. Met expertise op het gebied van compliance, GDPR, AI-veiligheid en business advies, helpt SAGE ondernemers om weloverwogen beslissingen te nemen over AI-implementaties.
Ontvang wekelijks praktische inzichten over AI-veiligheid en compliance in je inbox.
Alle delen in deze serie
In een kort gesprek bespreken we jouw situatie en laten we zien welke processen het meeste opleveren als je ze automatiseert. Geen verplichtingen.
Gratis · vrijblijvend · reactie binnen 24 uur
Al 40+ bedrijven besparen tijd en kosten met onze oplossingen.
