Home > AI & Digitale Tools > Gebruikt jouw bedrijf AI? Dan heb je meer nodig dan een privacy policy

Gebruikt jouw bedrijf AI? Dan heb je meer nodig dan een privacy policy

“De vraag is niet langer of je bedrijf AI gebruikt. De echte vraag is of je weet waar, door wie, met welke data en onder welke juridische voorwaarden.”

AI is intussen overal. Medewerkers gebruiken ChatGPT om teksten te schrijven, marketingteams analyseren klantgegevens, salesafdelingen automatiseren e-mails en softwarebedrijven bouwen AI-functionaliteiten in hun producten.

Maar juridisch loopt het vaak achter.

Veel ondernemingen denken dat ze “ongeveer in orde” zijn omdat ze een privacyverklaring hebben, algemene voorwaarden gebruiken of ooit een GDPR-oefening hebben gedaan. Dat is te kort door de bocht.

Een privacy policy is belangrijk, maar ze lost niet automatisch je AI-risico’s op.

AI raakt namelijk aan veel meer dan privacy alleen: persoonsgegevens, vertrouwelijke informatie, intellectuele eigendom, leverancierscontracten, interne richtlijnen, beveiliging, aansprakelijkheid en transparantie tegenover klanten of gebruikers.

Daarom bekijken we AI binnen Easylegal niet als een los juridisch thema, maar als één van de risicozones binnen de Digitale Risicokaart: een praktische manier om digitale juridische risico’s in je onderneming zichtbaar te maken.

AI wordt vaak gebruikt zonder juridisch kader

In veel bedrijven is AI niet officieel ingevoerd. Het is gewoon “binnengekomen”.

Een medewerker gebruikt ChatGPT om een klantantwoord te verbeteren. Iemand uploadt een Excelbestand om sneller inzichten te krijgen. Een marketingteam test AI-tools voor campagnes. Een HR-medewerker gebruikt AI om vacatureteksten te herschrijven. Een ontwikkelaar laat code nakijken door een externe AI-tool.

Op zich hoeft dat niet verkeerd te zijn.

Maar zodra bedrijfsinformatie, klantgegevens, personeelsgegevens, contracten, technische documentatie of commerciële strategieën in AI-tools terechtkomen, moet je weten wat er juridisch gebeurt.

Wie is verantwoordelijk?
Welke data wordt verwerkt?
Waar gaat die data naartoe?
Wordt de input gebruikt om modellen te trainen?
Is er een verwerkersovereenkomst?
Zijn medewerkers hierover geïnformeerd?
Mag deze informatie wel gedeeld worden met een externe tool?
En wie draagt het risico als AI-output fout, misleidend of inbreukmakend is?

Dat zijn geen theoretische vragen. Dat zijn vragen die elke onderneming die AI gebruikt minstens moet kunnen beantwoorden.

De AI Act verandert het speelveld

De Europese AI Act wordt gefaseerd van toepassing. De algemene toepassing start op 2 augustus 2026, maar bepaalde onderdelen gelden al vroeger. Zo zijn de bepalingen over verboden AI-praktijken en AI-geletterdheid van toepassing sinds 2 februari 2025, en gelden bepaalde verplichtingen rond general-purpose AI vanaf 2 augustus 2025.

Dat betekent niet dat elke KMO plots een zwaar AI-complianceprogramma nodig heeft.

Maar het betekent wel dat AI niet langer vrijblijvend is.

Ondernemingen moeten minstens begrijpen welke AI-systemen ze gebruiken, waarvoor ze die gebruiken, welke risico’s eraan verbonden zijn en welke maatregelen nodig zijn. Zeker wanneer AI wordt ingezet in gevoelige domeinen zoals HR, klantenbeoordeling, kredietanalyse, beveiliging, gezondheidsinformatie, onderwijs, juridische beoordeling of besluitvorming over personen.

Wat loopt er meestal mis?

1. Medewerkers gebruiken AI zonder interne richtlijnen

Veel ondernemingen hebben geen AI-policy. Daardoor beslist elke medewerker zelf wat wel of niet kan.

Dat is gevaarlijk.

Zonder duidelijke richtlijnen bestaat het risico dat medewerkers persoonsgegevens, bedrijfsgeheimen, klantinformatie, contracten of interne documenten invoeren in AI-tools zonder te weten of dat mag.

Een goede AI-policy bepaalt minstens:

welke AI-tools gebruikt mogen worden;
welke informatie nooit mag worden ingevoerd;
wie toestemming moet geven voor nieuwe tools;
hoe output gecontroleerd moet worden;
wanneer menselijke review verplicht is;
wat er gebeurt bij fouten of datalekken.

2. AI-leveranciers worden onvoldoende juridisch gecontroleerd

Niet elke AI-tool is juridisch geschikt voor professioneel gebruik.

Voor je een AI-tool inzet, moet je minstens kijken naar de contractvoorwaarden, privacyvoorwaarden, beveiligingsmaatregelen, locatie van verwerking, gebruik van inputdata en aansprakelijkheidsbeperkingen.

Bij verwerking van persoonsgegevens moet je nagaan of een verwerkersovereenkomst nodig is.

Bij vertrouwelijke bedrijfsinformatie moet je nagaan of de leverancier voldoende contractuele garanties biedt.

Bij AI-output moet je nagaan wie verantwoordelijk is als de output fout is of rechten van derden schendt.

3. Er is geen duidelijkheid over intellectuele eigendom

AI roept meteen IP-vragen op.

Mag je AI-output commercieel gebruiken?
Wie is eigenaar van door AI gegenereerde teksten, beelden, code of ontwerpen?
Wat als de output lijkt op beschermd werk van iemand anders?
Mag je klantmateriaal gebruiken om AI-output te maken?
Wat als een freelancer of leverancier AI gebruikt bij de uitvoering van een opdracht?

Voor software, marketing, design, contentcreatie en productontwikkeling is dit geen detail. Het moet contractueel geregeld worden.

4. AI-output wordt te snel vertrouwd

AI klinkt vaak overtuigend, ook wanneer de output fout is.

Dat is juridisch riskant. Zeker wanneer AI wordt gebruikt voor advies, klantcommunicatie, juridische teksten, HR-beslissingen, medische informatie, financiële inschattingen of technische documentatie.

Een onderneming moet kunnen aantonen dat AI-output niet blind wordt overgenomen, maar gecontroleerd wordt waar dat nodig is.

5. De privacyverklaring wordt aangepast, maar de rest niet

Sommige ondernemingen voegen snel een zinnetje toe aan hun privacyverklaring over “gebruik van AI”.

Dat is meestal onvoldoende.

AI-gebruik kan ook impact hebben op:

arbeidsreglement of interne policies;
verwerkersovereenkomsten;
algemene voorwaarden;
SaaS-voorwaarden;
klantencontracten;
leverancierscontracten;
informatiebeveiligingsbeleid;
datalekprocedure;
DPIA-documentatie;
IP-clausules;
geheimhoudingsovereenkomsten.

Een privacy policy is dus maar één stukje van de puzzel.

“Een privacy policy zegt wat je doet met persoonsgegevens. Ze zegt niet automatisch wat je medewerkers met AI mogen doen, welke data in externe tools terechtkomt of wie aansprakelijk is voor foutieve output.”

Wat moet je dan minstens regelen?

Een onderneming die AI gebruikt, zou minstens deze basisvragen moeten beantwoorden:

Welke AI-tools gebruiken we vandaag al?
Niet alleen officieel aangekochte tools, maar ook tools die medewerkers informeel gebruiken.
Welke gegevens worden ingevoerd?
Denk aan persoonsgegevens, klantgegevens, personeelsgegevens, contracten, financiële informatie, technische informatie en bedrijfsgeheimen.
Voor welke doeleinden gebruiken we AI?
Contentcreatie, klantenservice, HR, analyse, softwareontwikkeling, juridische documenten, marketing of besluitvorming?
Welke leveranciers zitten ertussen?
En zijn hun voorwaarden, beveiliging en privacy-afspraken juridisch aanvaardbaar?
Hebben medewerkers duidelijke instructies?
Weten ze wat wel en niet mag?
Moeten klanten, werknemers of gebruikers geïnformeerd worden?
Soms wel. Zeker bij verwerking van persoonsgegevens of wanneer AI een rol speelt in beslissingen of dienstverlening.
Wie controleert de output?
AI mag niet ongemerkt de eindbeslissing nemen in situaties waar menselijke controle noodzakelijk is.
Zijn contracten aangepast?
Denk aan klantencontracten, leverancierscontracten, verwerkersovereenkomsten, IP-clausules en geheimhoudingsafspraken.

Precies daarom vertrekt de Digitale Risicokaart niet vanuit één wet of één document, maar vanuit de vraag waar digitale risico’s concreet ontstaan in je onderneming.

Wanneer is een AI legal scan zinvol?

Een AI legal scan is nuttig zodra je onderneming één van deze dingen doet:

medewerkers gebruiken ChatGPT, Copilot of andere AI-tools;
je gebruikt AI voor marketing, sales, HR, klantenservice of administratie;
je verwerkt klantgegevens of personeelsgegevens met AI;
je gebruikt AI in software, SaaS of digitale diensten;
je laat freelancers of leveranciers AI gebruiken;
je wil AI inzetten, maar weet niet welke juridische afspraken nodig zijn;
je wil vermijden dat gevoelige informatie ongecontroleerd in externe tools terechtkomt.

Het doel is niet om AI af te remmen.

Het doel is om AI professioneel, veilig en juridisch verantwoord te gebruiken.

Binnen de Digitale Risicokaart wordt AI-gebruik niet alleen beoordeeld vanuit privacy, maar ook vanuit contracten, IP, data governance, leveranciers, interne afspraken en aansprakelijkheid. Net die combinatie maakt het risico zichtbaar.

“Wie AI professioneel wil gebruiken, moet niet alleen naar technologie kijken, maar ook naar data, contracten, intellectuele eigendom, leveranciers en interne afspraken.”

Conclusie

AI gebruiken zonder juridisch kader is vandaag een reëel bedrijfsrisico.

Niet omdat AI verboden is. Integendeel. AI kan bijzonder nuttig zijn.

Maar AI raakt aan data, privacy, contracten, IP, beveiliging, transparantie en aansprakelijkheid. Wie alleen een privacy policy aanpast, mist het grotere plaatje.

Een onderneming die AI serieus wil gebruiken, heeft minstens nood aan duidelijke interne afspraken, gecontroleerde leveranciers, aangepaste contracten en een helder beeld van de juridische risico’s.

Gebruik je AI in je onderneming en wil je weten waar je juridisch staat? Dan is een Digitale Risicoscan de eerste logische stap.

Breng je digitale juridische risico’s in kaart

Weet je welke AI-risico’s vandaag al in je bedrijf zitten?

AI is vaak maar één onderdeel van een ruimer digitaal risicoprofiel. Met de Digitale Risicokaart brengen we in kaart waar je onderneming juridisch kwetsbaar is op het vlak van AI, data, privacy, cybersecurity, contracten, intellectuele eigendom en digitale processen.

6 mei 2026

Door Pascale De Neef

AI gebruiken is makkelijk.
AI juridisch beheersen is iets anders.

We brengen in kaart waar je onderneming risico loopt rond privacy, data, IP, leveranciers, contracten en aansprakelijkheid.

Start met de Digitale Risicokaart.