Claude, het AI-assistentprogramma van Anthropic, heeft in 2025 en 2026 een opmars gemaakt binnen Nederlandse bedrijven. Vooral juristen, ontwikkelaars en consultants kiezen Claude vanwege de doordachte toon, de lange contextvensters en de uitgesproken nadruk op veiligheid die Anthropic communiceert. Maar net als bij ChatGPT en Copilot geldt: het feit dat een aanbieder zelf veel regelt, betekent niet dat u als bedrijf niets meer hoeft te doen. De AI wet legt eigen verplichtingen op aan iedere organisatie die Claude inzet als hulpmiddel voor werk, klantcontact of productontwikkeling.
Wat is Claude en hoe wordt het zakelijk ingezet?
Claude is een generatieve AI-assistent ontwikkeld door Anthropic, een Amerikaans bedrijf met een Europese vestiging in Dublin. Anthropic biedt Claude in 2026 aan via verschillende kanalen die voor zakelijk gebruik relevant zijn:
- Claude.ai: de webversie voor individueel gebruik, met gratis en betaalde abonnementen (Pro, Max).
- Claude for Work (Team en Enterprise): zakelijke abonnementen met centraal beheer, audit-logs, SSO en aanvullende contractuele waarborgen.
- Claude API: de directe interface voor ontwikkelaars die Claude inbouwen in eigen producten, chatbots of interne tools.
- Claude Code: een terminalgebaseerde agent voor softwareontwikkeling die direct in code-omgevingen werkt.
- Claude via partners: beschikbaar via Amazon Bedrock en Google Vertex AI, vaak met EU-hosting opties.
In de praktijk gebruiken Nederlandse organisaties Claude voor het opstellen van juridische analyses, het samenvatten van lange documenten, codereviews, klantonderzoek en het bouwen van interne chatbots. De modelfamilie Claude 4.x (waaronder Opus en Sonnet) is in 2026 de meest gebruikte generatie. Voor de meeste van deze toepassingen zit er een GPAI-model achter waarop de EU AI Act direct van toepassing is.
Status onder de AI Act: Claude is een GPAI-model met systeemrisico
De EU AI Act onderscheidt gewone General Purpose AI-modellen (GPAI) en GPAI-modellen met systeemrisico. Een model valt in die zwaardere categorie zodra het is getraind met een rekencapaciteit boven 10^25 floating point operations (FLOPs), of als het door de Europese Commissie expliciet als zodanig wordt aangewezen op basis van andere indicatoren zoals modaliteit, aantal gebruikers en marktimpact.
De grootste modellen van Anthropic vallen in deze tweede categorie. Dat betekent voor Anthropic als provider extra verplichtingen bovenop de gewone GPAI-regels: voortdurende evaluatie van systeemrisico, incident-rapportages aan de EU AI Office, cybersecurity-maatregelen en gedetailleerde modeldocumentatie. Voor u als deployer verandert er door deze classificatie weinig direct, maar het maakt wel zichtbaar dat Claude formeel onder zwaar EU-toezicht staat. Dat is een geruststelling voor uw eigen due diligence: u kunt aan een audit aantonen dat de provider serieus gereguleerd is.
Wat doet Anthropic als provider?
Anthropic publiceert voor elk groot Claude-model een zogeheten system card: een document met informatie over de capaciteiten, beperkingen, veiligheidsevaluaties en bekende risico's. Daarnaast onderhoudt Anthropic een Acceptable Use Policy waarin staat welk gebruik niet is toegestaan, een Usage Policy, en publiceert het bedrijf periodieke transparantierapporten over misbruik, beleidshandhaving en verzoeken van overheden.
Concreet doet Anthropic als provider onder meer:
- Het opstellen en publiceren van technische documentatie en samenvattingen over trainingsdata, zoals vereist door de EU AI Act voor GPAI-providers.
- Het naleven van de EU GPAI Code of Practice en het melden van ernstige incidenten aan de EU AI Office.
- Het hanteren van een eigen Responsible Scaling Policy met AI Safety Levels (ASL): een intern raamwerk waarin per modelgeneratie wordt vastgesteld welke veiligheidsmaatregelen vereist zijn voordat het model breder beschikbaar komt.
- Het aanbieden van een Data Processing Agreement (DPA) voor zakelijke klanten en het opereren onder een Ierse EU-entiteit.
- Het beheren van bepaalde gevaarlijke capaciteiten (zoals biologische, chemische of cyberrisico's) via expliciete beperkingen in de modeluitvoer.
Wat Anthropic niet voor u doet, is uw eigen AI-register bijhouden, uw medewerkers trainen of bepalen of uw concrete toepassing hoog-risico is. Dat blijft uw werk.
Wat moet u als deployer regelen?
De EU AI Act maakt onderscheid tussen providers (zoals Anthropic) en deployers (uw bedrijf, als u Claude gebruikt). Als deployer bent u verantwoordelijk voor de manier waarop u Claude inzet binnen uw organisatie. De basisverplichtingen voor elke Claude-deployer zijn:
- Use case classificatie: per toepassing van Claude vaststellen welk risiconiveau van toepassing is (verboden, hoog-risico, beperkt of minimaal).
- AI-geletterdheid (artikel 4): medewerkers die met Claude werken aantoonbaar informeren over wat het model wel en niet kan, hoe ze output kritisch moeten beoordelen en welke data ze niet mogen invoeren.
- AI-register: alle Claude-toepassingen documenteren met aanbieder, doel, risiconiveau, dataclassificatie en interne verantwoordelijke.
- Transparantie (artikel 50): kenbaar maken aan gebruikers en klanten wanneer zij met door Claude gegenereerde inhoud of een Claude-gestuurde chatbot communiceren.
- AVG-naleving: een geldige DPA hebben, dataminimalisatie toepassen en bewerkersrollen helder beleggen.
AVG en data-flow Claude
Voor de AVG is het belangrijk te weten hoe data door Claude stroomt. Anthropic verwerkt API-input en Claude for Work-data standaard niet voor het trainen van toekomstige modellen. Dat is contractueel vastgelegd en wijkt af van het beleid voor het gratis privegebruik via claude.ai, waar Anthropic onder bepaalde voorwaarden conversaties kan inzetten voor productverbetering tenzij de gebruiker dat uitschakelt.
Voor zakelijke inzet betekent dit dat u in vrijwel alle gevallen een Claude for Work-abonnement of een API-overeenkomst nodig heeft. Anthropic biedt EU-hostingopties aan via Amazon Bedrock (regio's in Frankfurt en Dublin) en via Google Vertex AI. Wie strikt binnen de EU wil blijven, kiest een van die routes en legt dat vast in het AI-register en de DPA.
Praktisch: Zet in uw AI-beleid expliciet welke data wel en niet in Claude mag, ongeacht het abonnement. Persoonsgegevens van klanten, BSN's, medische gegevens en bedrijfsvertrouwelijke broncode horen in beginsel niet in Claude zonder een specifieke risico-afweging en passende contractuele waarborgen.
Hoog-risico classificatie als u Claude inzet voor een Bijlage III-domein
Een belangrijk principe in de EU AI Act: een GPAI-model is niet automatisch hoog-risico, maar uw toepassing ervan kan dat wel zijn. Zodra u Claude gebruikt voor een use case die in Bijlage III van de AI Act staat, gelden de hoog-risico verplichtingen voor uw systeem als geheel.
Voorbeelden waar Claude-gebruik hoog-risico wordt:
- Het automatisch beoordelen van sollicitanten, rangschikken van cv's of nemen van wervingsbeslissingen.
- Het automatisch monitoren of evalueren van prestaties van werknemers op een manier die hun arbeidsrelatie beinvloedt.
- Het inzetten van Claude voor kredietbeoordeling of het toekennen van essentiele financiele diensten.
- Het gebruiken van Claude in onderwijs voor het beoordelen van studenten of het bepalen van toelating.
- Het ondersteunen van besluiten in de zorg die effect hebben op de diagnose of behandeling van patienten.
- Het gebruik door overheidsorganen voor het bepalen van rechten op uitkeringen of overheidsdiensten.
In die gevallen moet u onder meer een risicobeheersysteem opzetten, technische documentatie bijhouden, menselijk toezicht waarborgen, logging inrichten en in sommige situaties registreren in de EU AI-databank. Dat is geen kleinigheid: het is een serieus naleving-traject dat in de regel formele ondersteuning van een functionaris of adviseur vraagt.
Verschil Claude versus ChatGPT en Copilot voor naleving
Op het niveau van basisverplichtingen verschillen Claude, ChatGPT en Copilot weinig: het zijn allemaal GPAI-systemen waarop dezelfde deployerregels van toepassing zijn. De praktische verschillen zitten in positionering, contractuele standaarden en governance-cultuur.
| Aspect | Claude (Anthropic) | ChatGPT (OpenAI) | Copilot (Microsoft) |
|---|---|---|---|
| Positionering | Veiligheid en interpreteerbaarheid | Brede inzetbaarheid en ecosysteem | Integratie in Microsoft 365 |
| EU-vestiging | Ierland | Ierland | Ierland |
| Standaard DPA bij zakelijke licentie | Ja (Claude for Work, API) | Ja (Team, Enterprise, API) | Ja (Microsoft 365 Business+) |
| Eigen veiligheidsraamwerk | Responsible Scaling Policy (ASL) | Preparedness Framework | Responsible AI Standard |
| Training op klantdata zakelijk | Standaard niet | Standaard niet (Enterprise, API) | Standaard niet |
Praktische 8-punts checklist voor Claude-deployers
- Inventariseer waar in uw organisatie Claude al wordt gebruikt: claude.ai-accounts, API-koppelingen, Claude Code op laptops van ontwikkelaars en Claude via Bedrock of Vertex AI.
- Migreer privegebruik van medewerkers via gratis claude.ai-accounts naar een centraal beheerd Claude for Work-abonnement of API-account met een geldige DPA.
- Documenteer elke toepassing in het AI-register: modelnaam (bijvoorbeeld Claude 4.5 Sonnet), aanbieder, doel, datasoort, risiconiveau en verantwoordelijke.
- Classificeer per use case het risiconiveau. Wees streng: HR-beoordeling, medische ondersteuning en kredietbeslissingen zijn standaard hoog-risico.
- Stel een Claude-gebruiksbeleid op dat duidelijk maakt welke data wel en niet in Claude mag, hoe output gecontroleerd wordt en wanneer transparantie naar klanten vereist is.
- Train uw medewerkers conform artikel 4 over de werking van Claude, herkenning van hallucinaties, en het herkennen van bias in de uitvoer. Leg deelnemers, datum en inhoud vast.
- Regel transparantie bij externe inzet: chatbots die met Claude draaien moeten gebruikers informeren, en AI-gegenereerde teksten in klantcommunicatie moeten herkenbaar zijn waar dat redelijkerwijs van u verwacht mag worden.
- Plan een jaarlijkse review waarbij u uw Claude-toepassingen, contracten en risicoclassificaties opnieuw doorloopt. Anthropic brengt regelmatig nieuwe modellen uit en uw inzet evolueert mee.
Aandachtspunten voor MKB dat Claude via API integreert
Als u Claude inbouwt in een eigen product, bijvoorbeeld een chatbot voor klanten, een interne kennisassistent die u als SaaS verkoopt of een agent die zelfstandig handelingen uitvoert, dan verandert uw rol onder de AI Act. Naast deployer wordt u in veel gevallen ook provider van een downstream AI-systeem. Dat brengt extra verplichtingen mee.
Concreet betekent dit:
- U moet de risicoclassificatie van uw eigen product vaststellen, niet alleen die van Claude. Een GPAI-model dat u inbouwt in een HR-tool maakt uw HR-tool zelf hoog-risico.
- U bent verantwoordelijk voor de transparantieplicht naar uw eindgebruikers op grond van artikel 50, ook als die gebruikers Anthropic niet zien.
- U moet zelf instructies en documentatie leveren aan uw klanten, vergelijkbaar met de instructions for use die de AI Act voor providers vereist.
- Bij hoog-risico toepassingen heeft u eigen technische documentatie, een kwaliteitsmanagementsysteem en mogelijk conformiteitsbeoordeling nodig.
Het advies is praktisch: behandel uw integratie van Claude als een eigen AI-product en doorloop de AI Act-eisen daarvoor afzonderlijk. Leun niet alleen op wat Anthropic regelt, want dat dekt alleen de modelkant.
Controleer uw Claude-naleving gratis
De gratis ActCheck-scan analyseert uw inzet van Claude en andere GPAI-systemen en geeft u een persoonlijk actieplan. Duurt 10 minuten.
Start de gratis check