Mag ik medewerkers verbieden ChatGPT te gebruiken?

Ja. Werkgevers mogen op grond van het instructierecht regels stellen over welke AI-tools wel of niet gebruikt mogen worden voor werk. Een verbod is juridisch toegestaan, maar in de praktijk leidt het vaak tot 'shadow AI' — medewerkers die het toch doen op privé-accounts. Een werkbaar AI-beleid met whitelist is doorgaans effectiever.

Wat als een medewerker per ongeluk vertrouwelijke data in ChatGPT plakt?

Dit kan kwalificeren als datalek onder de AVG en moet binnen 72 uur worden beoordeeld. Bij gevoelige data (medisch, financieel) is melding aan de AP vrijwel altijd nodig. De werkgever blijft eindverantwoordelijk, ook als de medewerker tegen instructies in handelt — daarom is een AI-beleid en aantoonbare AI-geletterdheid zo belangrijk.

Moet de OR betrokken worden bij AI-beleid?

Vaak wel. Op grond van artikel 27 WOR heeft de OR instemmingsrecht bij regelingen over verwerking van personeelsgegevens en bij personeelsbeoordelingsystemen. Een AI-beleid raakt vaak beide. Adviesrecht (artikel 25) kan ook van toepassing zijn als AI substantieel werk verandert.

Generatieve AI op de werkvloer: regels en richtlijnen voor bedrijven

Onderzoek na onderzoek wijst uit: een ruime meerderheid van Nederlandse kantoormedewerkers gebruikt generatieve AI inmiddels minimaal wékelijks — ook in bedrijven die er geen beleid op hebben. Dat fenomeen heeft een naam: shadow AI. Medewerkers gebruiken AI op privé-accounts, op hun eigen telefoon of via gratis tools, omdat de werkgever niets faciliteert.

Voor de werkgever is dat een dubbel risico: data-uitstroom én geen idee waar AI welk werk beïnvloedt. De EU AI Act, de AVG en het arbeidsrecht stellen drie aparte sets eisen. Hier vindt u de samenvatting plus een werkbare aanpak.

Het wettelijk kader op één A4

Vanuit de EU AI Act

Artikel 4 — AI-geletterdheid voor alle medewerkers die AI gebruiken (al verplicht).
Artikel 5 — geen verboden AI-toepassingen: géén emotieherkenning op de werkvloer, geen subliminal manipulatie.
Artikel 50 — transparantie als AI-output naar buiten gaat (chatbot, AI-content).
Bij hoog-risico AI (recruitment-AI, prestatiemonitoring met effect op rechten) — volledige hoog-risico verplichtingen.

Vanuit de AVG

Geen klant- of personeelsdata in publieke AI-tools zonder DPA.
Doelbinding — data alleen gebruiken voor het oorspronkelijke doel.
Datalek-meldplicht binnen 72 uur als prompt-ongeluk gevoelige data bevat.

Vanuit het arbeidsrecht

Werkgever heeft instructierecht: u mag voorschrijven welke tools mogen.
OR-instemming bij regelingen die personeelsgegevens raken (artikel 27 WOR).
AI-monitoring van eigen medewerkers raakt aan privacy op het werk — zwaar gereguleerd.

Vier praktische scenario's

Scenario 1: medewerker schrijft klantmail met ChatGPT

Op zich toegestaan, mits de mail geen vertrouwelijke klantdata bevat én de medewerker de output controleert vóór verzending. Als de mail wel gevoelige data bevat, alleen via een zakelijke versie met DPA (ChatGPT Enterprise, Copilot for Microsoft 365).

Scenario 2: HR test AI voor cv-screening

Hoog-risico onder de AI Act — volledige verplichtingen gelden. AI mag pas worden ingezet na FRIA en DPIA. Lees onze gids voor AI in recruitment.

Scenario 3: ontwikkelaar gebruikt GitHub Copilot

Grotendeels prima, mits broncode geen klantgevoelige data bevat. Belangrijk: open source — en propriëtaire code-licenties komen via Copilot soms ongewild in uw codebase. Beleid en review-proces nodig.

Scenario 4: marketingafdeling produceert AI-beelden voor advertenties

Toegestaan, mits transparantie bij eventuele deepfakes/echt-lijkende personen, mits geen schending van auteursrechten en mits afgesproken in marketingbeleid.

Do's en don'ts voor AI-beleid op de werkvloer

Wel doen

Stel een whitelist op van toegestane tools (en faciliteer ze)
Geef heldere instructie wanneer AI wél/niet mag (klantdata, juridische analyse, prestatiebeoordeling)
Verplicht een mens-controle voor AI-output naar buiten
Zet AI-geletterdheid op in onboarding en jaartraining
Betrek de OR vroeg bij beleidvorming
Documenteer datalekken en escalatieroutes

Niet doen

Een totaal verbod zonder alternatief — dat creates shadow AI
AI gebruiken voor emotie- of stress-detectie van medewerkers
AI-output ongezien doorsturen naar klanten
Klantdata zonder DPA in een publieke chatbot zetten
Beoordelingsbeslissingen volledig automatiseren
Beleid alleen op papier hebben zonder training of monitoring

Shadow AI is een AVG-tijdbom

Als medewerkers privacygevoelige data via een privé-account in ChatGPT plakken, is dat formeel een datalek waar uw bedrijf eindverantwoordelijk voor is. Een goede whitelist met faciliteerde tools is de enige manier om dit risico structureel te beperken.

Vier-stappen-aanpak voor uw AI-beleid

Inventariseer — welke AI gebruiken medewerkers feitelijk? Vraag het rond. Wees verrast.
Faciliteer — bied zakelijke alternatieven (ChatGPT Team/Enterprise, Copilot) zodat privé-accounts niet meer nodig zijn.
Document — AI-beleid opstellen, OR-traject lopen, training plannen.
Train & monitor — AI-geletterdheid voor alle medewerkers; monitoring via reguliere tooling, niet via verboden surveillance-AI.

Hoe AI-Act-proof is uw werkvloer?

De gratis ActCheck-scan signaleert risico's rond medewerkergebruik van AI en geeft u een concrete actielijst.

Start de gratis check