Naar de inhoud
AI Business Academy
Compliance

ChatGPT en Copilot veilig op de werkvloer: AVG en AI Act in een werkbare policy

In de meeste logistieke en foodbedrijven wordt allang met ChatGPT of Copilot gewerkt, met of zonder toestemming. Een planner laat een klantmail herschrijven, QA vat een auditrapport samen, klantenservice plakt een klacht in een gratis chatbot. Verbieden werkt aantoonbaar niet; het verschuift het gebruik alleen naar privételefoons, buiten elk zicht. Wat wel werkt is een kort, handhaafbaar afsprakenkader. Dit artikel geeft dat kader, toegespitst op de werkvloer van logistiek, food en agri-food, en op de twee wetten die hier samenkomen: de AVG en de EU AI-verordening.

De twee regels waar alles op terugvalt

Vrijwel elk AI-incident op de werkvloer is terug te brengen tot twee fouten: persoonsgegevens of bedrijfsgeheimen in een prompt naar een tool die daar niets mee mag doen, en AI-output die ongecontroleerd wordt overgenomen. De policy hoeft dus niet dik te zijn. Regel een: wat u niet aan een buitenstaander zou mailen, gaat ook niet in een prompt naar een niet-goedgekeurde tool. Regel twee: AI-output is een concept; een mens controleert en blijft verantwoordelijk. Al het andere is uitwerking.

Werk met tool-niveaus in plaats van een verbodslijst

Het verschil tussen veilig en onveilig zit zelden in de tool zelf, maar in de afspraken eromheen. Een werkbaar kader kent drie niveaus:

  • Groen: door het bedrijf verstrekte tools met zakelijke voorwaarden, zoals Copilot binnen de eigen Microsoft-tenant of een zakelijk ChatGPT-account waarbij data niet voor training wordt gebruikt. Hier mag met interne informatie worden gewerkt, binnen de regels.
  • Oranje: gratis publieke chatbots. Toegestaan voor algemene vragen en teksten zonder enige interne of persoonsinformatie. Geen klantnamen, geen ordergegevens, geen foto's van de werkvloer.
  • Rood: tools die persoonsgegevens van medewerkers of klanten verwerken zonder verwerkersovereenkomst, en elk gebruik dat besluiten over mensen voorbereidt (rooster, beoordeling, sollicitatie) zonder menselijke toets. Dat raakt direct aan de AVG en aan de verboden en hoog-risicocategorieën van de AI-verordening.

Vertaald naar de werkvloer van een DC of fabriek

Generiek kantooradvies schiet hier tekort; dit zijn de situaties die wij in de praktijk tegenkomen:

  • Planning: ritten en bezetting optimaliseren met AI mag prima, maar zodra individuele chauffeurs herkenbaar worden beoordeeld, gelden zwaardere eisen. Houd de mens in de beslissing en leg dat vast.
  • Kwaliteit en QA: auditrapporten en HACCP-documentatie samenvatten kan veel tijd schelen; doe het in een groene tool en laat de QA-er het resultaat tekenen, want de verantwoordelijkheid verschuift niet naar het model.
  • Klantenservice: klachten en correspondentie bevatten per definitie persoonsgegevens. Alleen groene tools, en anonimiseer waar het kan.
  • Werving en HR: het hoogste risico van allemaal. AI die meekijkt bij sollicitaties of personeelsplanning raakt de rechten van medewerkers; regel menselijke toetsing en transparantie voordat u hier iets automatiseert.

Een datalek met AI is gewoon een datalek

Belandt er per ongeluk een klantbestand in een publieke chatbot, behandel dat dan als wat het is: een mogelijk datalek onder de AVG, met de gebruikelijke afweging en zo nodig een melding bij de Autoriteit Persoonsgegevens binnen 72 uur. Neem dit scenario expliciet op in de policy, inclusief bij wie de medewerker het meldt. Een cultuur waarin melden veilig is voorkomt dat incidenten ondergronds gaan, en dat is precies waar schaduw-AI gevaarlijk wordt.

Waarom augustus 2026 de natuurlijke deadline is

De AI-geletterdheidsverplichting van artikel 4 van de AI-verordening geldt al sinds 2 februari 2025 voor organisaties die AI professioneel gebruiken, dus ook bij alleen ChatGPT- of Copilot-gebruik. Per 2 augustus 2026 start de Nederlandse handhavingsstructuur, met een coördinerende rol voor de Autoriteit Persoonsgegevens en de RDI. Er is geen verplicht certificaat of urenaantal; wat telt is aantoonbaarheid: getrainde medewerkers, een vastgesteld beleid en vastlegging van wie waarin is getraind. De policy uit dit artikel plus een trainingsdag voor de mensen die met AI werken dekt die verplichting praktisch af, en levert tegelijk het op waar het echt om gaat: medewerkers die AI productief en veilig gebruiken in plaats van stiekem.

Bronnen

Dit artikel is informatief en geen juridisch advies. Genoemde marktprijzen en regelingen zijn indicaties per publicatiedatum; controleer actuele voorwaarden bij de officiële bronnen.