Avatar of Niek Lintermans

Co-Founder & CMO

Privacy en LLM’s: wat het datalek in Eindhoven ons leert

#privacy #llm

Wat het datalek bij Gemeente Eindhoven ons leert over het veilig gebruik van AI-tools zoals ChatGPT.

Privacy en LLM’s: wat het datalek in Eindhoven ons leert

Leestijd: 4 minuten

Privacy en LLM’s: wat het datalek in Eindhoven ons leert (en hoe jij het wél veilig gebruikt)

Even snel een tekst laten herschrijven. Een e-mail netter formuleren. Of een lange notitie laten samenvatten. Voor veel professionals is ChatGPT (gratis) inmiddels net zo vanzelfsprekend als Google.

Maar precies daar zit de valkuil: een LLM voelt als een handige schrijfhulp, terwijl je in werkelijkheid vaak informatie deelt met een externe dienst. En als je daarbij per ongeluk privacygevoelige data meegeeft, kan dat snel uitgroeien tot een datalek.

Het voorbeeld dat iedereen wakker schudt: “openbare AI” bij Gemeente Eindhoven

Gemeente Eindhoven maakte bekend dat uit een analyse bleek dat veel bestanden met persoonlijke gegevens van inwoners en medewerkers naar openbare AI-websites zijn gestuurd. Het datalek is op 23 oktober 2025 gemeld bij de Autoriteit Persoonsgegevens.

Wat het extra pijnlijk maakt: in een steekproef van 30 dagen (23 september t/m 23 oktober 2025) werden “verschillende soorten” bestanden met persoonsgegevens aangetroffen.

In een raadsbrief wordt zelfs genoemd dat het ging om documenten zoals Jeugdwetdocumenten, interne verslagen en CV’s, en dat dit vooral in het sociaal domein gebeurde.

De gemeente nam meteen maatregelen: openbare AI-websites zoals ChatGPT werden geblokkeerd en medewerkers mochten daarna alleen nog Copilot binnen de beveiligde gemeente-omgeving gebruiken. Ook werd OpenAI verzocht om de geüploade bestanden te verwijderen en is de monitoring aangescherpt.

Dit is precies waarom dit onderwerp zo actueel is. Het gaat niet om een Hollywood-hack, maar om een heel menselijk patroon:

“Dit is handig, ik plak het er even in.”

Stadhuis van Gemeente Eindhoven

Bronnen:

Wat was hier nu écht het probleem?

1. Openbare LLM’s zijn geen “intern Word-document”

Als je iets in een openbare AI-tool plakt, verlaat die informatie je organisatie. Dat is op zichzelf al een risico: je verliest controle over waar de data staat, wie er toegang toe heeft, hoe lang het bewaard wordt en onder welke voorwaarden het verwerkt wordt.

2. Achteraf is vaak niet meer te achterhalen wat er precies gedeeld is

Eindhoven geeft aan dat de omvang van wat vóór de steekproefperiode is geüpload, niet vast te stellen is. Daardoor konden betrokkenen niet persoonlijk geïnformeerd worden.

Dat is een belangrijk inzicht voor elke organisatie: als je pas gaat nadenken nadat iets misgaat, ben je vaak al te laat.

3. Verbieden lost menselijk gedrag niet op

De gemeente benoemt dat AI kansen biedt en dat medewerkers het gebruikten om hun werk en dienstverlening te verbeteren.

Dat herken je waarschijnlijk: AI volledig verbieden werkt zelden. Mensen zoeken dan omwegen. De duurzame oplossing zit in heldere kaders, veilige tooling en getrainde reflexen.

Waarom moet je opletten met privacygegevens in (gratis) ChatGPT?

Het simpele antwoord: omdat je niet altijd zeker weet wat er met jouw input gebeurt — en omdat jij verantwoordelijk blijft voor wat je deelt.

Denk aan:

  • Persoonsgegevens (namen, adressen, geboortedata, telefoonnummers)
  • Bijzondere gegevens (gezondheid, jeugdzorg, strafrecht, etniciteit, religie)
  • HR-informatie (CV’s, beoordelingen, verzuim)
  • Klantdata, contracten, interne incidenten en vertrouwelijke rapporten

Het verraderlijke is dat één prompt onschuldig lijkt, terwijl het in de praktijk vaak gaat om complete documenten, exports, verslagen of casusbeschrijvingen.

De 10-seconden-check vóór je iets plakt

Als je één gewoonte wilt trainen, maak het deze:

  • Is deze informatie openbaar of intern/vertrouwelijk?
  • Kan ik mijn vraag stellen zonder herkenbare details? (anonimiseren of abstraheren)
  • Gebruik ik de juiste omgeving? (publiek ChatGPT of een bedrijfsomgeving zoals Copilot/Enterprise)

Geeft één van deze vragen twijfel? 👉 Niet plakken. Eerst aanpassen of een veiliger alternatief kiezen.

Praktische tips: zo had dit veiliger gekund

Tip 1: werk met placeholders in plaats van echte gegevens

Wil je toch hulp bij een tekst? Maak er een sjabloon van:

  • “Jan Jansen” → [NAAM]
  • “straat + huisnummer” → [ADRES]
  • “klantnummer/zaaknummer” → [DOSSIER-ID]
  • specifieke casusdetails → [SITUATIE IN HOOFDLIJNEN]

Je krijgt nog steeds goede output, maar zonder dat je privacygevoelige details deelt.

Tip 2: kies de juiste tool voor de juiste data

  • Gratis ChatGPT (publiek): alleen met informatie die je zonder zorgen extern zou delen, of volledig geanonimiseerd
  • Copilot in bedrijfscontext: vaak geschikter voor werk, omdat het binnen de beveiligde omgeving kan blijven (mits goed ingericht en met duidelijke afspraken)
  • Betaalde AI-abonnementen: bieden vaak extra waarborgen, maar nemen jouw verantwoordelijkheid niet weg

En misschien wel het belangrijkste: maak dit een teamafspraak, geen individuele “ik doe mijn best”.

De kern: AI mag, maar denk eerst even na

AI gebruiken is logisch en productief — maar het vraagt om een nieuw soort vaardigheid. Niet technisch, wél ethisch en praktisch:

  • Wat stop ik erin?
  • Waar gaat het naartoe?
  • Past deze taak bij deze tool?

Bij Lumans helpen we teams dit soort reflexen aan te leren met praktische workshops en duidelijke richtlijnen. Zo wordt AI een versneller, zonder dat privacy het zwakke punt blijft.

Wil je AI in jouw organisatie veilig én werkbaar inzetten (zonder alles dicht te timmeren)?

Ontdek wat er mogelijk is via onze website of neem contact met ons op.