ChatGPT op het werk: wat zegt de AI Act?

ChatGPT is een general-purpose AI: wat betekent dat juridisch

De AI Act onderscheidt twee grote categorieen aanbieders: providers van gespecialiseerde AI-systemen voor afgebakende doelen, en providers van general-purpose AI-modellen die voor uiteenlopende toepassingen kunnen worden ingezet. OpenAI met GPT, Anthropic met Claude en Google met Gemini vallen onder de tweede categorie. Voor deze general-purpose modellen gelden specifieke transparantie- en documentatie-eisen op het niveau van de maker, geregeld in Hoofdstuk V van de verordening.

Voor u als gebruiker, juridisch een deployer of professional user, gelden de algemene verplichtingen van de AI Act. Die zijn afhankelijk van wat u met het model doet, niet van het model zelf. Een chatbot op uw website gebouwd op GPT valt onder de transparantieverplichtingen van Artikel 50. Wie ChatGPT gebruikt om CV's voor te selecteren, raakt aan Annex III hoog-risico verplichtingen. Wie het enkel gebruikt voor interne brainstorms valt onder lichtere eisen rond AI-geletterdheid en intern beleid.

Welke verplichtingen heeft u als KMO die ChatGPT inzet

Drie verplichtingen raken vrijwel iedere KMO die taalmodellen gebruikt, ongeacht het toepassingsdomein.

• AI-geletterdheid voor uw mensen. Artikel 4 van de AI Act eist dat iedereen die professioneel met AI werkt voldoende begrip heeft van wat de tool wel en niet kan. Een korte training over hallucinaties, bias en data-veiligheid volstaat, mits gedocumenteerd.
• Een register van uw AI-gebruik. Vanaf 2 augustus 2026 moet u kunnen aantonen welke AI-tools er in uw bedrijf worden ingezet, voor welk doel en met welke risico-inschatting. ChatGPT telt mee, ook als slechts een medewerker het gebruikt.
• Transparantie naar derden. Als ChatGPT mee teksten naar klanten, kandidaten of het publiek genereert, kunnen disclosure-verplichtingen onder Artikel 50 spelen. Voor commerciele productbeschrijvingen meestal niet, voor publieke informatie of journalistiek wel.

Het echte risico: schaduw-AI en data-lekken

De compliance-verplichtingen zijn beheersbaar. Het structurele risico in de meeste KMO ligt elders: medewerkers die ChatGPT op eigen initiatief gaan gebruiken zonder dat er afspraken zijn over wat er wel en niet ingevoerd mag worden.

Veelvoorkomende scenario's die we tegenkomen tijdens een Quickscan:

• Een sales-collega plakt een offerte met klantnaam en prijzen in ChatGPT om een verbeterde versie te krijgen. De data is nu in handen van OpenAI en mogelijk gebruikt voor modeltraining.
• Een HR-medewerker laat ChatGPT een CV samenvatten, waarmee persoonsgegevens van de kandidaat zonder rechtsgrond worden verwerkt door een derde partij. Dat is een GDPR-overtreding, los van de AI Act.
• Een marketeer laat ChatGPT productteksten schrijven en publiceert die zonder review of attributie. Bij defecte of misleidende claims ligt de productaansprakelijkheid bij u, niet bij OpenAI.

Geen van deze situaties wordt opgelost door bij de leverancier een Enterprise-licentie te kopen. De oplossing ligt in helder intern beleid en getrainde medewerkers.

Wat zet u in een AI-gebruiksbeleid voor uw team

Een goed AI-gebruiksbeleid past op twee bladzijden en beantwoordt vijf vragen.

• Welke tools mogen onze mensen gebruiken? Een witte lijst voorkomt dat iedereen zelf experimenteert. Beperk u tot tools met een data-verwerkingsovereenkomst en server-locatie binnen de EU, of met expliciete opt-out voor modeltraining.
• Welke data mag wel en niet ingevoerd worden? Categoriseer expliciet: openbare data altijd OK, bedrijfsdata enkel in goedgekeurde tools, persoonsgegevens nooit zonder juridische review, gevoelige data (financieel, medisch, juridisch confidentieel) altijd verboden.
• Hoe verwerken we de output? AI-output is een draft, geen eindversie. Vereis menselijke review voor publieke publicatie, klantcommunicatie en interne beslissingen die mensen raken.
• Hoe documenteren we wat er gebeurt? Hou het AI-register up-to-date bij elke nieuwe toepassing. Eens per kwartaal volstaat voor de meeste KMO.
• Wat gebeurt er bij overtreding? Maak duidelijk dat het beleid bindend is en welke gevolgen er zijn bij schending. Anders wordt het beleid waardeloos bij een eerste incident.

Praktische stappen om dit week deze in te voeren

Begin met een interne inventaris: stuur een korte vraag naar alle afdelingen of er AI-tools worden gebruikt en zo ja, welke en waarvoor. U zal verrast zijn van het antwoord. Op basis daarvan bouwt u een AI-register en formuleert u beleid dat past bij hoe uw team werkt. Een Compliance Sprint levert dit alles geformaliseerd en getekend op binnen zes weken, inclusief de verplichte training en de transparantieteksten op uw site.

Externe bronnen

De volledige bepalingen over general-purpose AI staan in Hoofdstuk V van Verordening (EU) 2024/1689. OpenAI publiceert per model een EU-specifieke gebruiksovereenkomst die voor commerciele gebruikers belangrijk is om door te nemen.