Ga naar inhoud
AI & Governance · 26 mei 2026 · 18 min leestijd

Mag ik klant-e-mails laten samenvatten door AI?

Praktische handleiding voor de tussenpersoon — veilig, correct, zonder jargon.

Illustratie bij artikel: Mag ik klant-e-mails laten samenvatten door AI?

Waarom deze handleiding?

Je hebt het druk. Je inbox stroomt vol met klantvragen. AI-tools zoals ChatGPT, Claude en Microsoft Copilot kunnen je uren werk besparen door e-mails samen te vatten. Logisch dat je denkt: kan ik dat gewoon doen?

Het antwoord is genuanceerd. Je mag het zeker, maar niet zomaar. Deze handleiding legt in begrijpelijke taal uit wat wel en niet mag, wat je moet regelen, en hoe je dit veilig en correct aanpakt.

Geen jurisprudentie, geen juridisch jargon. Wel concrete antwoorden.

TL;DR

  • Gratis ChatGPT, Claude of Gemini is niet geschikt voor klantdata. Punt.
  • Een betaald persoonlijk abonnement (Plus, Pro) ook niet. Je hebt een zakelijke licentie nodig.
  • Met een zakelijke licentie mag het meestal wel, mits je een aantal dingen geregeld hebt.
  • Anonimiseer je e-mail eerst (naam, adres, polisnummer weghalen). Dan mag het in vrijwel elke AI-tool en ben je in één klap van veel zorgen af.
  • Bepaalde data is altijd extra streng: medische gegevens, BSN, fraude-informatie. Daar moet je extra voorzichtig mee zijn.

Waarom je hier echt even bij stil moet staan

Voordat ik je het stappenplan geef, eerst dit. De meeste mensen hebben de juiste intuïtie. Het voelt een beetje spannend om een e-mail van een klant in een AI-tool te plakken. Maar ze kunnen niet precies uitleggen waarom het spannend is. En als je niet weet waarom iets riskant is, kun je ook niet goed inschatten wanneer het wel of niet kan.

Dus even de basis.

Wat gebeurt er echt met je data?

Als je iets typt in ChatGPT, Claude of Copilot, dan blijft die tekst niet op je laptop. Hij gaat naar een server. Meestal in de Verenigde Staten. Je laptop is eigenlijk maar een doorgeefluik: een apparaat dat zo snel mogelijk verbinding maakt met een datacenter ergens anders, waar de echte rekenkracht zit. Dat datacenter staat niet bij jou op kantoor. Het staat ergens ver weg en draait dag en nacht.

Wat er vervolgens met je data gebeurt, hangt van drie dingen af.

Betaal je of niet? Bij de gratis versie van ChatGPT mag de leverancier je data gebruiken om zijn AI-modellen te trainen. Bij de betaalde versies gebeurt dat meestal niet, al moet je dat bij sommige tools zelf uitzetten. Het is dan een opt-out, geen standaardinstelling. Bij zakelijke versies is training op je data uitgesloten. Maar dat geldt dus alleen als je echt een zakelijke licentie hebt.

Wordt het opgeslagen? Ook als er niet op getraind wordt, wordt je input vaak wel bewaard. Niet altijd versleuteld. Dat betekent dat die data er nog steeds is bij een datalek, bij een juridisch verzoek aan het bedrijf, of als het bedrijf zijn beleid wijzigt. Wat jij vandaag intypt, kan over een jaar nog ergens staan.

Wie kan erbij? Je AI-account verzamelt na verloop van tijd maanden aan gesprekken. Veel tools hebben inmiddels ook een geheugen dat onthoudt wat je eerder hebt gevraagd. Dat is handig, maar het betekent ook dat één account een verrassend compleet beeld van jou en je werk bevat. AI-bedrijven brengen niet voor niets steeds zwaardere beveiliging uit voor persoonlijke accounts. Ze weten zelf hoe waardevol die data is geworden.

Waarom dit voor jou als tussenpersoon extra telt

Jij werkt niet met je eigen vakantiefoto's. Jij werkt met de gegevens van mensen die jou vertrouwen met hun verzekering, hun schade, hun financiële situatie. Soms hun gezondheid. Die mensen hebben jou die informatie gegeven voor één doel: hen helpen. Niet om in een Amerikaans datacenter te belanden.

En het probleem wordt groter, niet kleiner. Er wordt meer data over mensen verzameld dan ooit. AI maakt het bovendien veel makkelijker om al die losse stukjes data te combineren en te analyseren. En het aantal datalekken waarbij AI-systemen betrokken zijn, blijft stijgen. De intuïtie dat het spannend is, klopt dus. Niet omdat je buurman meeleest, maar omdat de optelsom van al die data steeds krachtiger en steeds kwetsbaarder wordt.

Wat er kan misgaan, heel concreet

Even weg van de abstractie. Dit zijn de gevolgen als je dit niet goed regelt.

Een datalek. Je plakt een schademelding met naam, adres en polisnummer in een gratis AI-tool. Dat bedrijf krijgt een datalek. De data van jouw klant ligt op straat. Jij bent verantwoordelijk, want jij hebt die data daar neergezet.

Een boete van de toezichthouder. De Autoriteit Persoonsgegevens kan boetes opleggen tot 20 miljoen euro of 4% van je jaaromzet. Voor een klein kantoor is dat genoeg om de deur te sluiten. En ook lagere boetes doen pijn.

Reputatieschade. Jouw hele bedrijf draait op vertrouwen. Een klant die hoort dat zijn medische gegevens in een AI-tool zijn beland zonder dat hij het wist, komt niet meer terug. En hij vertelt het door.

Aansprakelijkheid. Gaat er iets mis met de data van een klant, dan kan die klant jou daarvoor aansprakelijk stellen. Een verzekeraar of brancheorganisatie kan ook vragen gaan stellen over hoe jij met data omgaat.

Een probleem dat je niet ziet aankomen. Het vervelendste scenario: het gaat maandenlang goed, niemand merkt iets, en dan komt het alsnog naar boven. Bij een audit, bij een klacht, bij een datalek bij de leverancier. Op dat moment is "ik wist niet dat het niet mocht" geen geldig excuus meer.

De geruststelling

Dit klinkt als veel ellende, en het is belangrijk dat je het serieus neemt. Maar het is geen reden om AI helemaal links te laten liggen. Het is een reden om het één keer goed in te richten.

Want hier is het goede nieuws: als je de basis op orde hebt, een zakelijke tool, de juiste afspraken, een werkinstructie voor je personeel, dan verdwijnen vrijwel al deze risico's. Dan profiteer je van alle voordelen van AI zonder dat je 's nachts wakker ligt. Het kost je een dagdeel om in te richten. Daarna werkt het gewoon.

De rest van deze handleiding laat je precies zien hoe.

Deel 1: De basis. Wat zegt de wet eigenlijk?

Het gaat niet om de AI Act

Veel mensen denken dat de AI Act bepaalt of je klantdata in een AI-tool mag stoppen. Dat klopt niet. De AI Act gaat vooral over wie AI mag bouwen en verkopen, en over verplichte AI-geletterdheid voor je personeel.

Waar je naar moet kijken is de AVG (opent in nieuw venster) (Algemene Verordening Gegevensbescherming), die sinds 2018 geldt. Die regelt wat je met persoonsgegevens van klanten mag doen.

Daarnaast is er sinds februari 2025 één AI Act-verplichting die ook voor jou geldt: je personeel moet basiskennis hebben van AI. Daar kom ik later op terug.

Wat zijn persoonsgegevens in een e-mail?

Bijna alles. Een e-mail van een klant bevat vrijwel altijd:

  • Naam en e-mailadres
  • Mogelijk telefoonnummer en adres
  • Polisnummer of klantnummer
  • Informatie over de situatie (schade, claim, vraag)

En ook:

  • Medische informatie (bij arbeidsongeschiktheid, overlijden, zorg)
  • Financiële informatie (inkomen, schulden)
  • BSN (burgerservicenummer)
  • Informatie over derden (gezinsleden, getuigen)

Hoe gevoeliger de data, hoe strenger de regels.

De drie kernregels van de AVG

Voor jou als tussenpersoon zijn drie regels het belangrijkst:

1. Doelbinding. Je mag data alleen gebruiken voor het doel waarvoor je het kreeg. Een klant stuurt je een schademelding zodat je hem helpt met zijn schade. Niet zodat jij die data in een willekeurige AI-tool gooit voor andere doeleinden.

2. Minimaal gebruik. Gebruik niet meer data dan nodig. Als alleen de kern van de e-mail nodig is voor je samenvatting, hoef je niet alle bijlagen mee te sturen.

3. Beveiliging. Je moet zorgen dat de data veilig blijft. Dat betekent: geen AI-tools die je data gebruiken om hun model te trainen, en geen tools zonder afspraken over wat ze met je data doen.

Deel 2: Het verschil tussen gratis, betaald en zakelijk

Dit is waar de meeste mensen de mist in gaan. Een betaald abonnement is niet hetzelfde als een zakelijk abonnement.

Gratis versies (ChatGPT free, Claude free, Gemini free)

Mag je hier klantdata in stoppen? Nee.

Waarom niet:

  • Geen verwerkersovereenkomst met de leverancier
  • Je input kan worden gebruikt om het AI-model te trainen
  • Geen garanties over waar je data wordt opgeslagen
  • Geen audit-mogelijkheden

Persoonlijk betaalde versies (ChatGPT Plus, Claude Pro, Copilot Pro)

Mag je hier klantdata in stoppen? Nee, ook niet.

Dit is een veelvoorkomend misverstand. Je betaalt er wel voor, maar het blijft een consumentenabonnement. Er zit geen verwerkersovereenkomst bij en de juridische bescherming voor zakelijk gebruik ontbreekt.

Zakelijke versies (ChatGPT Enterprise/Team, Claude Enterprise/Team, Microsoft 365 Copilot)

Mag je hier klantdata in stoppen? Ja, mits je een aantal dingen geregeld hebt.

Wat zit er anders in:

  • Verwerkersovereenkomst (DPA) standaard inbegrepen
  • Je data wordt niet gebruikt voor training
  • Auditlogs beschikbaar
  • Mogelijkheid voor EU-dataverwerking
  • Centraal beheer door je IT of compliance officer

Welke zakelijke versie kies je?

Voor de meeste kleine tussenpersonen ligt Microsoft 365 Copilot voor de hand, en wel om een hele praktische reden: je gebruikt waarschijnlijk al Microsoft 365 voor je e-mail en Office-pakket. Copilot werkt dan binnen je bestaande Microsoft-omgeving. Eén leverancier, één contract, één compliance-boundary.

ChatGPT Enterprise en Claude Enterprise zijn ook prima opties, maar dat zijn losse contracten die je apart moet regelen.

ToolGeschikt voor klantdata?EU-data?Beste voor
ChatGPT gratis / PlusNeeNeePrivégebruik
Claude gratis / ProNeeNeePrivégebruik
Copilot Pro (consumer)NeeNeePrivégebruik
Microsoft 365 Copilot (zakelijk)Ja, mits geregeldJa, instelbaarKantoren met M365
ChatGPT EnterpriseJa, mits geregeldJaNiet-M365 kantoren
Claude EnterpriseJa, mits geregeldBeperktSpecifieke use cases

Deel 3: Wanneer mag het wel en wanneer niet?

Stel: je hebt een zakelijke licentie. Mag je dan elke klant-e-mail samenvatten? Bijna, maar niet helemaal.

Wanneer het mag (groen licht)

Je mag een klant-e-mail door AI laten samenvatten als:

  • De samenvatting helpt om de klant te bedienen (sneller antwoord, betere doorverwijzing)
  • Het doel past bij waarom de klant je de e-mail stuurde
  • Er geen extra gevoelige data in staat (zie hieronder)
  • Je het binnen je beveiligde zakelijke omgeving doet

Voorbeelden waar het prima mag:

  • Een klant stelt een vraag over zijn autoverzekering. Je laat Copilot de kern samenvatten zodat je sneller kunt antwoorden.
  • Een lange e-mail met een schademelding samenvatten voor de schadebehandelaar.
  • Een klacht structureren voor interne afhandeling.
  • Een uitgebreide e-mail van een prospect omzetten naar een korte notitie in je CRM.

Wanneer het niet mag (rood licht)

Stop direct als de e-mail bevat:

Medische gegevens. Denk aan informatie over ziekte, behandeling, arbeidsongeschiktheid. Dit zijn bijzondere persoonsgegevens onder de AVG (art. 9). Hier gelden veel strengere regels, en een gewone AI-samenvatting is niet toegestaan zonder uitdrukkelijke toestemming of een wettelijke grondslag.

BSN (burgerservicenummer). Het BSN mag alleen verwerkt worden als de wet dat expliciet toestaat. Voor de meeste tussenpersonen geldt: niet door AI laten verwerken, ook niet samenvatten.

Strafrechtelijke informatie. Fraudemeldingen, vermoedens van fraude, informatie uit het Incidentenregister of EVR. Strafrechtelijke gegevens (AVG art. 10) zijn extra streng beschermd.

Informatie over kinderen. Bij data van minderjarigen gelden extra waarborgen.

Vertrouwelijke informatie van derden. Bijvoorbeeld een e-mail waarin je klant uitvoerig over een ex-partner of zakenpartner schrijft die zelf geen relatie met jou heeft.

Bij twijfel: oranje licht

Twijfel je? Dan zijn er twee manieren om verder te kunnen:

Optie A: Anonimiseer de e-mail eerst.

Verwijder of vervang voordat je iets naar AI stuurt:

  • Naam → vervang door [KLANT]
  • E-mailadres → [E-MAIL]
  • Adres → [ADRES]
  • Polisnummer → [POLIS]
  • Telefoonnummer → [TEL]
  • Geboortedatum → [GEBDATUM]
  • Andere namen → [NAAM 1], [NAAM 2]

Wat overblijft is de inhoud en context. Daar zit (meestal) geen persoonsgegeven meer in. Dan mag je het in vrijwel elke AI-tool zonder zorgen.

Optie B: Vraag het je compliance officer of brancheorganisatie.

Adfiz, NVGA en andere brancheorganisaties hebben vaak handvatten klaarliggen voor AI-gebruik. Even bellen is sneller dan een datalek herstellen.

Deel 4: Het stappenplan voor je kantoor

Dit is wat je als kantoor moet regelen vóórdat je medewerkers AI mogen gebruiken voor klantdata. Werk de stappen één voor één af.

Stap 1: Kies één AI-tool voor je kantoor

Niet drie verschillende tools voor verschillende medewerkers. Eén keuze. Voor de meeste kantoren is dat Microsoft 365 Copilot omdat het naast je bestaande mail werkt.

Stap 2: Sluit een zakelijke licentie af

Zorg dat je een echte zakelijke tier hebt, geen consumentenversie. Bewaar het contract en de bijbehorende verwerkersovereenkomst (DPA) in je administratie.

Stap 3: Zet EU-dataverwerking aan

Bij Microsoft Copilot kun je in de admin-instellingen kiezen voor EU Data Boundary. Vraag je IT-leverancier of beheerder om dit te activeren. Standaard staat dit niet altijd aan.

Stap 4: Werk je verwerkingsregister bij

In je verwerkingsregister (AVG art. 30) moet staan dat je AI gebruikt om klantcommunicatie te verwerken. Je beschrijft:

  • Welke tool je gebruikt (bijvoorbeeld Microsoft 365 Copilot)
  • Wat het doel is (samenvatten en structureren van klantcommunicatie)
  • Welke rechtsgrond je gebruikt (meestal: uitvoering overeenkomst of gerechtvaardigd belang)
  • Welke data ermee verwerkt wordt
  • Hoe lang je het bewaart

Stap 5: Voer een DPIA uit

Een DPIA (Data Protection Impact Assessment) is een verplichte risicoanalyse voor gegevensverwerking.

Je hoeft dit niet zelf te schrijven. Vraag je accountant, IT-leverancier of een externe privacy-adviseur. Kosten: meestal tussen €500 en €2.000 eenmalig. Eén DPIA volstaat voor alle AI-gebruik van klantdata.

Stap 6: Pas je privacyverklaring aan

Je klanten moeten weten dat je AI gebruikt. Voeg een passage toe aan je privacyverklaring:

"Wij gebruiken bij de behandeling van uw vragen en dossiers AI-tools om communicatie samen te vatten en te structureren. Deze tools verwerken uw gegevens binnen onze beveiligde zakelijke omgeving en gebruiken uw data niet om hun AI-modellen te trainen."

Niet ingewikkeld. Wel verplicht.

Stap 7: Maak een interne werkinstructie

Eén pagina. Wat mag wel, wat mag niet. Zie het voorbeeld onderaan deze handleiding.

Stap 8: Train je medewerkers

Dit is de AI Act-verplichting (artikel 4) (opent in nieuw venster): sinds februari 2025 moeten medewerkers die AI gebruiken basiskennis hebben van AI.

Wat heeft je medewerker minimaal nodig:

  • Wat is AI, wat kan het wel en niet
  • Welke risico's zitten eraan
  • Welke tools mag hij/zij gebruiken bij ons kantoor
  • Welke data mag wel en niet in AI

Een sessie van 45 minuten met een korte test volstaat. Bewaar het bewijs van deelname.

Stap 9: Richt logging en bewaartermijnen in

Zorg dat je kunt nagaan wie wat heeft gedaan met AI. Microsoft Copilot heeft hier ingebouwde logging voor (Microsoft Purview). Bij andere tools moet je dit apart inregelen.

Stap 10: Plan een jaarlijkse evaluatie

AI verandert snel. Wat vandaag mag, kan morgen anders zijn. Plan elk jaar een korte review: gebruiken we nog de juiste tool, kloppen onze policies nog, zijn er incidenten geweest?

Deel 5: De praktische workflow voor je medewerkers

Als alles op kantoor geregeld is, ziet de dagelijkse workflow er zo uit:

Vóór je op "samenvatten" klikt

  1. Lees de e-mail kort door. Wat staat erin?
  2. Check de gevoeligheid. Zit er medische, financiële, strafrechtelijke of BSN-informatie in? Zo ja → niet samenvatten, of eerst anonimiseren.
  3. Check het doel. Past de samenvatting bij waarom de klant je de e-mail stuurde? Zo nee → niet doen.
  4. Gebruik de juiste tool. Alleen de zakelijke AI-tool die het kantoor heeft goedgekeurd, geen privé-accounts.

Tijdens het samenvatten

  1. Gebruik de AI binnen je beveiligde omgeving. Bij Copilot doe je dat in Outlook of Teams zelf. Niet kopiëren en plakken naar copilot.microsoft.com — dan kom je buiten je tenant.
  2. Vraag alleen wat nodig is. "Geef een samenvatting in drie zinnen" is beter dan "doe iets met deze e-mail".

Na het samenvatten

  1. Controleer de output. AI kan hallucineren. Klopt de samenvatting echt met wat in de e-mail staat?
  2. Bewaar de samenvatting volgens dezelfde regels als de originele e-mail. Meestal: in je CRM of dossier, met dezelfde bewaartermijn.
  3. Niet stiekem doen. Als een klant ernaar vraagt, ben dan eerlijk: "Ja, wij gebruiken AI om uw communicatie sneller te verwerken, dat staat ook in onze privacyverklaring."

Deel 6: Veelgestelde vragen

Mag ik een schademelding van een autoverzekering samenvatten?

Ja, als het binnen je zakelijke AI-tool gebeurt en je alles geregeld hebt (zie stappenplan). Schadebehandeling is een normaal doel binnen je overeenkomst met de klant.

En een schademelding waarin de klant gewond is geraakt?

Hier wordt het lastiger. Letsel is medische informatie. Twee opties: anonimiseer de medische details eerst, of behandel die e-mail handmatig.

Mag ik een uittreksel van het BKR door AI laten samenvatten?

Liever niet. BKR-data is financiële persoonsgegevens met hoge gevoeligheid. Doe deze handmatig of werk met geanonimiseerde versies.

Een prospect stuurt me een lange offerte-aanvraag. Mag ik die samenvatten?

Ja. Dit valt onder normale acquisitie. Voorwaarde: in een zakelijke AI-tool, niet in een gratis versie.

Mag ik een aantekening op klantnotitie door AI laten genereren?

Ja, dat valt onder uitvoering van je overeenkomst. Mits zakelijke tool.

Een klant stuurt mij een e-mail met informatie over zijn ex-partner die geen klant van mij is. Mag ik die samenvatten?

Voorzichtig. De ex is geen klant van jou, je hebt geen grondslag om diens data te verwerken. Anonimiseer de info over die persoon, of vat alleen het deel samen dat over je klant zelf gaat.

Mag ik AI gebruiken om een antwoord aan een klant te schrijven?

Ja, dat mag onder dezelfde voorwaarden als samenvatten. Wel altijd zelf nalezen voordat je verstuurt. Jij blijft verantwoordelijk voor wat eruit gaat.

Wat als er een datalek ontstaat doordat ik AI verkeerd heb gebruikt?

Behandel het zoals elk ander datalek: meld het bij de Autoriteit Persoonsgegevens binnen 72 uur en, afhankelijk van de ernst, ook bij de betrokken klant. En leer ervan: pas je werkinstructie aan.

Moet ik mijn klanten vooraf om toestemming vragen?

Meestal niet. Voor normale klantbehandeling heb je geen aparte toestemming nodig, mits je het netjes in je privacyverklaring vermeldt. Wel toestemming nodig bij bijzondere persoonsgegevens (medisch, etc.) of als je AI inzet voor doelen buiten de directe dienstverlening (zoals profilering voor marketing).

Mag ik gratis ChatGPT gebruiken voor mijn eigen leerproces, los van klantdata?

Ja, prima. Zolang er geen klantdata in zit, mag je elke AI-tool gebruiken voor algemene vragen, brainstormen of leren.

Deel 7: Voorbeeld interne werkinstructie

Hieronder een voorbeeld dat je kunt aanpassen aan je eigen kantoor.

Werkinstructie AI-gebruik bij klantcommunicatie

Doel: Veilig en correct gebruik van AI bij het behandelen van klantcommunicatie.

Voor wie: Alle medewerkers die klantcommunicatie behandelen.

Welke tool gebruiken we: [bijvoorbeeld: Microsoft 365 Copilot]

Welke tools mogen NIET voor klantdata: Gratis ChatGPT, gratis Claude, gratis Gemini, persoonlijke betaalde accounts.

Wat mag je doen met klantdata in onze AI-tool:

  • E-mails samenvatten voor sneller overzicht
  • Lange documenten structureren
  • Concept-antwoorden opstellen (altijd zelf controleren voor verzending)
  • Klantvragen categoriseren of doorverwijzen

Wat mag je NIET doen, ook niet met onze tool:

  • E-mails met medische informatie samenvatten zonder anonimiseren
  • E-mails met BSN verwerken
  • Fraude-informatie of EVR-data verwerken
  • Data van mensen die geen klant van ons zijn verwerken zonder grondslag

Bij twijfel: Eerst even checken bij [naam compliance verantwoordelijke]. Liever één keer te veel vragen.

Bij een fout: Direct melden bij [naam], geen schaamte. Liever vroeg dan laat.

Tot slot

AI-tools zijn een geweldige hulp in je dagelijks werk als tussenpersoon. Je hoeft ze niet te mijden uit angst voor de AVG. Maar je kunt ze ook niet zomaar gebruiken zoals je een rekenmachine zou pakken.

Het komt neer op drie principes:

  1. Gebruik de juiste tool (zakelijk, niet privé)
  2. Regel de basis op kantoorniveau (DPA, DPIA, privacyverklaring, werkinstructie, training)
  3. Wees voorzichtig met gevoelige data (medisch, BSN, fraude — handmatig of anonimiseren)

Doe je dat goed, dan profiteer je van AI zonder juridisch gedoe. Doe je dat niet, dan loop je risico op boetes (de AVG kent boetes tot 4% van de jaaromzet) en reputatieschade.

Investeer eens een dagdeel om dit goed in te richten. Het verdient zich terug.

Deze handleiding geeft algemene informatie en is geen juridisch advies. Raadpleeg bij twijfel je brancheorganisatie, een privacy-jurist of de Autoriteit Persoonsgegevens.