Ambtenaren gebruiken AI. Dat is een feit — en het is begrijpelijk. ChatGPT bespaart tijd bij het samenvatten van documenten, het opstellen van brieven en het beantwoorden van vragen. Maar wanneer die documenten persoonsgegevens van burgers bevatten, verandert de situatie fundamenteel.
Niet omdat AI slecht is. Maar omdat openbare AI-tools niet zijn gebouwd voor de informatie die bij de overheid binnenkomt.
Wat maakt overheidsinformatie zo gevoelig?
Gemeenten verwerken de meest gevoelige informatie die er is: jeugdbeschermingsdossiers, zorgtrajecten, WMO-aanvragen met diagnoses en thuissituaties. Informatie die burgers delen omdat ze dat moeten — niet omdat ze dat willen.
Die informatie invoeren in een openbaar AI-systeem is geen klein risico. Het is een schending van het vertrouwen dat burgers in de overheid moeten kunnen stellen.
Wat er mis kan gaan: de casus Eindhoven
In oktober 2025 werd bij de gemeente Eindhoven een datalek ontdekt. Uit een interne steekproef over de periode september-oktober bleek dat medewerkers bestanden met persoonsgegevens hadden geüpload naar openbare AI-websites, waaronder ChatGPT.
Het ging niet om onschuldige gegevens. Uit onderzoek van juridisch adviesbureau Hooghiemstra & Partners bleek dat het onder meer ging om:
- Jeugdwet-documenten met informatie over de mentale en fysieke gezondheid van minderjarige kinderen, inclusief burgerservicenummers en soms foto's
- WMO-documenten met diagnoses, verslavingen en schulden — inclusief naam, adres en BSN
De gemeente meldde het datalek op 23 oktober bij de Autoriteit Persoonsgegevens. ChatGPT werd direct geblokkeerd voor alle medewerkers. OpenAI werd verzocht de bestanden te verwijderen.
Dat verzoek is volgens experts vrijwel kansloos. Zodra data langer dan 24 uur geleden is ingevoerd, zit die informatie vermoedelijk al in trainingsmodellen. En data die eenmaal in een trainingsmodel verwerkt is, is in de praktijk niet meer te verwijderen.
Wat het extra pijnlijk maakt: de gemeente Eindhoven stond op het moment van het incident net twee jaar onder verscherpt toezicht van de Autoriteit Persoonsgegevens, vanwege eerdere datalekken die te laat waren gemeld.
Dit is geen Eindhovens probleem
Eindhoven is in het nieuws gekomen. Maar het patroon is niet uniek.
Het gebruik van generatieve AI door Nederlandse overheidsorganisaties is het afgelopen jaar vertienvoudigd — van 8 toepassingen in 2024 naar 81 in 2025. En ruim de helft van de gemeenten heeft geen zicht op hoe ambtenaren ChatGPT inzetten.
Medewerkers grijpen naar de makkelijkste tool die beschikbaar is. Als er geen goedgekeurd alternatief is, is dat ChatGPT. Niet uit kwade wil — maar uit een gebrek aan bewustzijn én een gebrek aan alternatieven.
Waarom 'binnen de gemeente-omgeving' niet genoeg is
Na het incident schakelde Eindhoven over op Microsoft Copilot binnen de beveiligde gemeente-omgeving. Begrijpelijk als eerste stap. Maar ook Copilot is een product van een Amerikaans bedrijf dat valt onder de Cloud Act.
De Cloud Act geeft Amerikaanse opsporingsdiensten de mogelijkheid om toegang te vragen tot data van Amerikaanse bedrijven — ook als die data fysiek in Europa staat. Dat betekent dat 'binnen de Microsoft-omgeving' niet hetzelfde is als 'volledig onder Nederlandse wetgeving'.
Voor overheidsinformatie van het type dat in Eindhoven is gelekt, is dat onderscheid cruciaal.
Wat overheidsorganisaties nu kunnen doen
Het probleem is niet dat medewerkers AI gebruiken. Het probleem is dat er geen veilig alternatief beschikbaar is, waardoor ze grijpen naar tools die niet zijn gebouwd voor gevoelige overheidsinformatie.
De oplossing is niet verbieden — dat werkt niet. De oplossing is een goed alternatief bieden:
- Een AI-platform dat draait in Nederlandse infrastructuur
- Dat niet valt onder buitenlandse wetgeving
- Dat geen data gebruikt voor model-training
- Dat een volledige audit trail biedt
- En dat medewerkers dezelfde productiviteitswinst geeft als ChatGPT
Dat is precies wat soev.ai biedt. Kennisontsluiting, samenvatten, schrijfondersteuning — maar dan volledig binnen Nederlandse infrastructuur, zonder dat data de gemeentelijke omgeving verlaat.
Veelgestelde vragen
Is ChatGPT verboden bij de overheid?
Er is geen algeheel verbod, maar het gebruik van ChatGPT voor gevoelige overheidsinformatie is in strijd met de AVG. De Autoriteit Persoonsgegevens heeft meerdere keren gewaarschuwd voor de risico's.
Voldoet soev.ai aan de AVG en BIO 2.0?
Ja. soev.ai verwerkt alle data in Nederlandse datacenters, valt niet onder de Cloud Act en biedt een volledige verwerkersovereenkomst conform de AVG. Het platform is ontworpen om te voldoen aan BIO 2.0.
Wat als medewerkers toch ChatGPT blijven gebruiken?
Zolang er geen goed alternatief beschikbaar is, zullen medewerkers omwegen zoeken. De meest effectieve maatregel is een goedgekeurd platform aanbieden dat aansluit op de werkprocessen van ambtenaren.
Meer weten?
Plan een demo en ontdek hoe de AI Kennisbank werkt voor uw gemeente.
- soev.ai voor de overheid: soev.ai/sectoren/overheid
- AI Kennisbank: soev.ai/oplossingen/ai-kennisbank
- Veiligheid en compliance: soev.ai/veiligheid-compliance
