Wanneer is werken met AI op kantoor 'veilig genoeg'?

donderdag, 18 december 2025 (16:12) - Advocatie.nl

In dit artikel:

Het is dinsdagavond, 21:45: een jurist werkt op het laatste moment aan een memo over een voorgenomen overname en haalt een publieke chatbot op een privélaptop erbij om de tekst aan te scherpen. Dergelijke noodoplossingen zijn geen uitzondering; binnen kantoren experimenteert iedereen met AI, terwijl formeel wordt gewaarschuwd om voorzichtig te zijn. Koen Aarns, AI Product Owner bij Lefebvre Sdu, gebruikt dit voorbeeld om te betogen dat willekeurig gebruik van AI risico’s voor cliëntvertrouwelijkheid, reputatie en aansprakelijkheid oplevert.

“Veilige AI” betekent niet hetzelfde voor iedereen. Sommige professionals leggen de nadruk op geheimhouding van cliëntinformatie, anderen op het voorkomen van reputatieschade of op de kwaliteit van output en aansprakelijkheid. Zonder duidelijke regels bepaalt het toeval — of de tijdsdruk — wie de afweging maakt. Aarns stelt dat de relevante vraag niet is of AI überhaupt veilig is, maar welke waarden een kantoor zó belangrijk vindt dat die expliciet beschermd moeten worden bij AI-gebruik.

Praktisch pleit hij voor een kader waarmee een kantoor kan vaststellen wanneer AI “veilig genoeg” is. Drie elementen moeten gelijktijdig kloppen: 1) helderheid over welke informatie nooit extern mag komen (bijv. lopende M&A‑dossiers, strafzaken, zeer gevoelige fiscale structuren) en wie uitzonderingen mag goedkeuren; 2) technische basisvoorwaarden (gegevensopslag binnen de EU, geen hergebruik van data voor modeltraining, versleuteling, logging en auditmogelijkheden, en integratie met identity‑ en toegangsbeheer); en 3) een duidelijke lijst van toegestane tools en hun toegestane toepassingen (bijv. onderzoek, structureren van argumenten, stijlredactie), inclusief concrete beperkingen (wel/niet gebruiken met cliëntnamen of volledige documenten). Alles wat niet op die lijst staat, hoort niet voor kantoorgebonden werk gebruikt te worden.

Aarns benadrukt dat “veilig genoeg” geen nulrisico betekent, maar het bewust accepteren van een professioneel verantwoord niveau van risico. Kantoren die vooraf bepalen welke beschermingswaarden voorrang hebben, zien minder schaduwgebruik, krijgen meer vragen van medewerkers over grenzen en bereiken juist een bredere, verantwoorde adoptie van toegestane tools. Blijven uitstellen leidt ertoe dat individuele medewerkers, onder tijdsdruk, beslissen — vaak op een privélaptop laat op de avond.

Als extra context: de juridische beroepsregels en privacywetgeving (zoals de AVG) maken deze afwegingen urgent; dat geldt ook omdat generatieve AI kan hallucineren en omdat datalekken reputatieschade en aansprakelijkheid kunnen veroorzaken. Aarns werkt aan GenIA-L, een gespecialiseerde AI-tool voor juristen en fiscalisten, en roept lezers op om mee te doen aan onderzoek naar het belang van anonimiseren of pseudonimiseren van documenten.

Kort gezegd: bepaal eerst welke waarden en informatie je als kantoor wil beschermen, leg technische en organisatorische minimumregels vast, en kies dan welke AI-toepassingen binnen die grenzen passen — anders wint de deadline het van je eigen normen.