← Terug naar blog

Exact Online en AI: AVG, privacy en gegevensverwerking uitgelegd

12 augustus 2026 · 8 min leestijd

"Mag je je boekhouding wel aan ChatGPT laten zien?" — het is een van de meest gestelde vragen tijdens demo’s van Ledger Botje. En een hele terechte. Onder de AVG ben je verantwoordelijk voor elke persoonsgegeven dat door je administratie stroomt: klantadressen, bankrekeningnummers, BSN’s van ZZP’ers, e-mailadressen van contactpersonen. Wie zegt dat die niet ergens in een AI-trainingsdataset belanden?

In dit artikel zetten we op een rij hoe gegevens precies stromen wanneer je Exact Online via MCP aan een AI-assistent koppelt, welke wettelijke kaders relevant zijn, en welke maatregelen Ledger Botje en de AI-leveranciers nemen om dat veilig te houden.

Welke gegevens worden gedeeld met de AI?

Een AI-assistent ziet nooit je hele Exact Online administratie in één keer. De koppeling werkt op basis van losse vragen: stel je vraagt "welke facturen staan open boven €1.000?", dan haalt Ledger Botje precies die rijen op uit Exact Online, stuurt ze door naar de AI en die formuleert het antwoord. Andere klantgegevens, salarisadministratie of niet-relevante boekingen blijven buiten beeld.

Concreet stromen alleen de velden door die nodig zijn voor de gestelde vraag. Vraag je naar openstaande posten, dan zijn dat factuurnummers, bedragen, klantnamen en vervaldatums — geen BSN’s, geen bankafschriften, geen loonstroken (die staan ook niet in Exact Online Boekhouden, maar in een apart salarissysteem).

De rol van het MCP-protocol

Het Model Context Protocol is bewust ontworpen voor enterprise-omgevingen. Drie zaken zijn relevant voor de AVG:

  • Autorisatie per gebruiker — de AI gebruikt jouw inlogtoken voor Exact Online. Hij ziet dus alleen wat jij zelf ook zou mogen zien.
  • Geen persistente opslag — Ledger Botje slaat geen kopie van je boekhouding op. Elke vraag haalt verse data uit Exact Online en logt alleen de essentie voor audit-doeleinden.
  • Tool-grenzen — in de Basic-licentie staan schrijfacties uit. De AI kan dus niets aanpassen, alleen lezen.

Meer technische details vind je in de MCP-beveiligingsuitleg.

Waar staan de AI-gegevens? OpenAI, Anthropic en Europa

Hier zit voor veel boekhouders en accountants de spannende vraag. Als je via ChatGPT (OpenAI) of Claude (Anthropic) werkt, wordt de prompt — en dus stukjes van je administratie — verwerkt op servers van die leverancier. Beide bedrijven hebben inmiddels Europese rekencentra en bieden enterprise-plannen aan waarin gegevens niet voor training worden gebruikt.

Voor wie strikter wil zitten: Mistral (Frans), Copilot Enterprise (data in EU-tenant) en lokaal gehoste modellen zijn alternatieven. De keuze voor je AI-leverancier is dus óók een privacy-keuze.

DPIA, verwerkersovereenkomst en bewaartermijnen

Voor Ledger Botje hebben we een Data Protection Impact Assessment (DPIA) uitgevoerd waarin alle risico’s en mitigerende maatregelen staan beschreven. Belangrijkste maatregelen:

  • Audit logs in Ledger Botje worden maximaal 180 dagen bewaard (kritieke events 365 dagen), conform opslagbeperking uit artikel 5.1.e AVG.
  • Elke koppeling vereist expliciete OAuth-toestemming — je geeft Ledger Botje nooit je wachtwoord.
  • De infrastructuur draait binnen de EU.

De verwerkersovereenkomst (DPA) tussen jou en Ledger Botje is online beschikbaar en sluit aan op artikel 28 AVG. Voor klanten met meerdere administraties of een eigen FG kunnen we de DPIA op verzoek delen.

Wat moet je zelf regelen?

Als verwerkingsverantwoordelijke heb je drie taken:

  1. Informeer je medewerkers dat er een AI-koppeling op de administratie staat. Vermeld dit in je interne privacy-statement.
  2. Beperk rechten binnen Exact Online. Geef alleen rollen met de juiste leesrechten toegang tot de MCP-koppeling.
  3. Kies bewust een AI-leverancier en sluit een verwerkersovereenkomst met die partij — OpenAI, Anthropic, Microsoft en Google bieden allemaal AVG-compliant Enterprise-varianten.

Conclusie

De combinatie Exact Online + AI is goed verenigbaar met de AVG, mits je drie partijen op orde hebt: jezelf (verwerkingsverantwoordelijke), Ledger Botje (subverwerker voor de MCP-laag) en je AI-leverancier (verwerker van de prompts). Ledger Botje is daarvoor ontworpen: minimale gegevensstroom, korte bewaartermijnen, en heldere DPA’s.

Wil je meer lezen over hoe wij beveiliging hebben ingericht? Bekijk de beveiligingsuitleg en de verwerkersovereenkomst. Klaar om verantwoord met AI in je administratie te starten? Volg de MCP installatiehandleiding.

Deel dit artikel

Delen op LinkedIn Delen op X Delen via e-mail
FW
Frank Woutersen
Frank Woutersen is de oprichter van Ledger Botje en schrijft over AI, MCP en Exact Online. Hij helpt bedrijven om hun administratie slimmer te beheren met AI-assistenten.

Gerelateerde artikelen

5 augustus 2026 · 6 min leestijd

MCP-koppeling werkt niet: veelvoorkomende fouten en hoe je ze oplost

Foutmeldingen bij je MCP-koppeling met Exact Online? Een praktische troubleshooting-gids: OAuth-tokens, permissies, herauthenticatie en debugging.
29 juli 2026 · 7 min leestijd

Batch- en serienummers bijhouden in Exact Online met AI

Batchregistratie en serienummers vragen veel discipline. Zo gebruik je AI om foutloos te traceren, terug te roepen en historie op te vragen in Exact Online.

Zelf aan de slag met AI en Exact Online?

Probeer Ledger Botje gratis en ontdek hoe AI je dagelijkse werk eenvoudiger maakt.

Gratis proberen