Een accountant kent zijn klanten zoals hun eigen bank ze niet kent. Bankafschriften, loonfiches, belastingaangiftes, jaarrekeningen, contracten — het volledige financiële verhaal van iemands leven of onderneming ligt in zijn dossiers. Dat vertrouwen is de basis van het beroep. En het beroepsgeheim is de juridische verankering van dat vertrouwen.
AI-tools kunnen accountants veel tijd besparen — bij transactieclassificatie, factuurverwerking, rapportgeneratie, zelfs bij fiscale vraagbeantwoording. Maar de meeste cloud AI-tools brengen een risico dat onderschat wordt: ze verwerken uw klantendata buiten uw kantoor, op servers die u niet controleert.
Wat staat er op het spel
De data die een accountant dagelijks verwerkt is geen gewone bedrijfsinformatie. Bankafschriften zijn persoonsgegevens onder de GDPR. Loonfiches bevatten financiële informatie van werknemers en hun gezinnen. Belastingaangiftes geven een volledig beeld van het inkomen, de vermogenspositie, en de schulden van een persoon of onderneming.
Wanneer u die data invoert in een cloud AI-tool — ook al is het slechts voor een snelle vraag of een samenvatting — vertrekt die data naar een externe server. Dat is juridisch een overdracht aan een derde partij. En dat opent twee problemen tegelijk.
Het beroepsgeheim: meer dan een DPA-clausule
Het beroepsgeheim van de ITAA-accountant (België) en de NBA-registeraccountant (Nederland) is wettelijk verankerd. Artikel 58 van de ITAA-wet legt vertrouwelijkheid op aan alle informatie die een accountant in het kader van zijn opdracht ontvangt. In Nederland geldt een vergelijkbare geheimhoudingsplicht.
Het probleem met cloud AI is niet dat een verwerkersovereenkomst ontbreekt — die kunt u tekenen. Het probleem is fundamenteler: het beroepsgeheim is bedoeld om de informatieoverdracht zélf te beperken. Een DPA regelt hoe een verwerker omgaat met data die hij ontvangt. Het beroepsgeheim bepaalt of hij die data mag ontvangen.
“Een verwerkersovereenkomst is geen vergunning om klantendata buiten uw kantoor te verwerken. Ze regelt wat er daarna mee mag gebeuren — maar de overdracht zelf is al het probleem.”
Juristen discussiëren over de precieze grens. Maar de richting is helder: hoe gevoeliger de klantendata, hoe groter het juridisch risico bij cloud verwerking.
DORA en de ketendruk
Er is een tweede route waarlangs AI-risico’s uw kantoor kunnen bereiken: via uw klanten. De DORA-verordening verplicht financiële instellingen — banken, verzekeraars, beleggingsfirma’s — om de ICT-beveiliging van hun toeleveranciers te beoordelen en te documenteren. Een accountant die financiële instellingen bedient, is zo’n toeleverancier.
In de praktijk betekent dit: uw klant vraagt u welke cloud AI-tools u gebruikt en hoe u zijn data beschermt. Als uw antwoord “ChatGPT met een DPA” is, volstaat dat voor veel financiële instellingen niet. Lokale AI is hier een concurrentieel argument: uw antwoord wordt “niets verlaat ons kantoor.”
Een concreet scenario
Een drukke accountant kopieert bankafschriften van een klant in ChatGPT Team en vraagt een overzicht van de grootste kostenposten. De tool geeft een helder antwoord. Hij bespaart twintig minuten.
Wat er ondertussen juridisch is gebeurd: de naam van de klant, het rekeningnummer, en transacties met bedragen en tegenpartijen staan nu op een server in de Verenigde Staten, onderworpen aan de CLOUD Act. Er is geen geldige GDPR-grondslag voor die overdracht. Het beroepsgeheim is vermoedelijk geschonden. De klant weet het niet.
Als de klant het zou weten, zou hij van boekhouder wisselen.
De oplossing: AI die het kantoor niet verlaat
Lokale AI draait op uw eigen hardware — in uw kantoor, op uw server, achter uw firewall. Geen cloud. Geen overdracht. De tijdsbesparing is identiek: transactieclassificatie, factuurverwerking via OCR, rapportgeneratie, fiscale vraagbeantwoording. Het verschil is architecturaal: elke byte klantendata blijft binnen uw kantoor.
Voor een ITAA-accountant of registeraccountant is dat niet alleen juridisch verstandig. Het is het enige model dat consistent is met het beroepsgeheim — en met de verwachtingen van klanten die u daadwerkelijk vertrouwen met hun meest persoonlijke financiële informatie.
Drie stappen die u nu kunt zetten
1. Inventariseer welke AI-tools u nu gebruikt voor klantenwerk
Gebruikt u ChatGPT, Copilot, of een andere cloud AI voor taken waarbij klantendata betrokken is? Welke data vertrekt er bij elk gesprek? Een eerlijke inventarisatie is de basis van elke volgende stap.
2. Stop met invoeren van klantendata in cloud AI
Tot u een lokale oplossing heeft, is de veiligste maatregel de eenvoudigste: geen klantendata in cloud AI-tools. Niet voor een snelle vraag, niet voor een test, niet “voor intern gebruik.”
3. Verken lokale alternatieven
Ollama met een open-weight model op een mini-PC in uw kantoor is vandaag beschikbaar en betaalbaar. Het opstarten vereist technische kennis — maar dat is eenmalig. Daarna werkt het dagelijks, zonder abonnement, zonder overdracht, met volledige controle over uw klantendata.