AI voor accountants en belastingadviseurs
AI voor het belastingkantoor: wat veilig is en wat niet
AI is nuttig voor belastingkantoren, maar de vraag die telt is: welke taken bevatten klantdata, en waar gaat die data naartoe? De vuistregel is eenvoudig. Open-internet AI-tools: geen klantdata invoeren. Doelgerichte tools met EU-hosting en een verwerkersovereenkomst: dat kan wel. Hieronder staat hoe je die categorieën onderscheidt en wat je in de praktijk mag gebruiken.
Drie categorieën AI in de praktijk
Openbare AI-chatbots (ChatGPT, Gemini, Copilot)
Deze tools zijn goed voor: opzoeken van openbare wetgeving, het samenvatten van wetteksten, het opzetten van een conceptbrief zonder klantspecifieke informatie, en het beantwoorden van algemene fiscale vragen.
Niet geschikt voor: formulieren met BSN, loondata, jaarrekeningen of andere persoonsgegevens of vertrouwelijke bedrijfsinformatie. OpenAI's consumentenversie van ChatGPT gebruikt invoer standaard voor modelverbetering, tenzij je dit in je accountinstellingen uitzet of op een zakelijk contract zit waarbij training standaard is uitgeschakeld. Bovendien vindt de verwerking veelal plaats buiten de EU, wat extra vereisten stelt onder de AVG. Zonder verwerkersovereenkomst mag je er geen klantdata in stoppen.
AI-copiloten in bestaande software (Copilot in Word, Nextens AI)
Dit hangt sterk af van de aanbieder. De vragen die je moet beantwoorden voordat je klantdata invoert:
- Verlaat klantdata de EU? Zo ja: zijn er standaardcontractbepalingen (SCCs) van toepassing?
- Is er een verwerkersovereenkomst beschikbaar en ondertekend?
- Worden ingevoerde gegevens bewaard of gebruikt voor modeltraining?
Microsoft 365 Copilot biedt voor zakelijke klanten een verwerkersovereenkomst en verwerkt data in de EU als je een EU-tenant hebt. Controleer dit voor de tenant van jouw kantoor. Voor kleinere of minder bekende tools is het antwoord op bovenstaande vragen vaak niet transparant.
Doelgerichte tools met EU-hosting
Dit zijn tools die alleen de benodigde data verwerken voor een specifieke taak, die data niet langer bewaren dan noodzakelijk, en die een formele verwerkersovereenkomst bieden. Denk aan procedure-specifieke software voor fiscale formulieren. De reikwijdte is smal, maar de AVG-compliance is makkelijker te borgen: er zijn minder datastromen, de verwerking is doelgebonden en de aanbieder kan de technische inrichting concreet beschrijven.
AVG in de praktijk
De AVG verplicht een verwerkersovereenkomst zodra je persoonsgegevens aan een externe partij geeft die die gegevens namens jou verwerkt (artikel 28 AVG). Voor een belastingkantoor betekent dit: iedere tool waaraan je klantdocumenten aanlevert, valt onder deze verplichting.
Daarnaast geldt een algemeen vertrouwelijkheidsbeginsel: een adviseur mag klantinformatie niet zonder geldige grondslag delen met derden. Een verwerkersovereenkomst is de verplichte contractuele basis voor het uitbesteden van die verwerking. Zonder die overeenkomst is doorgeven in principe niet toegestaan, ook niet aan een AI-tool.
BSN's vallen bovendien onder een apart regime. De Wet algemene bepalingen burgerservicenummer (Wabb) beperkt het gebruik van het BSN tot partijen met een specifieke wettelijke bevoegdheid. Geef BSN's alleen door aan een partij die die grondslag heeft en een verwerkersovereenkomst biedt.
Primaire bronnen: AVG art. 28 (verwerkersovereenkomst), AVG art. 44-49 (doorgifte buiten EU), Wabb (gebruik BSN).
Waar Lowkey past
Lowkey valt in de derde categorie. De rekenlogica en het invullen van formulieren zijn deterministische code: dezelfde invoer geeft altijd hetzelfde document. Een AI-component leest alleen rommelige uploads zodat je niets hoeft over te tikken. Het AI-onderdeel bepaalt de uitkomst niet.
Alle verwerking vindt plaats op EU-infrastructuur. Uploads worden in het werkgeheugen verwerkt en daarna weggegooid. Er wordt een factuurregel bewaard, nooit de documentinhoud. Een verwerkersovereenkomst is beschikbaar.
Lowkey dekt drie procedures: de 30%-regeling aanvraag met begeleidende brief, het verzoek fiscale eenheid VPB (Deel A en Deel B), en de ATAD2 hybrid-mismatch analyse. Het is geen algemene AI-assistent en geen vervanging voor een volledige aangifte suite.
Meer over de technische en juridische inrichting: EU & data. Een vergelijking met andere softwaretypen: software vergelijken. Informatie voor accountantskantoren: voor accountants.
Snel overzicht: wat mag wel en niet met klantdata
Veelgestelde vragen
Mag je ChatGPT gebruiken als belastingadviseur?
Voor openbaar beschikbare informatie, wetgeving en het opzetten van conceptteksten zonder klantdata: ja. Voor alles waarbij je persoonsgegevens of vertrouwelijke bedrijfsinformatie invoert: nee, tenzij je op een zakelijk tier zit waarbij trainingsgebruik is uitgeschakeld en de verwerking binnen de EU plaatsvindt. Controleer altijd de verwerkersovereenkomst en de locatie van de dataknooppunten voordat je klantgegevens invoert.
Wat is een verwerkersovereenkomst en wanneer heb je die nodig?
Een verwerkersovereenkomst (ook wel DPA, data processing agreement) is een schriftelijke overeenkomst tussen jouw kantoor als verwerkingsverantwoordelijke en een externe partij die persoonsgegevens namens jou verwerkt. AVG artikel 28 verplicht deze overeenkomst. Je hebt die nodig zodra je klantgegevens, zoals BSN, loonstroken of jaarrekeningen, aan een externe dienst aanlevert.
Welke AI tools zijn AVG-veilig voor het belastingkantoor?
Een tool is AVG-veilig als aan drie voorwaarden is voldaan: de verwerking vindt plaats op EU-infrastructuur, de aanbieder biedt een verwerkersovereenkomst aan, en de gegevens worden niet langer bewaard dan noodzakelijk. Controleer bij elke tool of klantdata buiten de EU wordt verwerkt, want dan kunnen aanvullende overdrachtsmechanismen (standaardcontractbepalingen) vereist zijn. Zie ook hoe Lowkey met data omgaat.
Wat is het verschil tussen AI en deterministische software?
Deterministische software geeft bij dezelfde invoer altijd dezelfde uitvoer. De rekenregels staan vast in code. AI-modellen produceren uitkomsten op basis van statistische patronen, waardoor dezelfde vraag morgen een ander antwoord kan opleveren. Voor fiscale formulieren is determinisme een vereiste. Sommige tools combineren beide: AI leest de invoer, deterministische code vult het formulier in. In dat geval bepaalt AI de uitkomst niet.