We bouwen een AI voice agent — een systeem waarbij klanten ons kunnen bellen en een AI-agent hun support tickets opzoekt, afspraken inplant, en problemen oplost. Geen chatbot op een website, maar een echte telefoonverbinding via uWebChat Voice.
Tijdens het ontwerp van de architectuur kwam ik op een inzicht dat ik met jullie wil delen. Want ik denk dat veel bedrijven die nu met AI aan de slag gaan, dit punt over het hoofd zien.
Het model ziet je klantdata
De meeste discussies over AI-modelkeuze gaan over snelheid, kosten en kwaliteit. Welk model geeft de beste antwoorden? Welk model is het goedkoopst per token?
Maar zodra je een AI-agent bouwt die *acties uitvoert* — tickets opzoekt, klantgegevens leest, afspraken plant — verandert het speelveld. Het model krijgt klantdata in zijn context window. Niet omdat je slordig bent, maar omdat het noodzakelijk is. De agent moet die data zien om de klant te kunnen helpen.
En op dat moment wordt je modelkeuze een beveiligingsbeslissing.
Waar het om draait
Bij onze voice agent hebben we de architectuur zo opgezet dat het AI-model nooit zelf kan bepalen *welke* klantdata het ziet. Alle data-scoping gebeurt in onze applicatielaag. Het model kan niet vragen om data van een andere klant — de parameter bestaat simpelweg niet.
Maar zodra de juiste data wél in de context zit, vertrouw je erop dat het model:
- Het system prompt respecteert en niet via manipulatie door de beller omzeild kan worden
- Geen gevoelige informatie lekt die het niet zou moeten delen
- Data niet op onverwachte manieren combineert of hergebruikt
- Zich gedraagt zoals geïnstrueerd, elke keer weer
Dat vertrouwen kun je niet afdwingen met code. Dat moet uit het model komen.
Niet alle modellen zijn gelijk
Er is een enorm verschil tussen modellen als het gaat om deze vertrouwensvraag, en dat verschil zit niet in de benchmarks.
Bij een provider als Anthropic (Claude) of OpenAI weet je dat er een gepubliceerde hiërarchie is voor hoe system prompts versus user input worden behandeld. Er is uitgebreid onderzoek gedaan naar prompt injection resistance. Er zijn data processing agreements beschikbaar. API-verkeer wordt niet gebruikt voor modeltraining. En er zijn onafhankelijke security audits.
Bij een model uit een jurisdictie zonder vergelijkbare privacywetgeving — en ik noem bewust geen namen, maar je weet welke modellen ik bedoel — heb je meerdere onzekerheden tegelijk. Wordt je API-verkeer gelogd? Door wie? Wordt het gebruikt voor training? Hoe robuust is het model tegen prompt injection? Je weet het niet. En je kunt het niet verifiëren.
De AVG-dimensie
Voor ons als Nederlands bedrijf met Nederlandse klanten komt daar de AVG bij. Zodra je klantdata door een AI-model stuurt, is dat dataverwerking. Je hebt een verwerkersovereenkomst nodig met je modelprovider. Je moet kunnen verantwoorden waar de data naartoe gaat en hoe het verwerkt wordt.
Probeer die verwerkersovereenkomst maar eens te krijgen van sommige aanbieders. En zelfs als je er een krijgt — kun je dan verantwoorden aan je klanten dat hun support tickets, contractgegevens en contactinformatie door servers gaan in een jurisdictie waar je geen enkele controle hebt over wat ermee gebeurt?
Wat dit betekent in de praktijk
Bij het ontwerp van onze voice agent hebben we de modelkeuze expliciet vastgelegd als een architectuurbeslissing, niet als een configuratie-optie. Voor alle gesprekken waarin klantdata betrokken is, gebruiken we uitsluitend een model met:
- Een verifieerbare data processing agreement
- Gepubliceerd beleid over dataretentie en training
- Bewezen prompt injection resistance
- Een track record van transparantie over security
Dat betekent dat we misschien iets meer betalen per API-call. Maar het alternatief — je klantdata door een black box sturen om een paar cent te besparen — is geen afweging die ik wil maken.
De les voor iedereen die met AI bouwt
Als je AI gebruikt voor interne experimenten of publieke content, maakt het misschien niet zoveel uit welk model je kiest. Maar zodra er klantdata door je AI-pipeline stroomt, wordt elke modelkeuze een security-beslissing, een compliance-beslissing, en een vertrouwensbeslissing richting je klanten.
Behandel het ook zo.
---
*Ik bouw met mijn bedrijf Universal.cloud AI-gedreven applicaties voor het MKB. Als je nadenkt over AI-agents in je eigen organisatie en wilt sparren over architectuur en security, stuur me gerust een bericht.*
