Mistral Vibe is Europees, maar dat maakt het nog niet veilig voor het beroepsgeheim

Geschreven door BijzonderStrafrecht.nl

Le Chat was sinds begin 2024 de chatassistent van het Franse Mistral, een van de bekendste Europese alternatieven voor ChatGPT. Het stond bekend om zijn hosting binnen de EU en kreeg in twee jaar tijd functies als deep research, een spraakmodus en een geheugen.

Eind mei 2026, tijdens zijn AI Now Summit in Parijs, hernoemde Mistral die assistent naar Vibe en verbreedde hem van chatbot tot één agent voor werk en code. De Work Mode werkt mee in je mail, agenda en documenten.

Voor juristen is de vraag of dit Europese alternatief geschikt is voor werk dat het beroepsgeheim raakt. Vibe draait standaard op Europese infrastructuur en valt als Frans bedrijf buiten de Amerikaanse CLOUD Act, waardoor het soevereiniteitsprobleem van Amerikaanse aanbieders hier vervalt. Of je het op vertrouwelijke stukken kunt loslaten hangt af van je abonnement, je verwerkersovereenkomst en wat je de agent laat zien, niet van de Europese herkomst op zichzelf.

Le Chat heet nu Mistral Vibe

De naam Vibe hoorde eerder alleen bij Mistrals codeertool. Sinds eind mei dekt hij het hele product: chat, zoeken, werkautomatisering en code, onder één licentie, met behoud van bestaande gesprekken en instellingen. De Work Mode koppelt aan Google Workspace, Outlook, SharePoint, Slack en GitHub. De agent maakt eerst een stappenplan, wacht op je akkoord en kan daarna mails opstellen, cijfers uit spreadsheets halen, rapporten samenstellen en documenten wegschrijven naar bijvoorbeeld Notion of SharePoint. De Code Mode draait in afgeschermde cloudomgevingen en opent zelf pull requests.

De verschuiving is groter dan een nieuwe naam. Een chatbot beantwoordt een vraag die jij stelt. Een agent voert taken uit in je eigen systemen. Daarmee verschuift de discussie over juridische AI van de kwaliteit van de output naar wat het systeem zelfstandig mag doen. Dat is dezelfde kantelling die we eerder bij Microsoft Scout beschreven, en ze raakt direct aan je geheimhoudingsplicht.

De Europese herkomst is geen detail

De CLOUD Act verplicht Amerikaanse aanbieders om data af te geven aan Amerikaanse autoriteiten, ook als die data op Europese servers staat. Voor een Nederlandse advocaat botst dat met het beroepsgeheim en met de doorgifteregels van de AVG. Het Nederlandse NCSC concludeerde al in 2022 dat ook in Europa opgeslagen gegevens onder Amerikaanse wetgeving kunnen vallen. Tools als ChatGPT, Copilot en Gemini dragen dat risico structureel mee, omdat de aanbieders onder Amerikaans recht vallen.

Mistral zit anders in elkaar. Het bedrijf is Frans, staat onder toezicht van de CNIL en host standaard binnen de EU. Op de betaalde abonnementen wordt je invoer niet gebruikt om modellen te trainen; op de gratis versie gebeurt dat wel, tenzij je dat uitzet. De Europese herkomst neemt dus een risicolaag weg die bij Amerikaanse aanbieders blijft bestaan.

Volledig sluitend is dat beeld niet. De CLOUD Act kijkt naar de zeggenschap van de aanbieder, niet alleen naar de locatie van de data, en een deel van Mistrals infrastructuur leunde op Amerikaanse clouddiensten. Mistral bouwt daarom eigen rekencapaciteit in Frankrijk en nam begin 2026 een Europese cloudpartij over om die afhankelijkheid terug te brengen. Dat maakt de soevereiniteitsclaim sterker, maar het blijft iets om per opdracht te toetsen in plaats van aan te nemen.

De agent reikt in je mail en je dossiers

Het echte aandachtspunt voor kantoren zit in de Work Mode. Die koppelt aan precies de systemen waar vertrouwelijke stukken liggen: je inbox, je agenda, je documentmappen. Een agent die je mail leest en concepten opstelt, raakt cliëntinformatie omdat hij daarvoor is gebouwd. Of dat verkeer door de EU loopt is dan een tweede vraag; de eerste is wat de agent mag zien en doen.

Voor algemeen werk zonder cliëntgegevens is een model als Vibe bruikbaar: een leerstuk laten uitleggen, openbare rechtspraak doornemen, een modelclausule opstellen. Voor stukken die onder het beroepsgeheim vallen is dat alleen verantwoord in een afgeschermde opzet, met een verwerkersovereenkomst, zonder training op je invoer en bij voorkeur binnen je eigen omgeving. De gratis versie valt daarbij af, want daar voedt je invoer het model.

Aandachtspunten voordat Vibe toegang krijgt tot je systemen

Een paar dingen leg je vast voordat je de agent op je werkomgeving aansluit:

  • Kies nooit de gratis versie voor werkdata, omdat je invoer daar standaard in de training belandt. De betaalde lagen sluiten dat uit.

  • Lees de verwerkersovereenkomst en de lijst met subverwerkers, en controleer waar de verwerking feitelijk plaatsvindt.

  • Bepaal vooraf welke mailboxen, mappen en connectoren de agent mag bereiken, en sluit dossiers met vertrouwelijke stukken uit zolang die niet in een afgeschermde omgeving draaien.

  • Houd cliëntgegevens uit elke niet-afgeschermde toepassing, desnoods door vooraf te anonimiseren.

  • Toets de bewaartermijn van prompts en logs aan je geheimhoudingsplicht, en leg de keuze vast in je AI-beleid in plaats van het aan losse gebruikers over te laten.

De winst van een Europese aanbieder is reëel, maar ze ontstaat pas als die keuzes staan. Zonder die kaders verplaatst Vibe het probleem van Amerikaanse dataopslag naar de vraag wat een agent in je kantoor mag aanraken.

BijzonderStrafrecht.nl https://www.bijzonderstrafrecht.nl
Volgende

Nederlandse juristen verwachten dat AI het uurtarief terugdringt