Eighty
← Blog

Alibaba verbiedt Claude Code: wat jij als ondernemer hiervan kunt leren over veilig bouwen

5 juli 2026/4 min lezen/Door de Eighty redactie

Alibaba verbiedt Claude Code intern - wat zegt dat over jouw project?

Gisteren dook er een opvallend nieuwsbericht op: Alibaba heeft Claude Code intern geclassificeerd als 'high-risk software' en medewerkers mogen het niet meer gebruiken. De reden? Zorgen over wat er met interne bedrijfsdata gebeurt als je het door een externe AI-tool haalt.

Nu ben jij geen Alibaba. Maar het moment is goed om even stil te staan bij een vraag die veel makers overslaan: wat stuur ik eigenlijk naar Claude Code, en is dat slim?

Wat betekent dit voor jouw project?

Als je een SaaS bouwt, heb je al snel gevoelige data in je codebase: API-keys, database connection strings, klantnamen in voorbeelddata, of soms gewoon een .env-bestand dat je per ongeluk in de verkeerde map hebt staan.

Claude Code werkt lokaal en stuurt je code naar Anthropic's servers om te verwerken. Dat is prima voor de meeste situaties, maar het loont om bewust te zijn van wat je wél en niet deelt. Niet uit paniek, maar gewoon als goede gewoonte.

Vanavond kun je in 20 minuten je project opschonen zodat je met een gerust hart verder bouwt.

Hoe pak je het aan met Claude Code?

Stap 1: Controleer wat Claude Code kan zien

Claude Code leest standaard de bestanden in je project. Het eerste dat je doet is checken of gevoelige bestanden buiten bereik blijven.

Open je project en controleer of je een .gitignore hebt. Voeg hier ook een .claudeignore aan toe als je specifieke mappen wilt uitsluiten:

# Maak een .claudeignore aan in je project-root
touch .claudeignore

Zet hier in:

.env
.env.local
.env.production
**/*.pem
**/secrets/
prisma/seed-data/

Claude Code respecteert dit bestand en leest die mappen dan niet meer.

Stap 2: Vervang echte data door placeholders in je CLAUDE.md

Je CLAUDE.md is het geheugen van Claude Code voor jouw project. Gebruik het ook om aan te geven welke waarden nooit echte data zijn:

# CLAUDE.md

## Veiligheidsregels
- Gebruik NOOIT echte API-keys in code of voorbeelden
- Alle database-voorbeelden gebruiken placeholder-waarden: `DATABASE_URL=postgresql://user:password@localhost/dbname`
- Stripe keys in voorbeelden zijn altijd `sk_test_XXXXXXXX`
- Klantnamen in testdata zijn altijd fictief: Jan de Vries, Maria Jansen

## Omgeving
- Echte keys staan in `.env` (niet in git, niet gedeeld met Claude)
- Vraag mij nooit om de inhoud van `.env` te lezen of te printen

Door dit expliciet op te schrijven geef je Claude Code duidelijke context én train je jezelf om hier bewust mee om te gaan.

Stap 3: Gebruik deze prompt om je project te auditen

Kopieer dit letterlijk naar Claude Code:

Bekijk de bestanden in dit project en geef me een lijst van plekken waar mogelijk gevoelige informatie hard-coded staat. Denk aan: API-keys, wachtwoorden, echte e-mailadressen, echte namen van klanten, of database connection strings. Sla .env-bestanden over. Geef per gevonden plek aan: bestandsnaam, regelnummer, en wat je aanbeveelt als vervanging.

Claude Code loopt dan door je codebase en geeft je een concreet overzicht. Dit is hetzelfde soort audit dat een developer handmatig zou doen voor een code review.

Stap 4: Herstel gevonden problemen met een gerichte prompt

Stel dat Claude Code een hard-coded API-key vindt in lib/email.ts. Gebruik dan:

In lib/email.ts staat een hard-coded API-key op regel 12. Vervang die door een environment variable RESEND_API_KEY. Zorg ook dat je src/env.ts (of het bestaande validatiebestand) die variabele valideert bij opstarten, met een duidelijke foutmelding als hij ontbreekt.

Resultaat is zoiets:

// lib/email.ts - voor
const client = new Resend('re_abc123XYZ_echtekey');

// lib/email.ts - na
const client = new Resend(process.env.RESEND_API_KEY!);
// src/env.ts
if (!process.env.RESEND_API_KEY) {
  throw new Error('RESEND_API_KEY ontbreekt. Voeg hem toe aan je .env bestand.');
}

Stap 5: Zet een reminder in je workflow

Dit hoef je maar één keer te doen:

Voeg aan de README van dit project een sectie 'Voor nieuwe developers' toe met de volgende info: welke .env-variabelen nodig zijn, dat het .env.example bestand als template dient, en dat gevoelige data nooit in commits terecht mag komen. Maak ook een .env.example aan op basis van de variabelen die je in het project ziet, maar met lege of placeholder-waarden.

Zo zorg je dat ook toekomstige jij (of een eventuele medewerker) direct weet hoe het zit.

Wat te checken na afloop

  • Open je .gitignore en .claudeignore en controleer of .env en aanverwante bestanden erin staan
  • Voer git status uit en verifieer dat er geen .env-bestanden in je uncommitted changes zitten
  • Zoek met je editor naar de tekst sk_live, rk_live, of postgresql:// in je codebase om te checken of er nog echte waarden staan
  • Lees je CLAUDE.md na en controleer of de veiligheidsregels er helder in staan

Als dit allemaal klopt, kun je met een gerust hart verder bouwen. Alibaba of niet.


Wil je dit zelf leren?

Bij Eighty leer ik je Claude Code in het Nederlands gebruiken, van installatie tot een werkend SaaS-product. Wekelijks een nieuwe module, persoonlijke begeleiding.