Mag ik klantdata invoeren in ChatGPT?

Nee, niet in de gratis consumentenversie. Dit schendt de AVG omdat OpenAI deze data standaard kan gebruiken voor modeltraining. Gebruik uitsluitend enterprise API-koppelingen met zero data retention en een afgesloten verwerkersovereenkomst.

Wat is een verwerkersovereenkomst en heb ik die nodig voor AI-tools?

Ja. Zodra u persoonsgegevens overdraagt aan een externe dienstverlener — ook een AI-provider — bent u op grond van de AVG verplicht een verwerkersovereenkomst (DPA) af te sluiten. OpenAI, Anthropic en Google bieden deze standaard aan voor zakelijke API-contracten.

Mogen persoonsgegevens buiten de EU worden verwerkt door AI-systemen?

Dat is toegestaan mits er een geldig overdrachtsmechanisme bestaat: Standard Contractual Clauses (SCC's) of een adequaatheidsbesluit van de Europese Commissie. De VS valt onder het EU-US Data Privacy Framework (DPF) seit 2023, maar juridische risico's blijven bestaan — sla data bij voorkeur in EU-regio's op.

Welke data mag een AI-chatbot op onze website verwerken?

De AI-chatbot mag data verwerken die nodig is voor de uitvoering van de dienst. Verwerk geen bijzondere categorieën (gezondheid, religie, biometrie) tenzij expliciet toestemming verkregen. Beperk retentie: verwijder conversatiedata na 30 tot 90 dagen.

Privacy & Data Compliance bij het Gebruik van LLM's

De Autoriteit Persoonsgegevens heeft in 2024 meerdere AI-providers onderzocht en constateert dat een aanzienlijk deel van Nederlandse ondernemingen persoonsgegevens verwerkt via AI-tools zonder afdoende juridische grondslag. De boetes die in de EU zijn opgelegd voor AI-gerelateerde AVG-overtredingen overstegen in 2024 gezamenlijk €420 miljoen. Dit dossier geeft directieteams een praktisch kader om AVG-compliant met AI te werken.

Het Kernonderscheid: Consumer Interface vs. Enterprise API

De meest fundamentele beslissing bij het gebruik van AI in uw organisatie is niet welk model u kiest — het is hoe u verbinding maakt.

Consumer interfaces (chat.openai.com, claude.ai, gemini.google.com) zijn ontworpen voor individueel gebruik. Data die u hier invoert valt standaard onder de gebruiksvoorwaarden van de consumentenversie: OpenAI behoudt zich het recht voor modeltraining te doen met data uit gratis accounts, Google doet hetzelfde. Het invoeren van klantgegevens — zelfs beperkte informatie zoals namen en e-mailadressen — in deze interfaces is een AVG-overtreding.

Enterprise API-koppelingen werken fundamenteel anders:

Data wordt niet gebruikt voor modeltraining (zero training)
Data wordt na 30 dagen verwijderd van de servers (OpenAI API, Anthropic API)
Er is een verwerkersovereenkomst (DPA) beschikbaar — vereist onder AVG artikel 28
Data wordt verwerkt in specifieke regio's die u kunt selecteren (bijv. EU West voor Azure OpenAI)

Conclusie: voor elke zakelijke toepassing waarbij klantdata de AI bereikt, is de enterprise API-route niet optioneel — het is de enige legale route.

De Vier AVG-Grondslagen die Relevant Zijn bij AI

Voordat u persoonsgegevens verwerkt via een AI-systeem, moet u vaststellen op welke rechtsgrond u dat doet. De vier meest relevante grondslagen:

1. Uitvoering van een overeenkomst (artikel 6 lid 1 sub b) Wanneer de verwerking noodzakelijk is voor de levering van uw dienst aan de klant. Een AI-agent die een klantvraag beantwoord en daarvoor het klantnummer raadpleegt valt hieronder — mits de klant redelijkerwijs kan verwachten dat dit gebeurt.

2. Gerechtvaardigd belang (artikel 6 lid 1 sub f) Voor interne automatisering waarbij geen directe klantrelatie vereist is. Vereist altijd een belangenafweging: het belang van uw organisatie vs. het privacybelang van de betrokkene. Documenteer deze afweging.

3. Wettelijke verplichting (artikel 6 lid 1 sub c) Wanneer de verwerking voortvloeit uit een wet of regelgeving. Relevant bij AI-tools voor AML-checks, boekhoudkundige verplichtingen of arbeidsrechtelijke administratie.

4. Toestemming (artikel 6 lid 1 sub a) De zwakste grondslag voor zakelijke toepassingen: toestemming moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn. Bij een klantrelatie is toestemming zelden "vrij" gegeven. Vermijd als primaire grondslag voor AI-verwerkingen.

Verwerkersovereenkomsten: Checklist

Bij elke AI-tool die persoonsgegevens verwerkt namens uw organisatie, bent u de verwerkingsverantwoordelijke en is de AI-provider de verwerker. AVG artikel 28 verplicht u een verwerkersovereenkomst (DPA) af te sluiten. Controleer minimaal:

Doel van verwerking: Uitsluitend voor de overeengekomen dienstverlening
Instructierecht: U bepaalt hoe data wordt verwerkt, niet de provider
Subverwerkers: De provider mag subverwerkers inschakelen, maar u moet een lijst ontvangen en bezwaar kunnen maken
Verwijdering: Data wordt verwijderd of teruggegeven na afloop van de overeenkomst
Beveiligingsmaatregelen: Versleuteling in transit en at rest, toegangsbeheer, logging
Incidentmelding: De verwerker meldt datalekken binnen 72 uur bij u (zodat u de AP kunt informeren)
Auditrecht: U heeft het recht de verwerker te auditen of een certificeringsrapport op te vragen

OpenAI, Anthropic en Google bieden standaard DPA's aan via hun enterprise portals. Accepteer nooit de consumentenvoorwaarden als basis voor zakelijke verwerking.

Datalocatie: EU vs. Niet-EU

Standaard verwerken de grote AI-providers data in de Verenigde Staten. Dat is niet per se verboden, maar vereist aanvullende maatregelen:

Standard Contractual Clauses (SCC's): De meest gebruikte overdrachtsgrondslag. OpenAI en Anthropic nemen SCC's standaard op in hun DPA's. Controleer of dit ook in uw versie staat.

EU-regio's: Zowel Azure OpenAI als Google Vertex AI bieden EU-gehoste opties waarbij data de EU niet verlaat. Voor gevoelige sectoren (zorg, financiën, recht) is dit de aanbevolen route.

Verwerkingsregister: Op grond van AVG artikel 30 moet u alle verwerkingen documenteren. AI-tools met toegang tot persoonsgegevens horen in dit register thuis. Controleer elk half jaar of alle entries nog actueel zijn.

Bijzondere Categorieën en Absolute Grenzen

Bijzondere categorieën persoonsgegevens (AVG artikel 9) — waaronder gezondheidsdata, ras, geloofsovertuiging, seksuele geaardheid en biometrische data — mogen nooit zonder expliciete toestemming worden ingevoerd in AI-systemen.

Concrete verboden:

Een AI-chatbot voor een zorginstelling die patiëntsymptomen verwerkt via een publieke API
Een HR-screeningstool die sollicitanten beoordeelt op leeftijd of etniciteit (verboden onder zowel AVG als EU AI Act)
Een sentiment-analysetool die medewerkers-e-mails scant op stress of emotie zonder medeweten

Voor de zorgsector geldt aanvullend de NEN 7510 (informatiebeveiliging in de zorg) en zijn er specifieke vereisten rondom AVG artikel 35 (DPIA-verplichting voor hoog-risico verwerkingen).

Data Protection Impact Assessment (DPIA)

Een DPIA is verplicht wanneer een verwerking "waarschijnlijk een hoog risico" inhoudt voor betrokkenen (AVG artikel 35). Dit is vrijwel altijd het geval bij:

AI-systemen die profiling uitvoeren op klanten of medewerkers
Geautomatiseerde besluitvorming met rechtsgevolgen (kredietbeoordelingen, HR-beoordelingen)
Grootschalige verwerking van gevoelige data
Verwerking via biometrische identificatie

Een DPIA documenteert: de aard van de verwerking, de noodzaak en proportionaliteit, de risico's voor betrokkenen, en de mitigerende maatregelen. De Autoriteit Persoonsgegevens biedt een standaard DPIA-model voor Nederlandse organisaties.

Praktische vuistregel: als uw AI-tool beslissingen neemt die de klant raken en die niet makkelijk te corrigeren zijn — voer een DPIA uit.

Praktisch Implementatieplan

Stap 1 — AI-tool inventarisatie (week 1-2) Maak een lijst van alle AI-tools die binnen uw organisatie worden gebruikt, inclusief schaduwgebruik door medewerkers. Categoriseer per tool: welke data verwerkt het, waar wordt het gehost, bestaat er een DPA?

Stap 2 — Risicoranking (week 2-3) Rangschik de tools op risico: consumer interface zonder DPA is direct risico; enterprise API met DPA en EU-hosting is laag risico. Elimineer of vervang de hoog-risico tools als eerste prioriteit.

Stap 3 — DPA-afsluiting (week 3-6) Sluit voor elke resterende tool een verwerkersovereenkomst af. Bewaar de getekende documenten in uw verwerkingsregister.

Stap 4 — Beleid en training (week 4-8) Stel een organisatiebreed AI-gebruik beleid op: welke tools zijn goedgekeurd, welke data mag erdoor, wat is verboden. Train alle medewerkers die met klantdata werken.

Stap 5 — Periodieke review (kwartaalbasis) Herhaal de inventarisatie elk kwartaal. AI-tools veranderen snel — voorwaarden worden bijgewerkt, nieuwe tools worden geadopteerd. Maak dit een standaard agendapunt voor de DPO of privacy officer.

Conclusie: Compliance als Fundament, Niet als Obstakel

AVG-compliance bij AI is geen rem op innovatie — het is een fundament voor verantwoorde adoptie. Organisaties die nu een solide privacy-architectuur bouwen, zijn beter gepositioneerd voor de uitbreidende eisen van de EU AI Act en vermijden de reputatieschade van een datalek.

De kernregel: gebruik uitsluitend enterprise API-koppelingen voor klantdata, sluit verwerkersovereenkomsten af, documenteer uw verwerkingen, en beperk data tot wat strikt noodzakelijk is. Dat is niet ingewikkeld — het is discipline.