AI compliance 8 min leestijd Bijgewerkt 16 april 2026

AI en privacy: hoe werk je AVG-proof?

Plak nooit klantdata in ChatGPT. Dat is geen paranoia — 't is de wet. Hier is hoe je AI veilig inzet binnen AVG.

Laptop met privacy-schild symbool op scherm

Een medewerker plakt een Excel met 200 klantgegevens in ChatGPT om "even een analyse te doen". Klinkt onschuldig. Is 't niet. Dat is een AVG-schending, meldplicht bij de Autoriteit Persoonsgegevens, potentiële boete.

AI en privacy is geen randonderwerp. Het is waar elk bedrijf nu over na moet denken.

Wat zegt de AVG over AI?

De AVG maakt geen onderscheid tussen AI en andere data-verwerking. Als je persoonsgegevens verwerkt, gelden dezelfde regels, of je nou Excel, een database of ChatGPT gebruikt.

Voor AI-gebruik komt 't neer op drie dingen:

  1. Doel — waarom verwerk je deze data via AI? Is 't noodzakelijk?
  2. Grondslag — heb je toestemming, een contract, of ander rechtsgeldig argument?
  3. Beveiliging — blijft de data beveiligd tijdens 't gebruik?

Plus: als je data naar buiten de EU/EER stuurt, zijn er extra regels (adequaatheidsbesluiten, Standard Contractual Clauses).

Het probleem met consumer-AI

Gratis en persoonlijke ChatGPT/Claude/Gemini hebben een probleem: jouw gesprekken kunnen gebruikt worden voor training. Het staat in de voorwaarden. Dus:

  • Je plakt een klantgesprek in ChatGPT voor samenvatting
  • OpenAI kan dat gesprek in een volgend training-run opnemen
  • Over maanden kan een ander model datzelfde gesprek reproduceren

Voor de meeste use cases: geen probleem. Maar voor persoonsgegevens, medische data, juridische info, bedrijfsgeheimen? Hard nee.

De oplossing: zakelijke AI-tiers

Elke grote AI-provider heeft inmiddels een 'zakelijke' versie met privacy-waarborgen:

TierPrivacyPrijs/gebruiker/mnd
ChatGPT gratisData kan voor training gebruikt worden€ 0
ChatGPT PlusOptioneel opt-out€ 20
ChatGPT Team/EnterpriseGeen training op data, SOC 2€ 25–60
Claude ProGeen training op data€ 18
Claude Team/EnterpriseGeen training, audit logs€ 25–70
Azure OpenAI (API)EU-hosting mogelijk, geen trainingPay-per-use
Claude via AWS Bedrock EUEU-hosting, geen trainingPay-per-use

Voor zakelijk gebruik: altijd Team- of Enterprise-tier minimaal. De € 5-10/mnd extra is geen kostenverschil wat telt — 't verschil in privacy-risico is enorm.

Wat mag wel, wat mag niet?

Zonder extra maatregelen mag typisch wel:

  • Publieke informatie (teksten van je eigen website)
  • Geanonimiseerde data (namen, e-mailadressen vervangen door [NAAM], [EMAIL])
  • Geaggregeerde statistieken zonder herleidbaarheid
  • Algemene vragen over je industrie of processen
  • Interne documenten zonder persoonsgegevens

Zonder extra maatregelen mag typisch niet:

  • Klantgegevens met namen, e-mails, telefoonnummers
  • Medewerker-gegevens (salaris, evaluaties, gezondheidsinformatie)
  • Medische dossiers of gezondheidsdata (extra strenge categorie onder AVG)
  • Juridische documenten met persoonsgegevens
  • Bedrijfsgeheimen van klanten waarvoor je een NDA hebt getekend

Bij twijfel: anonimiseer de data voordat 't in de AI gaat. Naam wordt [PERSOON], e-mail wordt [EMAIL]. Herkent 't model de structuur, niet de persoon.

Een AI-beleid opstellen

Elk bedrijf dat AI gebruikt, heeft een intern beleid nodig. Kort kan. Aanbevolen onderdelen:

1. Goedgekeurde tools

"Wij gebruiken alleen ChatGPT Teams, Claude Teams, en GitHub Copilot Business." Duidelijke whitelist. Andere tools vereisen expliciete toestemming.

2. Data-classificatie

  • Groen (publiek, mag in elke AI-tool)
  • Geel (intern, alleen in goedgekeurde zakelijke tiers)
  • Rood (persoonsgegevens, medisch, financieel — NOOIT in AI zonder DPIA)

3. Verplichte training

Nieuw personeel krijgt 15-minuten sessie over wat wel/niet mag. Bestaand personeel: jaarlijkse refresh.

4. Melding- en incident-protocol

Wat te doen als er toch privacy-gevoelige data in een AI-tool is geplakt? Wie melden, welke stappen nemen, wanneer autoriteiten informeren.

5. Review-moment

Twee keer per jaar 't beleid herzien. AI-landschap verandert te snel voor jaarlijkse cycli.

Verwerkersovereenkomsten

Als je persoonsgegevens door een AI-provider laat verwerken, heb je een verwerkersovereenkomst (DPA, Data Processing Agreement) nodig. Grote providers (OpenAI, Anthropic, Google, Microsoft) hebben standaard-DPA's die je kunt ondertekenen.

Geen DPA = je mag geen persoonsgegevens verwerken. Simpel zo.

EU-hosting: de veiligste optie

Voor AVG-kritiek werk: kies AI-providers met hosting in de EU:

  • Claude via AWS Bedrock Frankfurt/Parijs — data blijft in EU, geen training, hoge beveiliging
  • Azure OpenAI in EU-regio's — vergelijkbaar, Microsoft-gehost
  • Mistral in eigen cloud — Frans bedrijf, EU-first
  • Self-hosted open-source (Llama, Mistral, DeepSeek) — data verlaat je infra niet

Extra kosten: typisch 10-30% duurder dan US-gehost. Voor privacy-kritiek werk: die meerkosten zijn minimaal vergeleken met boete-risico's.

DPIA voor AI-projecten

Bij grotere AI-implementaties met persoonsgegevens: een Data Protection Impact Assessment (DPIA). Dat is een formele risico-analyse. Verplicht bij "hoog risico"-verwerkingen, waar AI-gebruik vaak onder valt.

Kort: wat verwerk je, welke risico's, welke mitigaties, zijn de voordelen proportioneel met risico's. Voor grote projecten noodzakelijk, voor kleine overkill.

Samengevat

AI gebruiken binnen AVG is goed te doen. Het vereist bewustzijn, een helder beleid, en de juiste tools. Wat elk bedrijf minimaal moet doen:

  1. Zakelijke tier gebruiken, geen consumer-AI voor werkdata
  2. Duidelijk beleid opstellen: wat mag wel en niet
  3. DPA's ondertekenen met AI-providers
  4. Team trainen op goed gebruik
  5. Bij persoonsgegevens-verwerking: EU-hosting + eventueel DPIA

Dit is geen hinderpaal voor AI-gebruik. Het is fatsoenlijke praktijk die ook zonder AVG-verplichtingen aan te raden was.

Veelgestelde vragen

Kan ik mijn werknemers ChatGPT laten gebruiken?+

Ja, maar op een zakelijke tier (Team/Enterprise) en met duidelijke afspraken over welke data wel/niet. Gratis ChatGPT voor werk is een risico je niet moet lopen.

Wat als een medewerker toch klantdata plakt?+

Direct contact met je privacy-officer, interne evaluatie, mogelijk melding aan de Autoriteit Persoonsgegevens. Daarna training en beleid aanscherpen. Het is een incident, niet 't einde van de wereld, maar niet bagatelliseren.

Moet ik bezoekers informeren als ik een AI-chatbot gebruik?+

Ja — transparantie is een AVG-principe. Vermeld in je privacy-statement welke AI-tools je gebruikt en waarom. Voor chatbots: zichtbare indicator dat ze met AI praten, niet met een mens.

Kan AI zelf AVG-conform zijn?+

Nee, AVG is bedrijfsverantwoordelijkheid. Maar sommige AI-providers helpen compliance: EU-hosting, standaard DPA's, audit-logs, data-minimalisatie-features. Gebruik providers die serieus met privacy omgaan.

Wat met AI-training op mijn eigen data?+

Een custom model trainen op eigen data kan, maar vereist: expliciete AVG-grondslag, DPIA, waarschijnlijk pseudonimisatie. Dit is zwaarder werk dan gewoon RAG inzetten — voor de meeste bedrijven is RAG privacy-vriendelijker.

Deel dit artikel
LinkedIn ↗ X / Twitter ↗ Mail ↗
Meer lezen

Verwante artikelen

AI basis

Wat is een LLM eigenlijk? AI-basisbegrippen in gewone taal

Je hoort 't overal — LLM dit, GPT dat. Maar wat is 't nou écht? Geen filosofische beschouwing, wel een praktische uitleg in vijf minuten.

Lees → AI basis

10 AI-tools die ik dagelijks gebruik (en waarvoor)

Er zijn tienduizend AI-tools. Deze tien gebruik ik écht. Niet omdat ze hip zijn — omdat ze werken.

Lees → AI toepassingen

AI-agents uitgelegd: meer dan slimme chatbots

Een chatbot geeft antwoord. Een agent werkt voor je. Het verschil klinkt klein — de impact is enorm.

Lees →
Laten we praten

Vragen die je eigen project betreffen?

Elke call begint met luisteren. Vertel waar je staat, dan denken we samen verder.

Plan een call Of mail direct

Binnen 24u een reactie. Altijd persoonlijk.