Skip to content
GDPR Verplichtingen calendar_today Bijgewerkt: 7 april 2026 schedule 7 min leestijd

AI Tools en Privacy: Waar Moet je op Letten?

ChatGPT, Copilot, Midjourney - steeds meer ondernemers gebruiken AI-tools. Maar welke persoonsgegevens gaan erin? Wie is de verwerker? En heb je een verwerkersovereenkomst nodig? Dit artikel legt de GDPR-implicaties uit.

summarize Kernpunten
  • check_circle Alles wat je in een AI-tool invoert, kan worden gebruikt om het model te trainen, tenzij je dat expliciet uitschakelt
  • check_circle Als je persoonsgegevens invoert in een AI-tool, is dat een verwerking onder de GDPR
  • check_circle Italie verbood ChatGPT tijdelijk in 2023 vanwege privacyschendingen, een waarschuwing voor heel Europa
  • check_circle Je hebt een verwerkersovereenkomst nodig met je AI-provider als je persoonsgegevens via de tool verwerkt

AI is overal, ook in jouw bedrijf

Steeds meer ondernemers gebruiken AI-tools in hun dagelijkse werk. ChatGPT om e-mails te schrijven, Copilot om code te genereren, Midjourney voor afbeeldingen, of AI-functies in hun CRM om klantgegevens te analyseren. Handig, maar vanuit de GDPR (in Nederland en Belgie ook AVG genoemd) zitten er serieuze haken en ogen aan.

De kernvraag is simpel: welke gegevens gaan er in de AI-tool, en wat gebeurt ermee?

Wat maakt AI-tools anders?

Bij traditionele software (je boekhoudsysteem, je CRM) weet je redelijk precies waar je gegevens staan en wat ermee gebeurt. Bij AI-tools is dat anders:

  • Trainingsdata. Veel AI-modellen gebruiken de input van gebruikers om het model te verbeteren. Wat je invoert, kan dus worden verwerkt op manieren die je niet verwacht.
  • Ondoorzichtigheid. Je weet niet precies hoe het model met je gegevens omgaat. Waar worden ze opgeslagen? Hoe lang? Wie heeft er toegang?
  • Servers buiten de EU. De meeste grote AI-providers (OpenAI, Google, Microsoft) verwerken data op servers in de VS. Dat is een doorgifte van persoonsgegevens naar een derde land.

Case study: Italie verbiedt ChatGPT

In maart 2023 verbood de Italiaanse toezichthouder (Garante) ChatGPT tijdelijk. De redenen:

  • Geen geldige rechtsgrondslag voor het verzamelen en verwerken van persoonsgegevens om het model te trainen
  • Geen leeftijdsverificatie, waardoor minderjarigen zonder bescherming toegang hadden
  • Geen transparantie richting gebruikers over wat er met hun data gebeurde
  • Geen mogelijkheid voor betrokkenen om hun rechten uit te oefenen (inzage, verwijdering)

OpenAI heeft aanpassingen gedaan (privacybeleid verduidelijkt, mogelijkheid om trainingsdata uit te schakelen, leeftijdscontrole toegevoegd) en ChatGPT werd weer toegelaten. Maar het signaal was duidelijk: AI-tools moeten aan dezelfde GDPR-regels voldoen als elke andere software.

De Europese toezichthouders hebben sindsdien een gezamenlijke taskforce opgericht specifiek voor ChatGPT en vergelijkbare AI-diensten. Dit is geen eenmalig incident, het is het begin van structurele handhaving.

De drie vragen die je moet stellen

1. Welke persoonsgegevens gaan erin?

Wees eerlijk: typ je weleens een klachtenmail van een klant in ChatGPT om een antwoord te laten formuleren? Plak je sollicitatie-cv’s in een AI-tool om een samenvatting te maken? Voer je klantnamen en e-mailadressen in?

Zodra je herkenbare persoonsgegevens invoert, is dat een verwerking onder de GDPR. Het maakt niet uit dat je “alleen even snel” iets wilde laten herschrijven.

2. Wie is de verwerker?

De rolverdeling onder de GDPR is belangrijk:

  • Verwerkingsverantwoordelijke (jij): je bepaalt het doel en de middelen van de verwerking
  • Verwerker (de AI-provider): verwerkt gegevens namens jou

Bij de gratis versie van ChatGPT is OpenAI deels medeverantwoordelijke, omdat ze je input mogen gebruiken voor modeltraining. Bij ChatGPT Enterprise of de API-versie treedt OpenAI op als verwerker en bieden ze een Data Processing Agreement (DPA) aan.

Dit verschil is cruciaal. Bij een verwerker heb je controle via een verwerkersovereenkomst. Bij een medeverantwoordelijke is de situatie complexer en heb je minder grip op wat er met de gegevens gebeurt.

3. Is er een verwerkersovereenkomst?

Als je een AI-tool zakelijk gebruikt en er persoonsgegevens doorheen stuurt, heb je een verwerkersovereenkomst (DPA) nodig. Controleer:

  • Biedt de provider een DPA aan? (Enterprise-versies van ChatGPT, Copilot en Claude doen dit)
  • Waar worden de gegevens verwerkt? (EU of VS?)
  • Kan de provider de data gebruiken voor training? (Zo ja, dan is het geen zuivere verwerker)
  • Welke beveiligingsmaatregelen zijn er?

Praktische do’s en don’ts

Wat je WEL kunt doen

  • Gebruik AI voor generieke taken die geen persoonsgegevens vereisen: tekstsuggesties, vertalingen van standaardteksten, brainstormen over marketingideeen
  • Anonimiseer gegevens voordat je ze invoert: vervang namen door “Klant A”, verwijder e-mailadressen en telefoonnummers
  • Kies een zakelijk abonnement met DPA als je AI structureel inzet (ChatGPT Enterprise, Microsoft Copilot for Business, Claude for Work)
  • Schakel trainingsdata uit waar mogelijk; bij ChatGPT kun je in de instellingen aangeven dat je data niet mag worden gebruikt voor training
  • Documenteer je AI-gebruik in je verwerkingsregister
  • Stel een intern AI-beleid op dat medewerkers vertelt welke tools ze mogen gebruiken en welke gegevens ze wel en niet mogen invoeren. Lees onze praktische gids over het opstellen van een AI toelaatbaar gebruik beleid

Wat je NIET moet doen

  • Klantgegevens plakken in de gratis versie van ChatGPT of vergelijkbare tools
  • Sollicitatie-cv’s laten samenvatten door een AI-tool zonder DPA
  • Medische of financiele gegevens invoeren in welke AI-tool dan ook zonder strikte waarborgen
  • Geautomatiseerde besluiten nemen over personen (bijv. sollicitanten screenen) zonder menselijke tussenkomst en zonder DPIA
  • Aannemen dat het veilig is omdat “iedereen het gebruikt”; populariteit is geen rechtsgrondslag

Wat moet je nu doen?

  1. Inventariseer welke AI-tools je en je medewerkers gebruiken
  2. Beoordeel per tool of er persoonsgegevens in gaan
  3. Controleer of er een DPA beschikbaar is en of trainingsdata uitgeschakeld kan worden
  4. Documenteer het AI-gebruik in je verwerkingsregister
  5. Stel een intern AI-beleid op met duidelijke richtlijnen voor medewerkers
  6. Overweeg een DPIA als je AI inzet voor profilering, geautomatiseerde besluitvorming of grootschalige gegevensverwerking
auto_awesome Je GDPR-dossier automatiseren?

GDPRWise scant je website, detecteert verwerkingen en derde partijen, en helpt je om je volledige GDPR-dossier op te bouwen, inclusief verwerkingsregister en verwerkersovereenkomsten voor al je tools.

GW
GDPRWise Redactie

Dit artikel is opgesteld door het GDPRWise-team en gecontroleerd door onze privacy-experts. Wij controleren onze content regelmatig op actualiteit en juridische juistheid.