AI Wetgeving en Beleid7 min lezen

AI AVG privacy bedrijf: werk AVG-proof met ChatGPT en Claude

Een vriend runt een klein advocatenkantoor. Hij typt zaakdetails in ChatGPT om snel juridische argumenten te ontdekken. Handig. Maar dan leest hij een artikel over AVG-boetes. Paniek. "Heb ik nou alle klantdossiers naar OpenAI gestuurd?" Hij slaapt er een week slecht van.

Veel ondernemers zitten in hetzelfde schuitje. AI AVG privacy bedrijf is een heet hangijzer. Wat mag wel? Wat mag niet? En wat doe je als je per ongeluk iets fout hebt gedaan? Dit artikel geeft antwoord. Concreet, per tool, met de regels op een rijtje.

Benieuwd hoe goed jij al met AI kunt werken? Doe de gratis AI Test op app247.ai/academy.

Waarom AI en AVG botsen

De AVG (Algemene Verordening Gegevensbescherming) bestaat sinds 2018. Deze wet beschermt persoonsgegevens van Europese burgers. AI-tools zoals ChatGPT en Claude verwerken enorme hoeveelheden data. Daar ligt het risico.

Als jij de naam, email of gezondheidsinfo van een klant in ChatGPT typt, verwerk je persoonsgegevens. Dan gelden alle AVG-regels. De klant moet weten wat er gebeurt. Je moet een goede reden hebben. En je moet kunnen bewijzen dat de data veilig is.

De Autoriteit Persoonsgegevens let hier scherp op. In september 2024 legde de AP een boete van 30,5 miljoen euro op aan Clearview AI voor het bouwen van een illegale database met gezichtsfoto's. Dat laat zien dat de toezichthouder AI-gerelateerde privacyschendingen actief aanpakt. Voor gewone bedrijven die klantdata onzorgvuldig in AI-tools laden, gelden dezelfde AVG-regels en kunnen boetes oplopen tot 20 miljoen euro of 4 procent van de wereldwijde omzet.

Goed nieuws: het is niet zo zwart-wit. Er zijn duidelijke regels. Als je die volgt, kun je AI gebruiken zonder problemen.

De gouden regel: scheid persoonlijk en zakelijk

De belangrijkste les eerst. Gebruik nooit je persoonlijke AI-account voor werk. En nooit je zakelijke account voor privéklusjes. Dit is niet een kleinigheid. Dit is de kern van AVG-compliant werken.

Een persoonlijk ChatGPT-account gebruikt jouw data om zichzelf te trainen. OpenAI mag alles wat je typt gebruiken om betere modellen te bouwen. Zet je daar klantdata in, dan staat die klantdata straks mogelijk in een ander antwoord. Dat mag niet.

Een zakelijk account werkt anders. Data wordt niet gebruikt voor training. Het bedrijf tekent een verwerkingsovereenkomst met jou. Ze garanderen beveiliging. Dit is het verschil tussen een paar euro per maand en een boete van vijf cijfers.

Regels per tool: wat mag wel en niet

Hier komen de grote AI-tools langs. Per tool: welke versie AVG-veilig is, en welke niet.

ChatGPT (OpenAI)

Veilig voor zakelijk gebruik: ChatGPT Team (vanaf 25 dollar per maand per gebruiker) en ChatGPT Enterprise. Deze versies slaan je data niet op voor training. Je krijgt een verwerkingsovereenkomst. Data blijft in aangewezen regio's.

Niet veilig voor zakelijk gebruik: ChatGPT Free en ChatGPT Plus (persoonlijke versie). OpenAI mag deze data gebruiken om modellen te verbeteren. Daarom horen hier geen klantgegevens in.

Praktisch voorbeeld: Een coach gebruikt ChatGPT Team om sessieverslagen te structureren. Cliëntnaam wordt vervangen door "cliënt A". Geboortedatum, adres en gevoelige info worden weggelaten. Dat is acceptabel gebruik.

Claude (Anthropic)

Veilig voor zakelijk gebruik: Claude Team (vanaf 25 dollar per gebruiker per maand, minimaal 5 gebruikers) en Claude Enterprise. Anthropic gebruikt conversaties niet voor training. Datacenters staan in de VS en in de EU. Je kunt een verwerkingsovereenkomst krijgen.

Niet veilig voor zakelijk gebruik: Claude Free. Data kan gebruikt worden voor modelverbetering. Dus geen zakelijke informatie in deze versie.

Praktisch voorbeeld: Een marketingteam gebruikt Claude Team om blogposts te schrijven. Ze uploaden nooit klantenlijsten. Wel algemene branche-info. Persoonlijke verhalen van klanten worden geanonimiseerd.

Google Gemini

Veilig voor zakelijk gebruik: Gemini for Workspace (onderdeel van Google Workspace Business). Valt onder de bestaande Google-verwerkingsovereenkomst. Data wordt niet gebruikt voor training.

Niet veilig voor zakelijk gebruik: Gemini in een gratis Google-account. Data kan geanalyseerd worden.

Praktisch voorbeeld: Een bouwbedrijf gebruikt Gemini for Workspace om offertes samen te vatten. Handig, want het werkt direct in Google Docs. Wel goed opletten: deel je documenten niet met collega's buiten je organisatie.

Microsoft Copilot

Veilig voor zakelijk gebruik: Copilot voor Microsoft 365 (met zakelijke licentie). Data blijft binnen je Microsoft-tenant. Geen training op je input. Privacy-instellingen volgen je M365-contract.

Niet veilig voor zakelijk gebruik: Copilot in een consumenten-account.

Kleinere AI-tools

Voor minder bekende tools: check altijd het privacybeleid. Zoek naar deze punten:

  • Gebruikt de tool jouw input voor modeltraining?
  • Waar staan de servers?
  • Is er een verwerkingsovereenkomst beschikbaar?
  • Welke data wordt gelogd en hoe lang?

Kun je geen duidelijke antwoorden vinden? Gebruik de tool dan niet voor zakelijke zaken.

Verwerkingsovereenkomst: wanneer en hoe

Een verwerkingsovereenkomst (VWO) is een contract tussen jouw bedrijf en een AI-leverancier. Daarin staat hoe de leverancier met jouw data omgaat. De AVG verplicht dit contract wanneer een externe partij persoonsgegevens voor je verwerkt.

Concreet: gebruik jij ChatGPT Team voor je klantenservice? Dan heb je een VWO nodig met OpenAI. Zonder zo'n overeenkomst mag je geen persoonsgegevens in de tool stoppen.

Hoe regel je een VWO? Bij grote leveranciers is het simpel. Log in op je zakelijke account. Ga naar instellingen. Zoek op "Data Processing Agreement" of "DPA". Download, lees, onderteken digitaal. Duurt 15 minuten.

Bij OpenAI vind je de DPA onder Billing. Bij Anthropic onder Organization Settings. Bij Google onder Admin Console. Bij Microsoft onder Admin Center.

Bewaar een kopie van de ondertekende overeenkomst. De Autoriteit Persoonsgegevens kan ernaar vragen. Zonder papier geen bewijs.

Wat mag wel in AI-tools (zelfs zakelijke)?

Zakelijk account hebben betekent niet: alles mag erin. Er zijn nog altijd grenzen. Deze zaken zijn in principe veilig om te gebruiken:

  • Algemene vragen over je vakgebied
  • Teksten zonder persoonsgegevens
  • Openbare documenten (van je website bijvoorbeeld)
  • Geanonimiseerde voorbeelden (namen vervangen door "Klant X")
  • Eigen marketingteksten en brainstormsessies

Kantoor Notariaat West gebruikt Claude Team om testamentteksten te verbeteren. Ze typen eerst de inhoud in het systeem, dan vervangen ze "de heer Jansen" door "de erflater". Geboortedatum wordt "geboren in 1960". Adressen worden weggelaten. Zo kan Claude helpen zonder dat echte persoonsgegevens de tool raken.

Wat mag nooit (ook niet met zakelijk account)?

Sommige data hoort domweg niet in welk AI-tool dan ook. Ook niet met alle contracten van de wereld. Deze categorieën zijn off-limits:

  1. Medische gegevens van identificeerbare personen. Artsen, zorgverleners: gebruik alleen speciaal gecertificeerde zorg-AI. Meer hierover in AI voor zorgverleners: administratie en verslaglegging.
  2. Strafrechtelijke data. Advocaten: geen zaakinformatie over cliënten. Zie ons artikel AI voor advocaten: juridische documenten en research voor de juiste aanpak.
  3. Financiële gegevens op persoonsniveau. Bankrekeningen, saldi, IBAN in combinatie met namen.
  4. Minderjarigen. Informatie over kinderen onder 16 vraagt extra bescherming.
  5. Gevoelige persoonsgegevens. Religie, politieke voorkeur, gezondheid, seksuele geaardheid.

Voor deze categorieën bestaan speciale AI-tools die aan zwaardere eisen voldoen. Vaak duurder. Altijd met strengere contracten. Voor normale taken niet nodig, voor deze data wel.

Wat doe je bij een datalek?

Stel: je ontdekt dat een medewerker een complete klantenlijst in ChatGPT Free heeft gezet. Wat nu?

Stap één: blijf rustig. Fouten gebeuren.

Stap twee: probeer de schade te beperken. Log in op het account. Verwijder de conversatie. Bij ChatGPT kun je chats permanent wissen.

Stap drie: beoordeel of het een datalek is. Ging het om gevoelige info? Over veel mensen? Dan is melding bij de Autoriteit Persoonsgegevens verplicht. Binnen 72 uur.

Stap vier: informeer de betrokken personen als er hoog risico is voor hun rechten. Een lijst met emailadressen die in een AI-tool belandde? Meld het. Een anonieme analyse van klanttevredenheid? Waarschijnlijk geen melding nodig.

Stap vijf: leg alles vast. Wat gebeurde er, wanneer, wat deed je. Bewaar dit in je register van datalekken. Dit is AVG-verplicht, ook voor kleine bedrijven.

Praktische AVG-checklist voor AI

Doorloop deze zes punten. Kun je overal "ja" zeggen? Dan zit je goed.

  1. Alle medewerkers gebruiken zakelijke AI-accounts, geen privé-accounts.
  2. Je hebt verwerkingsovereenkomsten getekend met alle AI-leveranciers.
  3. Je AI-beleid beschrijft welke data wel en niet in AI mag.
  4. Je privacyverklaring vermeldt dat je AI gebruikt voor bepaalde taken.
  5. Er is een meldpunt voor incidenten, bekend bij het team.
  6. Training over AI en AVG gebeurt minimaal een keer per jaar.

Veelgestelde vragen

1. Mag ik de naam van een klant in ChatGPT zetten voor een mail?

Met een zakelijk account en een verwerkingsovereenkomst: ja, voor één mail. Maar beter: typ "Geachte [naam klant]" en vul de naam handmatig in. Dan loopt de naam nooit door een externe tool. Veiliger en simpeler.

2. Is Europese hosting verplicht voor AI-tools?

Niet strikt. Wel moet er een geldige grondslag zijn voor doorgifte naar landen buiten de EU. De meeste grote leveranciers hebben dit geregeld via Standard Contractual Clauses. Check dit in de DPA.

3. Wat als mijn team toch een privé-account gebruikt?

Grijp direct in. Laat iedereen overstappen naar zakelijke accounts. Controleer of er al data in privé-accounts staat. Verwijder die. Leg een waarschuwing vast in het AI-beleid. Bij herhaling: officiële maatregelen.

Veilig AI gebruiken in jouw bedrijf

Zie ook ons artikel EU AI Act 2026: wat betekent het voor jouw bedrijf? voor de bredere juridische context.

AI en privacy zijn verenigbaar. Maar het vraagt keuzes. Welke tools, welke data, welke contracten. Verkeerd kiezen kost je duizenden euro's. Goed kiezen levert je tijd en concurrentievoordeel op.

Onze cursus AI voor C-Levels (€997) behandelt dit in module 3 uitgebreid. Je leert welke leveranciers AVG-compliant werken. Je krijgt een template-verwerkingsovereenkomst. En een stappenplan voor datalekken.

Plus: live Q&A's met een gespecialiseerde privacyjurist. Stel je vragen over jouw specifieke situatie. Geen algemene antwoorden, maar concreet advies op maat.

Eerst weten waar je staat? Doe de gratis AI Test op app247.ai/academy. De test geeft je direct inzicht in je kennislacunes rond AI en privacy.

Meer uit AI Wetgeving en Beleid

EU AI Act 2026 Nederland: wat betekent het voor jouw bedrijf?

De EU AI Act geldt vanaf augustus 2026. Ontdek wat je moet doen, welke regels gelden en download de checklist voor je bedrijf.

AI beleid bedrijf opstellen: kant-en-klaar template (2026)

Stel in 1 uur een AI beleid op voor je bedrijf. Kant-en-klaar template met alle onderdelen die de AI Act vereist.

AI geletterdheid verplicht: waarom het sinds 2025 moet

AI-geletterdheid is sinds februari 2025 verplicht volgens de AI Act. Ontdek wat het inhoudt, wie het moet doen en hoe je het regelt.

Benieuwd hoe goed jij al met AI kunt werken?

Doe de gratis AI Test. 20 vragen, 5 minuten, direct je score.

Doe de gratis AI Test