AI en AVG gaan prima samen, zolang je weet welke gegevens je wél en niet in een AI-tool invoert. De kern is simpel: zodra je persoonsgegevens van klanten, patiënten of medewerkers in een chatbot plakt, val je onder de privacywetgeving. In dit artikel lees je hoe je AI veilig gebruikt met bedrijfsgegevens, welke risico's gratis chatbots hebben en welke afspraken je vandaag nog kunt maken.
Wat de AVG betekent voor je AI-gebruik
De Algemene Verordening Gegevensbescherming (AVG) gaat over de verwerking van persoonsgegevens: alle informatie waarmee je een persoon direct of indirect kunt herkennen. Denk aan namen, e-mailadressen, telefoonnummers, klantdossiers en personeelsgegevens. Op het moment dat je zulke gegevens in een AI-tool zoals ChatGPT, Copilot of Gemini invoert, verwerk je persoonsgegevens via een externe partij. En dat brengt verplichtingen met zich mee.
De belangrijkste vuistregel rond AI en AVG is dat je gegevens alleen mag delen met een verwerker als daar een wettelijke grondslag voor is én een verwerkersovereenkomst (DPA) op zijn plaats is. Voer je per ongeluk gevoelige gegevens in een tool zonder zulke afspraken, dan is er vaak sprake van een datalek dat je in veel gevallen moet melden bij de Autoriteit Persoonsgegevens en bij de betrokkenen.
Waarom gratis AI-chatbots een privacyrisico zijn
De Autoriteit Persoonsgegevens (AP) waarschuwt expliciet dat het gebruik van AI-chatbots tot datalekken kan leiden. De toezichthouder ontving meldingen van bedrijven waar medewerkers persoonsgegevens in een chatbot invoerden. In één geval voerde een medewerker van een huisartsenpraktijk medische gegevens van patiënten in een AI-chatbot in, tegen de gemaakte afspraken in. Bij een telecombedrijf voerde een medewerker onder meer een bestand met adressen van klanten in. Medische gegevens en klantbestanden horen tot de gevoeligste categorieën die de wet juist extra beschermt.
Het probleem zit in twee dingen. Ten eerste slaan de meeste bedrijven achter de chatbots alle ingevoerde data op. Die gegevens belanden dan op de servers van techbedrijven, vaak zonder dat de medewerker dat doorheeft en zonder dat duidelijk is wat ermee gebeurt. Ten tweede gebeurt dit vaak met zogenoemde "shadow AI": medewerkers gebruiken op eigen initiatief gratis, publieke tools, terwijl het bedrijf misschien wel zakelijke licenties heeft. De gratis versies zijn juist het lastigst, omdat invoer daar standaard kan worden gebruikt om de modellen verder te trainen.
Zo gebruik je AI veilig met bedrijfsgegevens
Veilig werken met AI hoeft niet ingewikkeld te zijn. Met een paar concrete stappen breng je het grootste deel van de risico's terug.
- Kies het juiste abonnement. Bij de gratis versie en ChatGPT Plus kan je invoer standaard worden gebruikt voor het trainen van modellen. Bij zakelijke varianten als ChatGPT Team, Business en Enterprise gebeurt dat niet en is een verwerkersovereenkomst beschikbaar. ChatGPT Team kost ongeveer 25 dollar per gebruiker per maand bij jaarlijkse betaling (rond de 30 dollar bij maandelijkse betaling). Voor wie regelmatig met klant- of bedrijfsgegevens werkt, is dat de minimale basis.
- Maak een dataclassificatie op één A4. Bepaal welke gegevens wél in een AI-tool mogen, welke alleen geanonimiseerd, en welke nooit. Deel dit met je team en houd het concreet. Persoonsgegevens, medische gegevens en vertrouwelijke documenten horen standaard in de categorie "nooit zonder afspraken".
- Zet trainingsinstellingen uit en anonimiseer. Gebruik je toch een consumentenversie, schakel dan in de instellingen uit dat je gesprekken voor training worden gebruikt. Werk waar mogelijk met geanonimiseerde of verzonnen voorbeelden in plaats van echte klantdata.
- Maak duidelijke afspraken. De AP adviseert organisaties om helder vast te leggen of medewerkers chatbots mogen gebruiken en welke gegevens ze wel en niet mogen invoeren. Spreek desgewenst met de leverancier af dat ingevoerde data niet wordt opgeslagen.
Deze aanpak werkt net zo goed wanneer je AI inzet voor concrete taken. Wil je bijvoorbeeld je vergaderingen automatisch laten notuleren, kies dan een tool met een verwerkersovereenkomst en let op waar de opnames en transcripties worden bewaard. Datzelfde geldt als je een AI-chatbot voor je klantenservice inricht: bepaal vooraf welke klantgegevens het systeem mag verwerken.
Veilig notuleren en samenvatten zonder datalek
Automatisch notuleren is een van de populairste AI-toepassingen op kantoor, en juist daar gaat het vaak mis. Een vergadering bevat al snel namen, functies, oordelen over personen en soms gevoelige bedrijfsinformatie. Wie veilig wil notuleren, gebruikt geen gratis publieke chatbot waarin de opname zomaar belandt, maar een zakelijke tool met heldere afspraken over opslag en bewaartermijn. Controleer of de aanbieder de data binnen de Europese Unie verwerkt en of je een verwerkersovereenkomst kunt afsluiten. Zo combineer je het tijdsvoordeel van automatisch notuleren met de eisen die de AVG stelt.
AVG én AI-verordening: twee regimes tegelijk
Naast de AVG krijg je vanaf 2026 te maken met een tweede regime: de EU AI-verordening, ook wel de AI Act genoemd. De handhaving daarvan komt stapsgewijs op gang, met 2 augustus 2026 als belangrijke datum voor regels rond algemene AI-modellen en toezicht. De boetes onder de AI-verordening kunnen oplopen tot 35 miljoen euro of 7 procent van de wereldwijde jaaromzet.
Belangrijk om te begrijpen: de AVG en de AI-verordening staan náást elkaar. De AVG beschermt persoonsgegevens, de AI-verordening stelt eisen aan AI-systemen zelf en aan transparantie. In de praktijk betekent dit dat je voor veel toepassingen aan allebei moet voldoen. Een goede dataclassificatie en bewuste toolkeuze helpen je voor beide regimes tegelijk de basis op orde te brengen. Ook wanneer je AI gewoon inzet voor je administratie, loont het om vooraf te bedenken welke gegevens je deelt en met welke partij.
Veelgestelde vragen over AI en AVG
Mag ik klantgegevens in ChatGPT invoeren?
Alleen als je daar een grondslag voor hebt en met een zakelijke versie werkt waarbij je data niet voor training wordt gebruikt en een verwerkersovereenkomst beschikbaar is. In de gratis versie kun je dit beter helemaal niet doen, omdat de gegevens worden opgeslagen en mogelijk voor training gebruikt.
Hoe kan ik veilig notuleren met AI?
Gebruik een zakelijke notuleer- of AI-tool met een verwerkersovereenkomst, controleer waar de data wordt opgeslagen en stel een bewaartermijn in. Voer geen gevoelige persoonsgegevens in via een gratis publieke chatbot.
Is het invoeren van persoonsgegevens in een AI-chatbot een datalek?
Volgens de Autoriteit Persoonsgegevens kan dit een datalek zijn, zeker als het tegen de interne afspraken in gebeurt of zonder geldige grondslag. In veel gevallen ben je dan verplicht het te melden bij de AP en bij de betrokkenen.
Wat is shadow AI?
Shadow AI is het gebruik van niet-goedgekeurde AI-tools door medewerkers, bijvoorbeeld een gratis chatbot terwijl de organisatie eigenlijk zakelijke licenties heeft. Het is een belangrijke oorzaak van datalekken, omdat niemand zicht heeft op welke gegevens waar terechtkomen.
Welke afspraken moet ik met mijn team maken?
Leg vast of medewerkers AI-chatbots mogen gebruiken en welke gegevens wel en niet mogen worden ingevoerd. Een korte dataclassificatie en een interne richtlijn voorkomen de meeste incidenten.