AI en Privacybeleid: AVG-compliant AI Gebruiken in Nederland
AI-tools verwerken data. Soms ook persoonsgegevens van jouw klanten of medewerkers. De AVG (GDPR) stelt strikte eisen aan hoe je dit mag doen. Praktische gids voor Nederlandse ondernemers die AI AVG-compliant willen inzetten.
Wat mag je NOOIT invoeren in AI-tools?
Zonder verwerkersovereenkomst mag je het volgende nooit invoeren in externe AI-tools: BSN-nummers, medische gegevens, financiële rekeninggegevens, wachtwoorden of inloggegevens, namen gecombineerd met contactgegevens van klanten, en bedrijfsgeheimen of intellectueel eigendom. Dit geldt ook voor gratis versies van bekende tools.
Verwerkersovereenkomst: dit moet je regelen
Een DPA (Data Processing Agreement) is verplicht als je een externe verwerker (zoals een AI-aanbieder) persoonsgegevens laat verwerken. De DPA regelt: welke data wordt verwerkt, voor welk doel, welke beveiligingsmaatregelen gelden, hoe lang data wordt bewaard en waar data is opgeslagen. De meeste zakelijke AI-abonnementen bieden een standaard DPA aan — accepteer deze en bewaar een kopie.
EU-dataresidentie: waar staat jouw data?
Voor maximale AVG-compliance wil je dat data in de EU wordt verwerkt. Microsoft Azure OpenAI, Google Cloud EU-regio's en AWS EU-regio's bieden dit. De standaard consumentenversies van ChatGPT en Claude slaan data op in de VS — acceptabel met de juiste DPA, maar EU-residentie geeft extra zekerheid.
Praktijkvoorbeeld
Een zorginstelling in Nijmegen wil AI inzetten voor het samenvatten van patiëntnotities. Dit valt onder bijzondere persoonsgegevens (medisch), waarvoor de strengste AVG-regels gelden. Oplossing: ze kiezen voor Microsoft Azure OpenAI met EU-dataresidentie, sluiten een DPA en Verwerkersovereenkomst af, laten een Data Protection Impact Assessment (DPIA) uitvoeren door een externe privacy-officer (€2.500), en trainen medisch personeel in veilig AI-gebruik. Totale compliance-investering: €4.000. Vermeden boete-risico: miljoenen.
Veelgestelde vragen
Mag ik klantgegevens invoeren in ChatGPT?
Alleen als je een Data Processing Agreement (DPA/verwerkersovereenkomst) hebt afgesloten met OpenAI. Dit kan via een ChatGPT Team- of Enterprise-account. Met een DPA mag je klantdata verwerken, maar je blijft als verwerkingsverantwoordelijke verantwoordelijk voor naleving van de AVG.
Wat is een verwerkersovereenkomst voor AI-tools?
Een verwerkersovereenkomst (DPA) is een juridisch contract tussen jou (verwerkingsverantwoordelijke) en de AI-aanbieder (verwerker). Hierin staan afspraken over datagebruik, beveiliging, bewaartermijnen en subverwerkers. Grote AI-aanbieders bieden standaard DPA's aan voor zakelijke accounts.
Welke AI-aanbieders bieden een AVG-conforme verwerkersovereenkomst?
Microsoft (Copilot/Azure OpenAI), Google (Gemini Workspace), OpenAI (ChatGPT Team/Enterprise) en Anthropic (Claude for Business) bieden allemaal DPA's aan. Controleer ook of data in de EU wordt opgeslagen — dat is voor AVG-compliance een vereiste bij verwerking van EU-persoonsgegevens.
Wat zegt de Autoriteit Persoonsgegevens over AI?
De AP heeft richtlijnen gepubliceerd: AI-systemen die persoonsgegevens verwerken vallen volledig onder de AVG. De AP heeft in 2024 meerdere onderzoeken uitgevoerd naar AI-gebruik door bedrijven. Aandachtspunten: rechtmatige grondslag voor verwerking, transparantie naar betrokkenen en bewaring van data niet langer dan nodig.
Moet ik klanten informeren dat AI hun data verwerkt?
Ja, als je AI inzet om persoonsgegevens van klanten te verwerken, moet je dit vermelden in je privacyverklaring. Beschrijf welke AI-tools je gebruikt, voor welk doel en welke categorieën data worden verwerkt. Bij geautomatiseerde besluitvorming (bijv. AI beslist over kredietverstrekking) gelden extra transparantievereisten.
Wekelijks de beste AI-inzichten in je inbox
Elke week nieuws over AI voor Nederlandse ondernemers. Gratis.
Schrijf je gratis in →