Ethiek & Beleid

Persoonsgegevens en AI, wat je wel en niet mag

· 6 min leestijd

Als je AI inzet in je organisatie, raak je bijna automatisch aan persoonsgegevens. En zodra dat gebeurt, is de AVG van toepassing. Vragen zoals mag ik klantnamen in ChatGPT plakken, mag ik onze eigen klantdata gebruiken om een model te fine-tunen en wie is eigenlijk verwerkingsverantwoordelijke als ik de API van OpenAI gebruik komen dagelijks voorbij. Hier een praktische gids.

AVG kijkt naar wat je doet, niet naar hoe je het noemt

Of je nu een simpele chatbot bouwt of een ingewikkelde agent deployed, de AVG trekt zich daar niets van aan. Wat telt is of persoonsgegevens worden verwerkt. Naam, e-mailadres, IP-adres, voice recording, foto, CV-tekst: allemaal persoonsgegevens. Zodra een AI-systeem daarmee werkt, gelden alle normale AVG-principes.

Dat betekent concreet dat je een rechtsgrond moet hebben (toestemming, gerechtvaardigd belang, uitvoering van een contract), een doelbinding, een bewaartermijn, en een beoordeling van noodzakelijkheid.

De drie belangrijkste vragen

  1. Mogen deze gegevens überhaupt voor dit doel gebruikt worden?
  2. Waar gaan de gegevens heen? (welke leverancier, welk land)
  3. Zijn betrokkenen geïnformeerd en hebben ze hun rechten (inzage, verwijdering)?

Wie die drie niet helder heeft, loopt risico. En toezichthouders worden in 2026 duidelijk strenger, zeker nu de EU AI Act erbovenop komt.

ChatGPT-achtige scenarios

Medewerkers die klantdata in publieke AI-tools plakken is in veel organisaties de eerste bron van AVG-overtredingen. Je stuurt persoonsgegevens naar een Amerikaanse leverancier, zonder verwerkersovereenkomst, zonder te weten of ze voor training worden gebruikt. Dat is in de meeste gevallen niet oké.

Oplossing: bied een enterprise-variant aan (OpenAI Enterprise, Claude Enterprise, Copilot Enterprise) waarin data niet voor training wordt gebruikt, er een verwerkersovereenkomst ligt, en de datahosting binnen de EU of onder passende waarborgen plaatsvindt. Train medewerkers wat ze wel en niet mogen invoeren.

Je eigen klantdata gebruiken om een model te trainen

Dit is een valkuil. Veel organisaties denken dat ze eigen klantdata vrij mogen inzetten omdat ze eigenaar zijn. Fout. Je bent dan verwerker van die data, niet eigenaar in de juridische zin. Voor gebruik moet je een rechtsgrond hebben die past bij die specifieke nieuwe toepassing.

Bij training komt de vraag bij doelbinding: als je klanten data afstonden voor onze dienstverlening, is AI-training vermoedelijk niet wat daarmee bedoeld werd. Expliciete toestemming of heronderhandelde voorwaarden zijn vaak nodig. Synthetische data of anonimisering (echte anonimisering, niet pseudoniemen) is een veiliger pad.

Wie is verwerkingsverantwoordelijke?

Als jij besluit waarom en hoe persoonsgegevens worden verwerkt, ben jij verwerkingsverantwoordelijke. De AI-leverancier is meestal verwerker. Daarmee heb jij de AVG-verplichtingen, en moet je een verwerkersovereenkomst sluiten met de leverancier.

Grote AI-aanbieders zoals Anthropic, OpenAI en Microsoft hebben standaard verwerkersovereenkomsten beschikbaar. Voor kleinere leveranciers moet je die vaak opvragen en beoordelen. Geen overeenkomst? Dan is het gebruik in principe onrechtmatig.

DPIA wanneer nodig

Bij AI-toepassingen met persoonsgegevens is vaak een Data Protection Impact Assessment (DPIA) verplicht. De Autoriteit Persoonsgegevens heeft geautomatiseerde besluitvorming en profilering op haar DPIA-lijst staan. Als je AI inzet voor kredietbeoordelingen, sollicitatieselectie of fraudedetectie, dan is een DPIA vrijwel altijd nodig.

Een DPIA is geen formaliteit, het is een systematische doorlichting van risico's voor betrokkenen. Doe het goed, en gebruik de uitkomst om de toepassing bij te sturen voor je lanceert.

Rechten van betrokkenen

Mensen hebben het recht op inzage, rectificatie, verwijdering, beperking, bezwaar en dataportabiliteit. Die gelden ook bij AI-systemen. Dat betekent concreet: kan je inzichtelijk maken welke persoonsgegevens in het systeem zitten? Kan je ze verwijderen als iemand daarom vraagt? Bij een getraind model is dat technisch lastig, maar AVG-juridisch niet onmogelijk: je moet een pad hebben.

Tip: verwerk zo min mogelijk persoonsgegevens in de kern van het model zelf. Houd ze in een aparte database die je op elk moment kan aanpassen. Dat is ook bekend als retrieval-augmented generation, wat naast privacy-voordelen ook nog eens kwaliteitsvoordelen heeft.

Wat je deze maand moet regelen

Geen paniek, wel actie. Een concrete checklist:

  • Inventariseer waar binnen jouw organisatie AI wordt gebruikt met persoonsgegevens
  • Check of er verwerkersovereenkomsten liggen met de AI-leveranciers
  • Schrijf een intern beleid over welke data wel en niet in AI-tools mag
  • Train medewerkers concreet, met voorbeelden uit hun werk
  • Loop DPIA-verplichtingen na voor alle hoog-risico toepassingen

De Autoriteit Persoonsgegevens publiceert steeds concretere guidance voor AI-gebruik, die is gratis en nuttig. Voor bredere strategische context over hoe ver jouw organisatie met AI wilt gaan, zie ons stuk over de vijf niveaus van AI-adoptie.

AVG compliance DPIA persoonsgegevens privacy verwerkersovereenkomst
Michael Groeneweg
Geschreven door Michael Groeneweg AI-consultant bij Digital Impact en oprichter van UnicornAI.nl

Michael is AI-consultant bij Digital Impact in Rotterdam en oprichter van UnicornAI.nl, waar hij AI-oplossingen en SaaS-integraties bouwt voor bedrijven. Al tien jaar ondernemer, en sinds een paar jaar weigert hij iets te doen waar geen AI in verweven zit, zakelijk noch prive, tot mild ongenoegen van zijn omgeving. Zijn reizen door de wereld zijn inmiddels een serie experimenten in wat AI wel en niet kan vanaf een terrasje in Lissabon of een treinstation in Tokio. Hij test obsessief nieuwe tools, bouwt oplossingen voor klanten, en vindt dat niemand de hype moet geloven, maar ook niemand meer kan doen alsof AI niet alles verandert. Houdt van goede koffie, lange vluchten en mensen die met AI bouwen in plaats van er alleen over praten.

Misschien vind je dit ook leuk

Ethiek & Beleid

YouTube-makers slepen Apple voor de rechter om AI-training
Ethiek & Beleid

EU-icoon voor deepfakes komt eraan, dit moet je weten
Ethiek & Beleid

Nederland heeft vier maanden voor de AI Act