AVG en AI: wat mag wel en wat mag niet?

26 maart 20267 min lezen

"Mogen we dit eigenlijk wel doen met AI?" Het is de vraag die we het vaakst horen van MKB-ondernemers. En begrijpelijk — de AVG is complex, de boetes zijn hoog, en AI maakt het er niet eenvoudiger op.

Maar laten we beginnen met het goede nieuws: AI gebruiken is niet automatisch in strijd met de AVG. Het hangt af van wát je doet, met wélke data, en hóe je het doet.

In dit artikel lopen we de belangrijkste scenario's langs en geven we je vijf vuistregels om AVG-compliant met AI te werken.

Scenario 1: Klantdata in ChatGPT plakken

Mag dat? Nee, niet zonder meer.

Wanneer je klantgegevens in ChatGPT of een vergelijkbare tool invoert, worden die data verwerkt door de aanbieder. In het geval van OpenAI worden je invoer standaard gebruikt om het model te verbeteren — tenzij je dit expliciet uitzet of de API-versie gebruikt.

Dat betekent: namen, e-mailadressen, telefoonnummers of andere persoonsgegevens van klanten horen niet in de standaard ChatGPT-interface. Je hebt immers geen verwerkersovereenkomst, en je klant heeft geen toestemming gegeven.

Het alternatief: Gebruik de enterprise-versie van AI-tools (zoals ChatGPT Enterprise, Azure OpenAI of Claude via de API), waar data niet wordt gebruikt voor training. Of — beter nog — anonimiseer je data voordat je het invoert. Vervang namen door "Klant A", verwijder contactgegevens, en werk met geanonimiseerde voorbeelden.

Scenario 2: AI voor HR-beslissingen

Mag dat? Ja, maar met strenge voorwaarden.

AI inzetten om cv's te screenen, kandidaten te rangschikken of zelfs automatisch af te wijzen is technisch mogelijk. Maar juridisch betreed je gevoelig terrein.

De AVG stelt dat mensen het recht hebben om niet onderworpen te worden aan volledig geautomatiseerde besluitvorming die hen significant raakt. Dat betekent: een AI mag cv's voorselecteren, maar een mens moet de uiteindelijke beslissing nemen.

Bovendien valt dit onder de AI Act als "hoog risico" — je hebt dus extra verplichtingen rondom transparantie, documentatie en menselijk toezicht.

De vuistregel: AI mag adviseren, een mens beslist. En de kandidaat moet weten dat AI een rol speelt in het proces.

Scenario 3: AI-gegenereerde content

Is dat persoonsgegevensverwerking? Meestal niet.

Als je AI gebruikt om een blogartikel te schrijven, een social media post te genereren of een presentatie te maken, verwerk je doorgaans geen persoonsgegevens. De AVG is hier niet direct van toepassing.

Maar let op: als je AI vraagt om een tekst te schrijven óver een specifiek persoon, of als je persoonsgegevens gebruikt als input voor de content, dan verwerk je wél persoonsgegevens. Denk aan gepersonaliseerde marketing-e-mails op basis van klantprofielen.

Scenario 4: AI voor data-analyse

Mag dat? Ja, mits je het goed inricht.

AI inzetten om patronen te herkennen in verkoopdata, klanttevredenheid te analyseren of trends te voorspellen is krachtig. Maar als die data persoonsgegevens bevat, gelden de AVG-regels.

De sleutel: anonimiseer of pseudonimiseer waar mogelijk. Als je de analyse kunt doen zonder individuele personen te kunnen identificeren, hoef je je veel minder zorgen te maken.

Scenario 5: AI-chatbot op je website

Mag dat? Ja, maar wees transparant.

Een AI-chatbot die klantvragen beantwoordt verwerkt mogelijk persoonsgegevens — namen, e-mailadressen, vragen over bestellingen. Zorg dat je privacyverklaring dit dekt, dat je een verwerkersovereenkomst hebt met de chatbot-aanbieder, en dat bezoekers weten dat ze met een AI praten.

5 vuistregels voor AVG-compliant AI-gebruik

Na al die scenario's, vijf regels die je altijd kunt volgen:

1. Gebruik geen persoonsgegevens in gratis AI-tools. Gratis versies van ChatGPT, Gemini en andere tools bieden onvoldoende garanties. Gebruik enterprise-versies of anonimiseer je data.

2. Sluit altijd een verwerkersovereenkomst af. Met elke AI-aanbieder die persoonsgegevens verwerkt. Geen overeenkomst? Niet gebruiken.

3. Informeer betrokkenen. Klanten, medewerkers en sollicitanten moeten weten als AI een rol speelt in hoe hun gegevens worden verwerkt. Neem het op in je privacyverklaring.

4. Houd een mens in de loop. Bij beslissingen die mensen raken — aanname, ontslag, kredietbeoordeling — moet altijd een mens de eindbeslissing nemen.

5. Documenteer alles. Welke tools gebruik je? Waarvoor? Welke data gaat erin? Wie is verantwoordelijk? Leg het vast. Bij een controle door de Autoriteit Persoonsgegevens wil je dit kunnen laten zien.

Angst is geen strategie

De AVG is geen reden om AI te vermijden. Het is een reden om AI bewust en verantwoord in te zetten. En eerlijk gezegd: de meeste MKB-toepassingen van AI vallen in de categorie "prima, mits je het netjes doet."

Waar het om gaat: weet wat je doet, bescherm de data van je klanten en medewerkers, en documenteer je keuzes. Dat is geen bureaucratie — dat is professionaliteit.

Wil je zeker weten dat jouw AI-gebruik AVG-compliant is? Laat het ons toetsen — we kijken er met frisse ogen naar.

Scenario 1: Klantdata in ChatGPT plakken

Scenario 2: AI voor HR-beslissingen

Scenario 3: AI-gegenereerde content

Scenario 4: AI voor data-analyse

Scenario 5: AI-chatbot op je website

5 vuistregels voor AVG-compliant AI-gebruik

Angst is geen strategie

Gerelateerde artikelen

Wat is een AI-governance framework (en waarom je er een nodig hebt)?

Wat is de AI Act en wat betekent het voor jouw bedrijf?

Lokale AI vs. cloud AI: wanneer kies je wat?