AVG en AI: wat mag je wel en niet met klantgegevens
Inhoud
Je plakt even een klantmail in ChatGPT om een net antwoord te laten schrijven. Of je laat Claude een offerte samenvatten met namen, adressen en omzetcijfers erin. Handig, snel, en precies het moment waarop de AVG om de hoek komt kijken. Want zodra er persoonsgegevens in een AI-tool gaan, ben je verantwoordelijk voor wat daarmee gebeurt.
De meeste ondernemers in het MKB weten dat de AVG bestaat, maar niet waar de grens precies ligt bij AI. Mag je een klantnaam invoeren? Mag een offerte met bedrijfsgegevens erin? En maakt het uit of je ChatGPT, Claude of Microsoft Copilot gebruikt? Het antwoord is genuanceerder dan een simpel ja of nee.
In dit artikel zet ik de concrete do's en don'ts op een rij, leg ik uit wat de Autoriteit Persoonsgegevens hierover zegt, en geef ik je een werkbare manier om AI te blijven gebruiken zonder dat je een boete of een datalek riskeert.
Wat zegt de AVG eigenlijk over AI en klantgegevens
De AVG maakt geen apart hoofdstuk voor AI, maar de regels gelden onverkort. Zodra je gegevens verwerkt die te herleiden zijn naar een persoon, naam, e-mailadres, telefoonnummer, IP-adres of zelfs een combinatie van losse gegevens, ben je bezig met het verwerken van persoonsgegevens. Een AI-tool gebruiken om die data te verwerken is dus ook een verwerking in de zin van de wet.
Het kernpunt: jij als ondernemer bent de verwerkingsverantwoordelijke. De AI-aanbieder, bijvoorbeeld OpenAI of Anthropic, is dan een verwerker. Dat betekent dat je een verwerkersovereenkomst nodig hebt en moet weten waar die data terechtkomt, hoe lang die bewaard wordt en of die gebruikt wordt om modellen te trainen.
De Autoriteit Persoonsgegevens heeft hier de afgelopen jaren herhaaldelijk voor gewaarschuwd. Hun lijn is consistent: gooi geen persoonsgegevens in een AI-chatbot zonder dat je weet wat de aanbieder ermee doet. De AP wijst er specifiek op dat veel gratis consumentenversies van chatbots ingevoerde tekst kunnen gebruiken voor training, en dat is voor zakelijke klantdata een probleem.
ChatGPT vs Claude vs Copilot: wat is het verschil voor je privacy
Omdat de keuze van tool direct bepaalt wat je wel en niet mag, is een vergelijking op zijn plaats. De verschillen zitten niet in de slimheid van het model, maar in de afspraken eromheen.
ChatGPT (OpenAI)
In de gratis en Plus-versie kan je invoer standaard gebruikt worden voor training, al kun je dat in de instellingen uitzetten. Pas bij ChatGPT Enterprise en de Team-versie geeft OpenAI harde garanties: geen training op je data en een verwerkersovereenkomst. Voor het MKB betekent dit: de gratis versie alleen voor neutrale taken zonder klantdata, en zakelijke data uitsluitend in Team of Enterprise.
OpenAI verwerkt data deels in de Verenigde Staten. Dankzij het EU-US Data Privacy Framework is doorgifte juridisch mogelijk, maar je moet dat wel kunnen onderbouwen in je verwerkingsregister.
Claude (Anthropic)
Anthropic traint standaard niet op de inhoud van zakelijke gesprekken via de API en de zakelijke abonnementen. Dat maakt Claude voor veel MKB-bedrijven een prettige keuze als privacy zwaar weegt. Ook hier geldt: regel een verwerkersovereenkomst en check de actuele voorwaarden, want die kunnen veranderen.
Net als bij OpenAI loopt verwerking deels via Amerikaanse infrastructuur. De juridische basis is vergelijkbaar, dus de praktische afweging zit vooral in welke tool het beste bij je werk past.
Microsoft Copilot
Als je al met Microsoft 365 werkt, is Copilot interessant omdat de data binnen je bestaande Microsoft-omgeving blijft, vaak met dataverwerking in de EU. Voor bedrijven die toch al in dat ecosysteem zitten, is dat de minste extra rompslomp qua AVG. Wel moet je de licenties en instellingen goed nalopen, want niet elke Copilot-variant biedt dezelfde garanties.
De praktische do's en don'ts voor je dagelijkse werk
Theorie is leuk, maar je wilt weten wat je morgen wel en niet doet. Hier de concrete lijst die ik klanten in en rond Enschede meegeef.
Do: gebruik een zakelijke variant met verwerkersovereenkomst zodra er klantdata in het spel komt. Do: anonimiseer of pseudonimiseer waar het kan, vervang echte namen door 'klant A' en haal adressen en bedragen weg als die niet nodig zijn voor de taak. Do: zet datatraining uit in de instellingen en leg vast welke tool je voor wat gebruikt. Do: neem AI-gebruik op in je verwerkingsregister en in een korte interne richtlijn voor je team.
Don't: plak geen complete klantbestanden, ledenlijsten of medische of financiële gegevens in een chatbot. Don't: gebruik geen gratis consumentenversie voor zakelijke klantdata. Don't: laat medewerkers niet ongecontroleerd hun eigen AI-accounts gebruiken voor werkdata, want dan heb je geen zicht meer op waar data heen gaat. Don't: vertrouw niet blind op de output, een AI kan persoonsgegevens uit verschillende bronnen combineren tot iets wat je niet bedoeld had.
Zo regel je het zonder dat het een project wordt
Je hoeft hiervoor geen privacy-afdeling op te tuigen. Voor de meeste MKB-bedrijven volstaat een paar uur werk: kies een vaste zakelijke AI-tool, sluit de verwerkersovereenkomst af, zet training uit en schrijf één A4 met afspraken voor je team. Dat A4 is meteen je bewijs dat je er bewust mee omgaat, mocht de AP ooit vragen stellen.
Belangrijker dan perfectie is consistentie. Een team dat weet welke tool het mag gebruiken en welke data er niet in mag, voorkomt veruit de meeste problemen. De grootste risico's ontstaan namelijk niet door kwade wil, maar doordat iemand snel even iets in een gratis chatbot plakt zonder na te denken.
Wil je AI structureel inzetten, koppel het dan aan je bredere digitale aanpak. Wie nu zijn website, klantdata en tooling op orde heeft, kan straks veel makkelijker meebewegen met de EU-AI-Act en nieuwe regels.
Wat dit betekent voor jou
Mijn take: de AVG is geen reden om AI links te laten liggen, maar wel een reden om er volwassen mee om te gaan. Het verschil tussen veilig en risicovol zit zelden in het model en bijna altijd in de afspraken eromheen en in wat je medewerkers wel en niet invoeren. Kies een zakelijke variant van ChatGPT, Claude of Copilot, regel je verwerkersovereenkomst, zet training uit en schrijf één heldere richtlijn voor je team. Daarmee haal je de productiviteit binnen zonder de juridische risico's. Voor het Nederlandse MKB is dat geen luxe maar gewoon goed huisvaderschap over je klantdata: je klanten vertrouwen je hun gegevens toe, en dat vertrouwen houd je vast door bewust te kiezen waar die data heen gaat.
Werkt deze AI-ontwikkeling door in jouw bedrijf? een korte sparring boeken.
Mag ik klantgegevens in ChatGPT invoeren?
Alleen onder voorwaarden. In de gratis versie kan je invoer gebruikt worden voor training, dus dat is geen plek voor klantgegevens. Gebruik je ChatGPT Team of Enterprise met een verwerkersovereenkomst en training uitgezet, dan mag het mits je het opneemt in je verwerkingsregister en alleen de data invoert die je echt nodig hebt.
Wat zegt de Autoriteit Persoonsgegevens over AI-chatbots?
De Autoriteit Persoonsgegevens waarschuwt dat je geen persoonsgegevens in een AI-chatbot moet zetten zonder te weten wat de aanbieder ermee doet. Veel consumentenversies kunnen ingevoerde tekst gebruiken om modellen te verbeteren, en dat is voor klantdata onder de AVG niet toegestaan zonder de juiste afspraken.
Is Claude veiliger dan ChatGPT voor privacy?
Niet per definitie, maar er zijn verschillen. Anthropic traint standaard niet op de inhoud van zakelijke gesprekken via Claude, terwijl je dat bij ChatGPT in de consumentenversie zelf moet uitzetten. Voor beide geldt dat de zakelijke variant met verwerkersovereenkomst de juiste keuze is zodra er persoonsgegevens in het spel komen.
Hoe anonimiseer ik klantgegevens voordat ik AI gebruik?
Vervang echte namen door labels als klant A, haal e-mailadressen, telefoonnummers, adressen en bedragen weg die niet nodig zijn voor de taak, en geef alleen de context die het model echt nodig heeft. Hoe minder herleidbare data je invoert, hoe kleiner het AVG-risico.
Heb ik een verwerkersovereenkomst nodig voor AI-tools?
Ja, als je persoonsgegevens via een AI-tool verwerkt, is de aanbieder je verwerker en heb je een verwerkersovereenkomst nodig. Zakelijke varianten van ChatGPT, Claude en Microsoft Copilot bieden die. Zonder zo'n overeenkomst voldoe je niet aan de AVG.
Wat verandert er met de EU-AI-Act voor het MKB?
De EU-AI-Act komt stapsgewijs en legt vooral transparantie-eisen op. Zet je AI in richting klanten, bijvoorbeeld een chatbot, dan moet je dat duidelijk maken. Voor het MKB is het verstandig nu al je AI-gebruik en je dataverwerking op orde te brengen, zodat je straks niet hoeft bij te sturen.