Uw medewerker voert klantdata in ChatGPT — dit is wat de AVG zegt
Uw medewerker schrijft een offerte in ChatGPT en typt de naam van de klant erin. Onschuldig? Juridisch gezien niet. Vanaf dat moment verwerkt u persoonsgegevens bij een externe AI-aanbieder. De AVG stelt daar duidelijke eisen aan — eisen waaraan de meeste MKB-bedrijven op dit moment niet voldoen.
Wat zegt de AVG over AI-gebruik?
De AVG (Algemene Verordening Gegevensbescherming) vereist dat u als verwerkingsverantwoordelijke controle heeft over alle persoonsgegevens die u verwerkt. Zodra u persoonsgegevens doorgeeft aan een derde partij — zoals OpenAI — bent u verplicht een verwerkersovereenkomst (DPA) met die partij te sluiten.
Dat geldt ook als u "gratis" gebruik maakt van een tool. De gegevens die u invoert zijn en blijven uw verantwoordelijkheid.
💡 Persoonsgegevens zijn niet alleen namen. Ook e-mailadressen, functietitels, telefoonnummers en zelfs herkenbare omschrijvingen ("de eigenaar van de bakkerij op de hoek") vallen eronder.
Wanneer is er sprake van een overtreding?
U overtreedt de AVG als één van de volgende situaties van toepassing is:
- U heeft geen verwerkersovereenkomst met de AI-aanbieder
- De AI-aanbieder verwerkt data buiten de EU zonder passende waarborgen
- Uw privacyverklaring vermeldt het AI-gebruik niet
- U heeft medewerkers niet geïnformeerd over de grenzen van AI-gebruik
De Autoriteit Persoonsgegevens (AP) handhaaft actief. Boetes beginnen bij €10.000 voor kleine overtredingen en kunnen oplopen tot €20 miljoen of 4% van de wereldomzet.
Heeft OpenAI een verwerkersovereenkomst?
Ja — maar alleen als u de zakelijke versie gebruikt. OpenAI biedt een Data Processing Agreement (DPA) aan voor ChatGPT Team en ChatGPT Enterprise. Bij de gratis versie of ChatGPT Plus heeft u geen DPA, en mag u geen persoonsgegevens van klanten invoeren.
Hetzelfde geldt voor Google Gemini (werkversie via Google Workspace vereist), Microsoft Copilot (via Microsoft 365 zakelijk), en Claude van Anthropic (via de API of Teams-versie).
⚠️ Gratis versies van AI-tools zijn in de meeste gevallen niet AVG-compliant voor zakelijk gebruik met klantdata. Train uw medewerkers om dit onderscheid te kennen.
Wat moet u concreet doen?
- Inventariseer welke AI-tools uw medewerkers gebruiken
- Schakel over naar zakelijke versies met DPA, of verbied klantdata-invoer in gratis tools
- Sluit verwerkersovereenkomsten af met alle AI-aanbieders
- Voeg AI-gebruik toe aan uw verwerkersregister
- Update uw privacyverklaring zodat AI-verwerking vermeld staat
- Informeer medewerkers via een kort AI-reglement
Wilt u dit in één keer geregeld hebben? AIveilig.com levert alle benodigde documenten op basis van uw specifieke situatie — inclusief verwerkersovereenkomst, privacyverklaring en AI-reglement.
Weet u welke documenten u mist?
Doe de gratis scan en weet in 2 minuten precies waar uw AVG-risico zit rondom AI-gebruik.
Doe de gratis scan →