Wat mag u wel en niet met AI verwerken onder de AVG?
U heeft een AI-tool. Maar welke informatie mag u er eigenlijk wel en niet in stoppen? De AVG maakt onderscheid tussen gewone persoonsgegevens, bijzondere categorieën en zakelijke data. Hier is het praktische overzicht.
De basisregel: verwerk alleen wat noodzakelijk is
De AVG hanteert het principe van dataminimalisatie: u mag alleen persoonsgegevens verwerken die noodzakelijk zijn voor het doel. Dat betekent: twijfelt u of iets nodig is in uw AI-prompt? Laat het weg.
Wat mag u invoeren in AI-tools?
Zonder nadere voorwaarden mag u invoeren:
- Algemene zakelijke informatie (producten, processen, cijfers)
- Geanonimiseerde of gefictionaliseerde voorbeelden
- Uw eigen teksten en interne documentatie zonder persoonlijke verwijzingen
- Openbaar beschikbare informatie
- Code en technische documentatie
✓ Veilig voorbeeld: "Schrijf een e-mail om een klant te informeren over een vertraging in de levering van product X." — Geen persoonsgegevens, geen DPA vereist.
Wat mag u alleen met DPA en juiste grondslag invoeren?
Met een geldige verwerkersovereenkomst en een rechtmatige grondslag (zoals uitvoering van een overeenkomst of gerechtvaardigd belang) mag u:
- Klantnamen en contactgegevens voor directe communicatie
- Medewerkersinformatie voor HR-taken
- Zakelijke correspondentie met klanten
- Contracten en offertes met persoonlijke gegevens
Wat mag u nooit invoeren?
De AVG verbiedt verwerking van bijzondere categorieën persoonsgegevens tenzij u een expliciet wettelijke uitzondering kunt inroepen. U mag nooit invoeren:
- Gezondheidsgegevens van klanten of medewerkers
- Informatie over politieke opvattingen of religieuze overtuigingen
- Biometrische gegevens (foto's, stemopnames voor herkenning)
- Gegevens over strafrechtelijke veroordelingen
- BSN-nummers of andere identificerende nummers
- Gegevens van kinderen onder de 16 jaar
⚠️ Let op bij zorgbedrijven, HR-afdelingen en juridische dienstverleners: u verwerkt bijna zeker bijzondere categorieën. AI-gebruik vereist hier extra voorzichtigheid of is mogelijk niet toegestaan zonder specifieke maatregelen.
Praktische checklist voor uw medewerkers
Stel uw medewerkers de volgende drie vragen vóór ze data in een AI-tool invoeren:
- Staan er namen, adressen of andere identificeerbare gegevens in?
- Is er een DPA afgesloten met deze AI-aanbieder?
- Valt de data onder bijzondere categorieën?
Als het antwoord op vraag 1 ja is, maar niet op vraag 2: stop. Als vraag 3 ja is: altijd stoppen en advies inwinnen.
Weet u of uw AVG-documentatie op orde is?
Doe de gratis scan en ontdek welke stappen u nog moet zetten voor volledige AVG-compliance rondom AI.
Doe de gratis scan →