Verwerkersovereenkomst met OpenAI: heeft u die?
De meeste Nederlandse bedrijven die ChatGPT gebruiken, hebben geen verwerkersovereenkomst met OpenAI. Dat is een directe overtreding van AVG artikel 28. Dit artikel legt uit wat een DPA is, wanneer u die nodig heeft en hoe u die afsluit.
Wat is een verwerkersovereenkomst?
Een verwerkersovereenkomst (ook wel DPA: Data Processing Agreement) is een contract tussen u als verwerkingsverantwoordelijke en een verwerker — een partij die namens u persoonsgegevens verwerkt. AVG artikel 28 verplicht u deze overeenkomst te sluiten met elke verwerker.
OpenAI is een verwerker zodra u klantdata, medewerkerdata of andere persoonsgegevens invoert in ChatGPT. Zonder DPA overtreedt u de AVG.
Wanneer heeft u een DPA nodig?
U heeft een DPA nodig met OpenAI zodra u persoonsgegevens invoert in ChatGPT. Dat is bijvoorbeeld het geval als u:
- Klantnamen of contactgegevens gebruikt in prompts
- E-mails van klanten laat samenvatten of beantwoorden
- Offertes of contracten opstelt met persoonlijke informatie
- Klachten of support-tickets verwerkt via ChatGPT
- HR-gerelateerde teksten schrijft met medewerkersinformatie
💡 Geen persoonsgegevens? Als u ChatGPT uitsluitend gebruikt voor algemene taken — teksten schrijven zonder namen, code genereren, ideeën brainstormen — heeft u mogelijk geen DPA nodig. Maar in de praktijk glippen er altijd persoonsgegevens doorheen.
Heeft OpenAI een DPA beschikbaar?
Ja, maar alleen voor zakelijke accounts:
- ChatGPT Free / Plus: Geen DPA beschikbaar. Geen klantdata invoeren.
- ChatGPT Team: DPA beschikbaar via de accountinstellingen.
- ChatGPT Enterprise: DPA standaard onderdeel van het contract.
- OpenAI API: DPA beschikbaar via de API-instellingen.
En andere AI-tools?
Dezelfde logica geldt voor alle AI-tools:
- Microsoft Copilot: DPA via Microsoft 365 zakelijk abonnement
- Google Gemini: DPA via Google Workspace zakelijk abonnement
- Claude (Anthropic): DPA via Claude Teams of de API
- Gratis tools: Veelal geen DPA — zakelijk gebruik met persoonsgegevens niet toegestaan
Wat staat er in een DPA?
Een correcte verwerkersovereenkomst bevat minimaal: het doel van de verwerking, de soorten persoonsgegevens en betrokkenen, de beveiligingsmaatregelen van de verwerker, afspraken over subdataverwerkers, en de procedure bij datalekken.
AIveilig.com levert een op uw bedrijf afgestemde verwerkersovereenkomst als onderdeel van het compliance pakket. U hoeft dit niet zelf op te stellen.
Heeft u alle verwerkersovereenkomsten op orde?
Doe de gratis scan en ontdek welke AVG-documenten u mist voor uw AI-gebruik.
Doe de gratis scan →