Mag je AI gebruiken onder de AVG — en wat moet je dan regelen?

Je zet ChatGPT in om klantemails samen te vatten, of je hebt een chatbot op je website staan die bezoekers te woord staat. Handig — maar is het ook AVG-proof? AI mag je gewoon inzetten onder de AVG, maar alleen als je aan een aantal concrete voorwaarden voldoet. In dit artikel lees je precies welke dat zijn, wat de AI Act eraan toevoegt en wat je nu al kunt regelen.

📌 In het kort

  • AI gebruiken mag onder de AVG, maar alleen met de juiste grondslagen, transparantie en dataminimalisatie.
  • Je bent verplicht te melden dat gebruikers met een AI-systeem praten.
  • De AI Act voegt nieuwe verplichtingen toe, met een deadline in augustus 2026.
  • Als MKB ben je vrijwel altijd “deployer” en heb je eigen verantwoordelijkheden.
  • Een verwerkersovereenkomst met je AI-toolaanbieder is verplicht.

Wat zegt de AVG over het gebruik van AI?

De AVG gaat niet over AI op zich — het gaat over persoonsgegevens. Zodra een AI-systeem persoonsgegevens verwerkt, is de AVG van toepassing. En dat is sneller het geval dan je denkt. Een AI die klantmails samenvat verwerkt persoonsgegevens. Een chatbot die namen en vragen opslaat ook. Zelfs een AI die sollicitaties beoordeelt valt eronder.

De wet stelt dan drie kernprincipes centraal: dataminimalisatie, doelbinding en een rechtmatige grondslag. Hieronder zet ik ze uiteen — en vertaal ik ze direct naar herkenbare situaties.

Dataminimalisatie en doelbinding

Stel: je gebruikt een AI-receptionist in een zorgpraktijk. Die assistent stelt vragen aan patiënten om afspraken in te plannen. De AI mag dan alleen de gegevens verwerken die nodig zijn voor die taak — naam, klacht, gewenste datum. Niet de volledige medische geschiedenis.

Doelbinding gaat nog een stap verder. Data die je hebt verzameld voor de chatbot, mag je niet zomaar gebruiken om marketingprofielen mee op te bouwen. Dat is een ander doel, en daar heb je een nieuwe toestemming voor nodig. Dit klinkt logisch, maar in de praktijk zie ik dat dit regelmatig mis gaat — zeker bij bedrijven die snel AI implementeren zonder goed te kijken waar de data naartoe gaat.

Rechtmatige grondslag voor AI-verwerking

Op welke basis mag je eigenlijk AI persoonsgegevens laten verwerken? Dat is een vraag die veel MKB’ers nooit stellen — en dat is precies waar het risico zit.

De drie meest gebruikte grondslagen bij AI zijn:

  • Toestemming: de gebruiker stemt expliciet in. Werkt goed bij nieuwsbrieven of gepersonaliseerde aanbevelingen.
  • Gerechtvaardigd belang: jij hebt een legitiem bedrijfsbelang, en dat weegt zwaarder dan de privacybelangen van de betrokkene. Werkt bij passieve AI-ondersteuning, zoals een tool die interne data analyseert.
  • Uitvoering van een overeenkomst: de verwerking is nodig om een contract uit te voeren, bijvoorbeeld een AI die orderbevestigingen verstuurt.

Hier is een onderscheid dat concurrenten bijna altijd overslaan: er is een groot verschil tussen passieve AI-ondersteuning en geautomatiseerde besluitvorming. Als een AI jou helpt om sneller te antwoorden, is gerechtvaardigd belang vaak voldoende. Maar als een AI zelfstandig beslissingen neemt die significante gevolgen hebben voor iemand — denk aan een systeem dat sollicitanten automatisch afwijst — dan geldt artikel 22 van de AVG. Dat geeft betrokkenen het recht op menselijke tussenkomst. Dat recht moet je actief kunnen bieden.

💡 Expert tip

Vraag bij elke nieuwe AI-tool altijd eerst om de verwerkersovereenkomst én controleer of er een optie is om te voorkomen dat jouw data wordt gebruikt voor het trainen van het model. Dat ene vinkje in de instellingen maakt vaak het verschil tussen compliant en niet-compliant. Ik zie dit keer op keer terugkomen bij klanten die dachten dat het wel goed zat.

AI-agents.nl
Gratis AI-scan
Wil je weten waar AI jou tijd bespaart?

Vul in 1 minuut de scan in. Onze specialisten sturen je binnen één werkdag een persoonlijk rapport met concrete AI-toepassingen voor jouw functie en sector.

Start gratis scan →

Geen verkoopgesprek. Geen verplichtingen.

Transparantie: moet je vertellen dat je AI gebruikt?

Ja. Bijna altijd.

Onder de AVG geldt al dat je mensen moet informeren over hoe je hun gegevens verwerkt. Dat staat in je privacybeleid. Maar als je een chatbot op je webshop zet die klanten te woord staat — voor AI privacy en AVG wetgeving is dat een cruciaal moment — dan is een vermelding in de kleine lettertjes niet genoeg.

De AI Act maakt dat nog concreter. Artikel 50 verplicht je om gebruikers bij de eerste interactie te informeren dat ze met een AI-systeem praten. Tenzij het overduidelijk is — maar dan moet je dat echt kunnen aantonen. Bij een chatbot op je website is dat niet vanzelfsprekend.

Hoe ziet zo’n melding eruit in de praktijk? Iets als: “U spreekt met een AI-assistent van [bedrijfsnaam]. Wilt u liever een medewerker spreken? Klik dan hier.” Simpel, duidelijk en juridisch afdoende. Bij een klant in de e-commerce zag ik dat zo’n kleine toevoeging zelfs het klantwaarderingscijfer omhoog bracht — mensen waardeerden de eerlijkheid.

Daarnaast geldt voor AI-gegenereerde content (zoals afbeeldingen of video’s) dat die machine-leesbaar gelabeld moet worden. Deepfakes moeten expliciet worden gemarkeerd.

Wat moet je regelen op het gebied van transparantie:

  • Vermeld in je privacybeleid dat je AI inzet en welke gegevens daarbij worden verwerkt
  • Informeer gebruikers actief bij eerste contact met een AI-chatbot of AI-assistent
  • Label AI-gegenereerde content en deepfakes
  • Bied een alternatief voor wie niet met AI wil communiceren
  • Zorg dat medewerkers weten hoe ze klanten kunnen doorverwijzen bij AI-vragen

Privacy by Design: hoe bouw je AI AVG-proof?

Privacybescherming achteraf toevoegen is als een gordel omdoen nadat je al gereden hebt. Het werkt niet. Privacy by Design betekent dat je vanaf het begin nadenkt over hoe je data beschermt — en dat principe geldt ook voor AI.

Wij zien bij implementaties bij klanten dat de meeste problemen ontstaan doordat tools snel worden ingezet zonder te kijken naar de privacyinstellingen. Dat vinkje “gebruik mijn data niet voor training” bestaat vaak — maar niemand heeft er naar gezocht.

Hier is hoe je AI AVG-conform implementeert:

  1. Kies tools die data binnen de EU verwerken. EU-gebaseerde modellen zoals Mistral AI hebben een architectuur die beter aansluit op AVG-vereisten dan veel Amerikaanse alternatieven. Bij Amerikaanse tools moet je namelijk ook rekening houden met internationale datatransfers — extra vereisten, extra risico. Voor Mistral AI en GDPR-compliance is de positie duidelijker dan voor tools die data doorsturen naar Amerikaanse servers.
  2. Schakel training op jouw data uit. De meeste AI-tools bieden een instelling waarmee je voorkomt dat jouw inputs worden gebruikt voor modeltraining. Zoek die instelling, en schakel hem uit. Dit is een van de meest concrete stappen die je kunt zetten.
  3. Gebruik anonimisering of pseudonimisering. Als je AI-analyses uitvoert op klantdata, overweeg dan om namen en directe identifiers eerst te vervangen door codes. De AI krijgt nog steeds bruikbare input, maar de privacyrisico’s dalen sterk.
  4. Voer een DPIA uit bij hoog-risico toepassingen. Een Data Protection Impact Assessment (DPIA) is een risicoanalyse die je verplicht uitvoert bij AI-toepassingen met grote impact op mensen — denk aan profilering, gezondheidszorg of HR-beslissingen. Dit is geen bureaucratische formaliteit; het helpt je zelf ook inzien waar de kwetsbaarheden zitten.
  5. Sluit een verwerkersovereenkomst. Met elke AI-toolaanbieder die namens jou persoonsgegevens verwerkt, moet je een verwerkersovereenkomst afsluiten. Controleer of de aanbieder dit aanbiedt — en teken hem. Een specialist op het gebied van AI-rechtmatigheid en compliance kan je helpen deze overeenkomsten te beoordelen.

Wat verandert er met de AI Act — en hoe verhoudt die zich tot de AVG?

Stel: je gebruikt al een jaar lang een AI-chatbot op je website. Je privacybeleid is bijgewerkt, de verwerkersovereenkomst is getekend. Ben je dan klaar? Voor de AVG misschien. Maar de AI Act voegt een tweede laag verplichtingen toe — en die deadline nadert.

De AVG en de AI Act bestaan naast elkaar. Ze vullen elkaar aan. De AVG beschermt persoonsgegevens. De AI Act regelt aanvullend hoe AI-systemen gebouwd en ingezet mogen worden. Als je AI inzet en er persoonsgegevens bij betrokken zijn, moet je aan beide voldoen.

AVG AI Act
Wat regelt het? Bescherming van persoonsgegevens Eisen aan AI-systemen zelf
Wanneer van toepassing? Zodra je persoonsgegevens verwerkt Zodra je een AI-systeem inzet
Deadline Al van kracht (sinds 2018) Gefaseerd; transparantieverplichtingen per augustus 2026
Wie is verantwoordelijk? Verwerkingsverantwoordelijke Provider (bouwer) én deployer (gebruiker)

Een belangrijk praktisch punt: de AI Act maakt onderscheid tussen providers (bedrijven die AI bouwen) en deployers (bedrijven die AI inzetten). Als MKB ben je vrijwel altijd deployer. En ook deployers hebben eigen verplichtingen — je kunt je niet verschuilen achter “de tool voldoet aan de eisen, dus ik ook.”

AVG — wat geldt nu al

Dit zijn geen toekomstige verplichtingen. Dit geldt vandaag:

  • Zorg dat je een rechtmatige grondslag hebt voor elke AI-verwerking van persoonsgegevens
  • Zorg dat je gebruikers informeert over hoe je hun data verwerkt
  • Zorg dat je alleen de minimaal noodzakelijke data verwerkt
  • Zorg dat betrokkenen het recht op menselijke tussenkomst kunnen uitoefenen bij geautomatiseerde besluitvorming
  • Zorg dat je een verwerkersovereenkomst hebt met elke AI-aanbieder die data voor jou verwerkt

AI Act — wat verandert er per augustus 2026

De deadline lijkt ver weg, maar de voorbereiding begint nu. Per augustus 2026 gelden de volgende verplichtingen:

  1. Informeer gebruikers actief als ze met een AI-systeem interacteren — bij de eerste interactie, niet verstopt in de kleine lettertjes.
  2. Markeer AI-gegenereerde content machine-leesbaar. Dit geldt voor tekst, beeld en video die door AI zijn gemaakt.
  3. Label deepfakes expliciet. Synthetisch beeldmateriaal van mensen moet zichtbaar worden gemarkeerd.
  4. Controleer als deployer of de AI-systemen die je inkoopt voldoen aan de AI Act-vereisten. Dit is jouw verantwoordelijkheid, ook al heb jij de tool niet gebouwd.

Wat kun je nú al voorbereiden? Breng in kaart welke AI-systemen je gebruikt, welke ervan interacteren met eindgebruikers en of je die al labelt als AI. Dat overzicht is de basis voor alles wat daarna komt.

Zijn gangbare AI-tools AVG-compliant?

Dat is een vraag die ik vaak krijg: “Ik gebruik gewoon ChatGPT — is dat een probleem?” Het antwoord is: dat hangt ervan af. Niet alle AI-tools zijn gelijk als het om AVG gaat, en de tool zelf is maar de helft van het verhaal. Hoe jij hem gebruikt, bepaalt ook of je compliant bent.

Bij een klant in de zakelijke dienstverlening zag ik dat ze klantnamen en interne notities zo in ChatGPT plakten. De tool was technisch gezien beschikbaar met een verwerkersovereenkomst, maar de manier van gebruik — zonder trainingsdata uit te schakelen — zorgde alsnog voor een risico.

Waar moet je op letten bij elke AI-tool?

Criterium Waar op letten
Dataopslag Worden data binnen de EU opgeslagen of verwerkt?
Verwerkersovereenkomst Biedt de aanbieder een DPA (Data Processing Agreement) aan?
Trainingsdata Worden jouw inputs gebruikt om het model te trainen? Kun je dit uitzetten?
Doorgifte buiten EU Worden data doorgegeven aan servers buiten de EU? Welk mechanisme wordt gebruikt?

EU-gebaseerde modellen zoals Mistral AI scoren op deze criteria gemiddeld beter dan Amerikaanse alternatieven — simpelweg omdat ze onder Europees recht vallen en geen extra mechanismen nodig hebben voor datatransfers. Mistral AI en GDPR-compliance gaan daardoor in de meeste gevallen goed samen. Maar let op: ook hier geldt dat jij als deployer verantwoordelijk blijft voor hoe je de tool inzet.

Controleer voor elke tool die je gebruikt: staat er een DPA beschikbaar, kun je trainingsdata uitzetten en weet je waar de data heen gaat?

Praktische AVG-checklist voor AI-gebruik

Bij klanten in het MKB zie ik dat het overzicht vaak ontbreekt. Niet omdat ze het niet willen regelen, maar omdat het verspreid staat over vijf verschillende documenten en drie tools. Hieronder vind je alles op één plek — gesorteerd op urgentie.

Nu regelen

  • Sluit een verwerkersovereenkomst met elke AI-toolaanbieder die persoonsgegevens voor jou verwerkt
  • Schakel het gebruik van jouw data voor modeltraining uit in de instellingen van je AI-tools
  • Stel de rechtmatige grondslag vast voor elke AI-verwerking van persoonsgegevens
  • Werk je privacybeleid bij met een vermelding van AI-gebruik en de bijbehorende dataverwerking
  • Informeer gebruikers actief als ze met een AI-chatbot of AI-assistent interacteren

Vóór augustus 2026

  • Zorg dat AI-gegenereerde content machine-leesbaar gelabeld wordt
  • Controleer of de AI-systemen die je inkoopt voldoen aan de AI Act-vereisten (jouw verantwoordelijkheid als deployer)
  • Voer een DPIA uit bij hoog-risico AI-toepassingen (profilering, HR, gezondheid)

Doorlopend

  • Train medewerkers op AVG-bewustzijn bij het gebruik van AI-tools
  • Controleer bij elke nieuwe AI-tool de dataopslag, verwerkersovereenkomst en trainingsdata-instellingen
  • Houd het register van verwerkingsactiviteiten up-to-date met nieuwe AI-toepassingen

Wil je hulp bij het in kaart brengen van jouw situatie? Op AI voor Bedrijven vind je meer informatie over hoe wij organisaties begeleiden bij AVG-conforme AI-implementaties.

AI-agents.nl
Gratis AI-scan
Wil je weten waar AI jou tijd bespaart?

Vul in 1 minuut de scan in. Onze specialisten sturen je binnen één werkdag een persoonlijk rapport met concrete AI-toepassingen voor jouw functie en sector.

Start gratis scan →

Geen verkoopgesprek. Geen verplichtingen.

Veelgestelde vragen

Is AI-gebruik automatisch in strijd met de AVG?

Nee. De AVG verbiedt AI niet, maar stelt wel duidelijke kaders. Zolang je voldoet aan dataminimalisatie, doelbinding en een rechtmatige grondslag, mag je AI gewoon inzetten.

Moet ik melden dat mijn chatbot of assistent een AI is?

Ja, tenzij het overduidelijk is — en dat moet je kunnen aantonen. Onder de AI Act (artikel 50, van toepassing vanaf augustus 2026) ben je verplicht gebruikers te informeren bij de eerste interactie met een AI-systeem.

Wat is het verschil tussen de AVG en de AI Act?

De AVG beschermt persoonsgegevens en geldt al. De AI Act legt aanvullende eisen op aan AI-systemen zelf, zoals transparantieverplichtingen. Beide gelden tegelijk zodra je AI inzet met persoonsgegevens.

Ben ik als MKB ook verplicht te voldoen aan de AI Act?

Ja, er is geen uitzondering voor het MKB. Als deployer — degene die een AI-systeem inzet — heb je eigen verplichtingen, ook als je de AI niet zelf hebt gebouwd.

Moet ik een verwerkersovereenkomst tekenen met mijn AI-toolaanbieder?

Ja. Als de tool persoonsgegevens verwerkt namens jou, is een verwerkersovereenkomst verplicht onder de AVG. Controleer of de aanbieder dit aanbiedt voordat je de tool in gebruik neemt.

Zijn Europese AI-tools AVG-vriendelijker dan Amerikaanse?

Over het algemeen wel, omdat EU-gebaseerde modellen zoals Mistral AI data binnen de EU verwerken en geen extra mechanismen nodig hebben voor internationale datatransfers. Controleer altijd de verwerkingslocatie en het privacybeleid van de specifieke tool.

Levi Peters
Levi Peters

Levi is oprichter van AI-agents.nl en helpt bedrijven vanuit Rotterdam met het slim automatiseren van bedrijfsprocessen door middel van AI agents en workflow-automatiseringen. Met een achtergrond in contentmarketing bij onder andere Coolblue en Essent in content en digitale strategie met een sterke drive voor technologie en innovatie. Nieuwsgierig, ambitieus en altijd op zoek naar manieren om dingen slimmer te doen (en een goed excuus om espresso te drinken).

Artikelen: 102

Meer lezen