Ga naar hoofdinhoud
Terug naar blog
airegelgevingbeveiligingavg

AVG en AI: wat mag je wel en niet met klantdata?

Je zet AI in voor je bedrijf. Maar hoe zit het met de AVG als je klantdata verwerkt met AI-tools? Een praktisch overzicht zonder juridisch jargon.

27 maart 20264 min leestijd

De vraag die niemand stelt (maar iedereen zou moeten stellen)

Je hebt een AI-chatbot op je website. Een klant stelt een vraag over zijn bestelling, inclusief naam en ordernummer. Die data gaat naar de AI. Maar waar gaat het daarna naartoe? Wie kan erbij? En mag dat eigenlijk wel?

De meeste MKB-ondernemers die AI inzetten, denken niet direct aan de AVG. Begrijpelijk -- je wilt gewoon efficienter werken. Maar de Algemene Verordening Gegevensbescherming geldt net zo goed als een AI-systeem je klantdata verwerkt.

Wanneer is de AVG relevant bij AI?

De AVG geldt zodra je persoonsgegevens verwerkt. Dat klinkt breed, en dat is het ook. Persoonsgegevens zijn alle gegevens die herleidbaar zijn naar een persoon:

  • Namen, e-mailadressen, telefoonnummers
  • Bestelgegevens, klanthistorie
  • IP-adressen, locatiedata
  • Alles wat iemand typt in een chatvenster

Als je een AI-tool gebruikt die met dit soort data werkt -- en dat is bij de meeste bedrijfstoepassingen het geval -- dan is de AVG van toepassing.

De drie belangrijkste regels

1. Grondslag: waarom verwerk je de data?

Je mag niet zomaar klantdata door een AI-systeem halen. Je hebt een wettelijke grondslag nodig. Voor de meeste MKB-bedrijven zijn er twee relevante grondslagen:

  • Uitvoering van een overeenkomst -- de klant heeft iets besteld, en je gebruikt AI om de bestelling te verwerken
  • Gerechtvaardigd belang -- je hebt een zakelijk belang dat opweegt tegen de privacy van de klant, bijvoorbeeld klantenservice verbeteren

Toestemming vragen kan ook, maar is lastiger dan het klinkt. Toestemming moet vrijwillig, specifiek en intrekbaar zijn.

2. Transparantie: vertel wat je doet

Je klanten moeten weten dat je AI gebruikt en wat er met hun data gebeurt. Dit hoeft geen juridisch document van tien pagina's te zijn. Een heldere privacy-verklaring op je website volstaat:

  • Welke AI-tools je gebruikt
  • Welke data ze verwerken
  • Waar die data wordt opgeslagen
  • Hoe lang je de data bewaart

3. Dataminimalisatie: niet meer dan nodig

Verzamel en verwerk alleen de data die je echt nodig hebt. Als je AI-chatbot klantvragen beantwoordt, hoeft die niet de volledige klanthistorie te zien. Geef de AI alleen toegang tot wat relevant is voor de vraag.

Waar het in de praktijk misgaat

Data die naar het buitenland gaat

Veel AI-tools draaien op servers in de VS. Dat is niet per se verboden, maar je moet wel extra maatregelen nemen. Check bij je AI-leverancier: waar staan de servers? Is er een verwerkersovereenkomst? Zijn er aanvullende waarborgen?

Medewerkers die klantdata in ChatGPT plakken

Dit is een van de meest voorkomende risico's. Een medewerker kopieert een klantmail in een AI-tool om een antwoord te genereren. Dat kan een datalek zijn als de AI-tool die data opslaat of gebruikt voor training. Stel beleid in over wat medewerkers wel en niet in AI-tools mogen invoeren.

Geen verwerkersovereenkomst

Als een AI-tool klantdata verwerkt, is die tool een "verwerker" in AVG-termen. Je bent verplicht om een verwerkersovereenkomst af te sluiten. De meeste grote AI-aanbieders bieden dit aan, maar je moet het wel activeren of ondertekenen.

Praktische checklist

Gebruik deze checklist om je AI-gebruik AVG-proof te maken:

  • Breng in kaart welke AI-tools klantdata verwerken
  • Check per tool waar de data wordt opgeslagen (EU of daarbuiten?)
  • Sluit verwerkersovereenkomsten af met je AI-leveranciers
  • Update je privacyverklaring met informatie over AI-gebruik
  • Stel interne richtlijnen op voor medewerkers (meer hierover)
  • Beperk de data die AI-tools ontvangen tot het minimum
  • Stel bewaartermijnen in: verwijder data die je niet meer nodig hebt

AVG is geen rem, het is een kwaliteitskeurmerk

Veel ondernemers zien de AVG als een obstakel. Maar klanten waarderen bedrijven die zorgvuldig omgaan met hun data. In een wereld waar datalekken regelmatig het nieuws halen, is "wij gaan verantwoord om met je gegevens" een verkoopargument.

En het hoeft niet ingewikkeld te zijn. Met de juiste tools en processen kun je AI inzetten en tegelijkertijd compliant zijn. Het een sluit het ander niet uit.

Wil je weten of jouw AI-gebruik AVG-proof is? Plan een vrijblijvend gesprek -- we lopen je setup door en helpen je met een praktisch plan.

KC

Kyan Cordes

Oprichter NOVAITEC