Kort antwoord: niet zomaar. Zodra je herleidbare gegevens van klanten of medewerkers in een AI-tool plakt, verwerk je persoonsgegevens en geldt de AVG. Bij gratis versies van AI-tools is dat meestal niet goed geregeld. Met een zakelijke versie, een verwerkersovereenkomst en een paar huisregels kan het wél verantwoord.
Een offerte herschrijven met de naam van je klant erin. Een klachtmail samenvatten met telefoonnummer en adres. Een Excel met je klantenbestand uploaden om er een analyse op los te laten. Allemaal dagelijkse handelingen, en allemaal verwerking van persoonsgegevens in de zin van de AVG. Het probleem is niet dat je AI gebruikt; het probleem is wáár die gegevens heen gaan en wat de aanbieder ermee mag.
Bij veel gratis AI-tools mag de aanbieder jouw invoer gebruiken om modellen te verbeteren, tenzij je dat actief uitzet. Je klantgegevens worden dan onderdeel van andermans systeem. Zakelijke versies en API-varianten sluiten dat doorgaans contractueel uit en bieden een verwerkersovereenkomst. Dat verschil van een paar tientjes per maand is precies het verschil tussen wel en niet uitlegbaar aan de Autoriteit Persoonsgegevens.
Gebruik voor zakelijk werk alleen zakelijke AI-accounts en sluit een verwerkersovereenkomst. Anonimiseer waar het kan: voor een goede samenvatting hoeft de naam van je klant er niet in. Plak nooit bijzondere gegevens in een AI-tool, zoals medische informatie of BSN's. Zet het op papier in een korte AI-gedragslijn, zodat je medewerkers weten wat wel en niet kan. En kies voor gevoelige toepassingen desnoods modellen die volledig binnen de EU draaien.
Verwarrend maar belangrijk: de AVG gaat over persoonsgegevens en geldt al sinds 2018, ook bij elk AI-gebruik. De AI Act gaat over het AI-systeem zelf en wordt in fases van kracht. Je kunt dus keurig aan de AI Act voldoen en toch de AVG schenden, en andersom. Lees ook: geldt de AI Act voor mijn bedrijf?
Dat is de meest voorkomende situatie die ik tegenkom, en de meest risicovolle. Regel zakelijke accounts en maak een korte gedragslijn. Verbieden zonder alternatief werkt niet; mensen gebruiken het toch.
Nee. EU-hosting helpt, maar het gaat om het hele plaatje: wat staat er in de verwerkersovereenkomst, wordt je data voor training gebruikt, en wie kan erbij. Een Europese tool zonder afspraken is niet beter dan een Amerikaanse mét.
Ja. Wat bezoekers in je chatbot typen, zijn vaak persoonsgegevens. Zorg dat je privacyverklaring dit dekt en dat de chatbot-leverancier een verwerkersovereenkomst biedt.
Meer weten over de regels? Autoriteit Persoonsgegevens · AI Act voor mkb
Bel me even. Eerlijk antwoord, ook als het antwoord is dat het prima zit.
