Bijna driekwart van het ChatGPT-gebruik op de werkvloer loopt via persoonlijke accounts, en ruim een derde van de ingevoerde bedrijfsdata is gevoelig (ProjectImpact, 2026). De Autoriteit Persoonsgegevens is glashelder: zodra je een klantnaam, e-mailadres of klachttekst in een AI-prompt typt, verwerk je persoonsgegevens -- en geldt de AVG onverkort. In haar visiedocument Verantwoord vooruit (februari 2026) stelt de AP dat generatieve AI-modellen die via scraping zijn getraind "vrijwel zeker" persoonsgegevens bevatten. In onze gids over AI automatisering behandelen we hoe je AI structureel inzet; in dit artikel zoomen we in op de privacykant. Welk model kun je veilig gebruiken, en wat moet je regelen voordat je begint?
Dit artikel gaat bewust niet over de AI Act en risicoklassen -- dat behandelen we apart in ons AI Act compliance-overzicht. Hier draait het om de AVG: dataverwerking, verwerkersovereenkomsten, retentie en EU data residency.
Wanneer geldt de AVG bij het gebruik van AI?
De AVG geldt zodra je persoonsgegevens verwerkt -- en "verwerken" is breed gedefinieerd. Het omvat verzamelen, opslaan, raadplegen, gebruiken en doorgeven. Concreet betekent dit: als je een e-mail van een klant kopieert naar ChatGPT om een antwoord te laten formuleren, is dat een verwerking in de zin van de AVG. Hetzelfde geldt voor het analyseren van klachtenteksten, het samenvatten van notities met namen, of het invoeren van medische gegevens in een AI-tool.
De grondslag maakt uit
De AVG staat verwerking toe op basis van zes grondslagen (artikel 6). Voor AI-gebruik in het MKB zijn er drie relevant: gerechtvaardigd belang, toestemming en uitvoering van een overeenkomst. In de praktijk kiezen de meeste bedrijven voor gerechtvaardigd belang -- maar dan moet je wél een afweging maken tussen jouw belang en de privacy van de betrokkene, en die vastleggen. Toestemming is lastig bij AI-verwerking omdat je vooraf moet specificeren waarvoor je de data gebruikt, en AI-toepassingen veranderen snel. Welke grondslag je ook kiest: documenteer hem, want de Autoriteit Persoonsgegevens kan ernaar vragen.
Drie vragen bepalen je verplichtingen
- Bevat de prompt persoonsgegevens? Namen, e-mailadressen, telefoonnummers, BSN-nummers, medische gegevens, maar ook indirect identificeerbare informatie zoals klantnummers in combinatie met context.
- Waar worden de gegevens verwerkt? Binnen de EU of daarbuiten? Bij doorgifte buiten de EU heb je aanvullende waarborgen nodig, zoals Standard Contractual Clauses (SCCs).
- Wie is de verwerker? De AI-aanbieder verwerkt gegevens in jouw opdracht. Daarvoor heb je een verwerkersovereenkomst (DPA) nodig conform artikel 28 AVG.
Als je AI uitsluitend gebruikt voor interne brainstorms zonder persoonsgegevens -- "geef me vijf ideeën voor een teamuitje" -- val je buiten dit kader. Maar in de praktijk glipt er snel een naam of e-mailadres mee.
Vergelijkingstabel: AVG-status per provider
Niet alle AI-providers bieden dezelfde privacywaarborgen. De verschillen zitten in vier dimensies: de beschikbaarheid van een verwerkersovereenkomst (DPA), het dataretentiebeleid, de mogelijkheid tot EU data residency en de standaard training-exclusie.
| Provider | Tier | DPA beschikbaar | Training-exclusie | EU data residency | Geschikt voor PII |
|---|---|---|---|---|---|
| OpenAI (ChatGPT) | Free/Plus | Nee | Opt-out | Nee | Nee |
| OpenAI | Team | Ja | Standaard uit | Nee | Beperkt (met SCCs) |
| OpenAI | Enterprise/API | Ja | Standaard uit | Ja (sinds 2025) | Ja |
| Anthropic (Claude) | Free/Pro/Max | Nee | Alleen opt-out | Nee | Nee |
| Anthropic | Team | Ja | Standaard uit | Nee | Ja (met SCCs) |
| Anthropic | Enterprise/API | Ja (uitgebreid) | Standaard uit | Nee | Ja (SCCs + ZDR) |
| Google (Gemini) | Workspace | Ja | Standaard uit | Ja (EU-regio via GCP) | Ja |
| Mistral | Alle tiers | Ja | Standaard uit | Ja (altijd EU) | Ja |
PII = Personally Identifiable Information / persoonsgegevens. ZDR = Zero Data Retention. SCCs = Standard Contractual Clauses.
Twee zaken vallen meteen op. Eén: de gratis en consumentenversies van OpenAI en Anthropic zijn niet geschikt voor het verwerken van persoonsgegevens -- er is geen DPA, en je data kan worden gebruikt voor modeltraining. Twee: Mistral verwerkt standaard alles binnen de EU, zonder extra configuratie. Dat maakt het voor veel MKB-bedrijven de eenvoudigste route naar compliance.
Dat handhaving geen theorie is, bewijzen recente zaken. De Italiaanse toezichthouder legde OpenAI in december 2024 een boete op van 15 miljoen euro wegens het ontbreken van een rechtsgrondslag voor trainingdata, gebrekkige transparantie en onvoldoende leeftijdsverificatie (de boete werd in maart 2025 door de rechter vernietigd, maar de precedentwerking staat). Dichter bij huis: de Autoriteit Persoonsgegevens beboette Clearview AI in september 2024 met 30,5 miljoen euro voor illegale biometrische dataverzameling.
De 30-dagen dataretentie van Fable 5
Een specifiek aandachtspunt voor bedrijven die Anthropics nieuwste model Claude Fable 5 inzetten. Ter context: de standaard API-retentie van Anthropic is sinds september 2025 teruggebracht naar 7 dagen, en Enterprise-klanten kunnen zero data retention (ZDR) inschakelen. Maar Fable 5 is de uitzondering: dit model kent een verplichte dataretentie van 30 dagen op alle API-aanroepen. Die retentie kun je niet uitschakelen -- ook niet met een zero-retention configuratie.
Waarom is dit relevant voor de AVG?
Artikel 5 lid 1 sub e van de AVG schrijft opslagbeperking voor: persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk voor het doel. Als je Fable 5 gebruikt om een klachttekst met namen te verwerken, worden die persoonsgegevens 30 dagen lang opgeslagen bij Anthropic -- ongeacht of je ze na vijf seconden niet meer nodig hebt.
Wat betekent dit in de praktijk?
- Pseudonimiseer voor je verstuurt. Vervang namen, e-mailadressen en klantnummers door placeholders voordat de prompt naar de API gaat. Na ontvangst van het antwoord vervang je de placeholders terug.
- Documenteer de retentie in je DPIA. Als je een Data Protection Impact Assessment uitvoert (verplicht bij grootschalige verwerking), vermeld dan expliciet de 30-dagen retentie en je mitigatiemaatregelen.
- Overweeg een ander model voor PII-zware taken. Voor taken waar veel onvervangbare persoonsgegevens in de prompt zitten -- denk aan medische samenvattingen of juridische analyses -- kan een model met zero-retention of EU-opslag een veiligere keuze zijn.
In ons artikel over Claude Fable 5 beschrijven we de prestaties en kosten van het model. Voor AVG-gevoelige toepassingen is de 30-dagen retentie het belangrijkste aandachtspunt.
Verwerkersovereenkomst: wanneer en hoe?
Een verwerkersovereenkomst (DPA, Data Processing Agreement) is verplicht zodra een derde partij persoonsgegevens verwerkt in jouw opdracht. Dat is bij AI-gebruik vrijwel altijd het geval: jij stuurt data, de AI-provider verwerkt die data en stuurt een resultaat terug.
Wat moet erin staan?
Artikel 28 AVG schrijft minimaal voor:
- Onderwerp en duur van de verwerking
- Aard en doel van de verwerking (bijv. "het genereren van tekstsamenvattingen op basis van door opdrachtgever aangeleverde documenten")
- Type persoonsgegevens en categorieën betrokkenen
- Rechten en verplichtingen van de verwerkingsverantwoordelijke
- Sub-verwerkers: welke partijen schakelt de provider in?
- Technische en organisatorische maatregelen ter beveiliging
- Instructies: de verwerker mag alleen handelen op basis van jouw instructies
- Doorgifte buiten de EU: alleen met passende waarborgen (SCCs of adequaatheidsbesluit)
Waar vind je de DPA per provider?
| Provider | DPA-locatie | Minimaal tier |
|---|---|---|
| OpenAI | privacy.openai.com/policies | Team |
| Anthropic | anthropic.com/legal | Team |
| Via Google Workspace-overeenkomst | Workspace | |
| Mistral | mistral.ai/terms | Alle tiers |
Let op: het ondertekenen van een DPA alleen is niet genoeg. De EDPB stelt in Opinion 28/2024 dat controllers bij elke fase van AI-gebruik -- van training tot deployment -- compliance moeten aantonen. Concreet: je moet vastleggen welke persoonsgegevens je via de AI-tool verwerkt, dit opnemen in je verwerkingsregister en je privacyverklaring bijwerken.
EU data residency: waar staan de servers?
Voor veel organisaties -- vooral in de zorg, het onderwijs en de overheid -- is het essentieel dat persoonsgegevens binnen de EU blijven. De AVG verbiedt doorgifte naar landen buiten de EU/EER niet categorisch, maar stelt wel voorwaarden: een adequaatheidsbesluit van de Europese Commissie, of passende waarborgen zoals SCCs.
De VS heeft geen adequaatheidsbesluit van de Europese Commissie voor commerciële data (het Privacy Shield werd in 2020 door het Hof van Justitie ongeldig verklaard in Schrems II). Het EU-VS Data Privacy Framework (DPF, juli 2023) herstelt gedeeltelijk de doorgifte-basis, maar alleen voor bedrijven die zich hebben gecertificeerd onder het DPF. OpenAI en Anthropic staan op de DPF-lijst; toch bieden SCCs een aanvullende juridische laag die veel privacyspecialisten aanbevelen.
Overzicht EU-opslag per provider
Mistral verwerkt alle data in datacenters binnen de EU (Parijs). Er is geen configuratie nodig -- het is de standaard. Voor bedrijven die de eenvoudigste route naar EU data residency zoeken, is dit de meest straightforward optie.
Google Gemini biedt via Google Cloud Platform (GCP) de mogelijkheid om data regions in te stellen. Kies je een EU-regio (bijv. europe-west4 in Nederland), dan blijven je gegevens fysiek in de EU.
OpenAI biedt sinds februari 2025 EU data residency voor Enterprise-, Edu- en API-klanten. In januari 2026 werd dit uitgebreid met in-region GPU-inferentie in de EU, waardoor niet alleen de opslag maar ook de verwerking in de EU kan plaatsvinden. Belangrijk: EU-residency is alleen configureerbaar voor nieuwe API-projecten; bestaande projecten kun je niet migreren. Voor Team- en lagere tiers is EU-opslag niet beschikbaar.
Anthropic (Claude) biedt via de eigen API en abonnementen geen EU data residency -- alle verwerking vindt plaats op US-infrastructuur. Anthropic biedt wel SCCs en, voor Enterprise/API-klanten, zero data retention als mitigatie. Wie Claude wil draaien met EU-verwerking moet uitwijken naar AWS Bedrock (Frankfurt, eu-central-1) of Google Vertex AI -- maar dan loop je buiten het directe Claude-productcontract.
Wat betekent dit voor jouw keuze?
Als EU data residency een harde eis is -- bijvoorbeeld vanwege sectorspecifieke regelgeving of interne beleidsregels -- vallen Mistral en Google Gemini (met EU-regio) op dit moment het gunstigst uit. OpenAI Enterprise is een optie, maar vereist een enterprise-contract. Bij Anthropic heb je SCCs als juridische waarborg, maar geen fysieke EU-opslag.
Checklist: AVG-compliant AI gebruiken in 5 stappen
De bovenstaande vergelijkingen laten zien dat compliant AI-gebruik geen kwestie is van de juiste provider kiezen en klaar. Het is een combinatie van contractuele, technische en organisatorische maatregelen. Deze checklist vat de minimale vereisten samen voor het AVG-compliant inzetten van AI-tools met persoonsgegevens. Hij is gebaseerd op de richtlijnen van de Autoriteit Persoonsgegevens en de European Data Protection Board. Wil je AI breder inzetten in je bedrijf? In ons overzicht van AI automatisering leggen we uit hoe dat past in je bestaande processen.
Stap 1: Sluit een verwerkersovereenkomst met SCCs
Kies minimaal een betaald tier dat een DPA aanbiedt (Team-tier bij OpenAI of Anthropic, elk tier bij Mistral of Google Workspace). Zorg dat de DPA Standard Contractual Clauses bevat als de verwerking buiten de EU plaatsvindt.
Stap 2: Schakel training en memory uit
Controleer of je data niet wordt gebruikt voor modeltraining. Bij zakelijke tiers is dit doorgaans standaard uitgeschakeld. Schakel ook conversation memory uit als je AI-tool die functie biedt -- opgeslagen gespreksgeschiedenis kan persoonsgegevens bevatten die langer worden bewaard dan noodzakelijk.
Stap 3: Pseudonimiseer persoonsgegevens
Vervang namen, e-mailadressen, BSN-nummers en andere directe identificatoren door placeholders voordat je ze naar de AI-tool stuurt. Dit is geen nice-to-have maar een basisvereiste van dataminimalisatie (artikel 5 lid 1 sub c AVG). Automatiseer dit waar mogelijk -- handmatig vervangen is foutgevoelig.
Stap 4: Voer een DPIA uit en werk je privacyverklaring bij
Een Data Protection Impact Assessment (DPIA) is verplicht bij verwerkingen die een hoog risico vormen voor betrokkenen. Bij grootschalige AI-verwerking van persoonsgegevens is dat vrijwel altijd het geval. Werk ook je privacyverklaring bij: vermeld dat je AI-tools inzet, welke providers je gebruikt en op welke grondslag.
Stap 5: Leg het vast in je verwerkingsregister
Voeg de AI-verwerking toe aan je verwerkingsregister. Documenteer per tool: welke persoonsgegevens, welk doel, welke grondslag, welke bewaartermijn, welke beveiligingsmaatregelen en of er sprake is van doorgifte buiten de EU.
Mistral als Europees alternatief
Mistral verdient een aparte vermelding. Het Franse bedrijf verwerkt alle data uitsluitend in EU-datacenters (Parijs), biedt standaard een DPA aan op alle tiers, en is gecertificeerd voor SOC 2 Type II, ISO 27001 en ISO 27701 (privacy information management). Voor MKB-bedrijven die de compliance-overhead willen minimaliseren, is dit een pragmatisch voordeel: je hoeft geen enterprise-contract af te sluiten om aan de basale AVG-eisen te voldoen.
Wanneer is Mistral de juiste keuze?
- EU data residency is een harde eis en je wilt geen enterprise-contract afsluiten bij OpenAI of Google
- Je verwerkt regelmatig persoonsgegevens via AI en wilt de pseudonimisatiestap vereenvoudigen (minder risico bij een lek, want de data verlaat de EU niet)
- Je hebt een FG (Functionaris Gegevensbescherming) die expliciet EU-verwerking eist
Wanneer niet?
Mistral is niet automatisch beter op alle vlakken. De modellen van OpenAI en Anthropic presteren op sommige benchmarks sterker, en het ecosysteem aan integraties is groter. De keuze is geen privacy-versus-prestatie dilemma -- het is een afweging tussen compliance-eenvoud en de specifieke capaciteiten die je nodig hebt.
Conclusie: compliance is geen blokkade, maar een checklist
AVG-compliant AI gebruiken is geen rocket science, maar het vereist bewuste keuzes. De kern: gebruik nooit gratis consumer-tiers voor persoonsgegevens, sluit altijd een verwerkersovereenkomst, pseudonimiseer standaard, en documenteer wat je doet. De provider-keuze hangt af van je specifieke eisen: Mistral voor de eenvoudigste EU-route, OpenAI Enterprise of Google Gemini voor EU data residency bij grotere organisaties, of Anthropic met SCCs als je het sterkste model nodig hebt en bereid bent extra mitigatiemaatregelen te nemen.
Twijfel je welke AI-tools je veilig kunt inzetten in jouw bedrijf? Neem contact op -- we denken graag mee over een opzet die zowel effectief als compliant is.
Veelgestelde vragen over AI en AVG
De vragen die we het vaakst krijgen van ondernemers die AI willen inzetten zonder in conflict te komen met de AVG.
Opgesteld met AI-tools en gecontroleerd door het redactieteam van CleverTech -- met expertise in AI-implementatie, procesautomatisering en IT-consulting. Dit artikel is informatief van aard en vervangt geen juridisch advies. Raadpleeg bij twijfel een privacyspecialist.
