.svg)
Hoe zorg je voor naleving van de AVG bij het gebruik van AI-tools
Generatieve AI-tools zoals ChatGPT kunnen de groei versnellen, maar als je niet voorzichtig bent, kunnen ze ook het risico versnellen. Voor bedrijven die onder de GDPR vallen, met name bedrijven in e-commerce, klantenservice of marketingautomatisering, gaat de uitdaging niet alleen over wat deze tools kunnen het doen, maar op welke manier ze doen het.
Kun je ChatGPT echt vertrouwen met klantgegevens? Voldoet Claude aan de transparantievereisten van de GDPR? Wat gebeurt er als Gemini of Perplexity persoonlijke gegevens registreert voor modelverbetering?
Om deze tools op een verantwoorde manier te gebruiken, heb je meer nodig dan een privacybeleid. U hebt een duidelijke nalevingsstrategie nodig — een strategie die ervoor zorgt dat persoonsgegevens bij elke stap rechtmatig, transparant en met toestemming van de gebruiker worden verwerkt. Voordat we echter ingaan op onze analyse van het gebruik van AI onder de GDPR, om te begrijpen wat veilige AI voor Europese bedrijven inhoudt, moeten we eerst begrijpen wat deze essentiële wetgeving inzake gegevensprivacy en -beveiliging vereist.
Wat vereist de GDPR eigenlijk?
De Algemene verordening gegevensbescherming (GDPR) is van toepassing wanneer u de persoonsgegevens van EU-burgers verwerkt, of u nu een e-commercemanager in de EU bent, een IT-leider in de VS met een klantenbestand uit de EU of een agentschap dat AI-workflows ontwikkelt voor klanten in de EU. De belangrijkste principes die met name relevant zijn voor het gebruik van AI zijn onder meer:
- Minimalisatie van gegevens: Verwerk alleen wat strikt noodzakelijk is voor uw doel.
- Beperking van het doel: Gebruik gegevens alleen voor de doelen die je hebt aangegeven.
- Toestemming en transparantie: Informeer de betrokkenen hoe hun gegevens zullen worden gebruikt en zorg ervoor dat ze zich positief hebben gemeld.
- Recht op verwijdering: Wees bereid om gegevens op verzoek te verwijderen („recht om te worden vergeten”).
- Verantwoording en controleerbaarheid: Houd gegevens bij (bijvoorbeeld logboeken van gegevensoverdrachten) om aan te tonen dat aan de voorschriften wordt voldaan.
Wat betreft het gebruik van AI volgens de GDPR geldt het verzenden van persoonlijke gegevens naar de API van een AI, of het nu gaat om het gebruik van de e-mail of de bestelgeschiedenis van een klant binnen een mum van tijd, volgens de definities van de AVG als „verwerking”. Dit betekent dat als persoonlijke gegevens, zoals namen, e-mails of adressen, naar ChatGPT, Claude of een ander hulpmiddel worden gestuurd, je ervoor moet zorgen dat ze rechtmatig worden verwerkt. Zonder veiligheidsmaatregelen riskeert u niet alleen een tik op de vingers — u zorgt ook voor ernstige problemen.
Is ChatGPT GDPR veilig?
ChatGPT's gespreksvaardigheden zijn onmiskenbaar, maar de GDPR-status is minder duidelijk. In juli 2025 heeft OpenAI nog geen formele GDPR-certificering behaald, terwijl OpenAI stelt dat ChatGPT is gebouwd met het oog op naleving van de AVG. De EU-toezichthouders hebben hun afkeuring doen fronsen over hun datapraktijken, met name over de manier waarop aanwijzingen kunnen worden geregistreerd of gebruikt om modellen te trainen.
- Bewaring en training van gegevens: ChatGPT voor consumenten (Free, Plus, Pro) bewaart gesprekken standaard 30 dagen voordat ze worden verwijderd en kunnen ze prompts en outputs gebruiken om de modellen te trainen — zelfs nadat je op 'verwijderen' hebt gedrukt (tenzij je een speciaal ondernemingsplan hebt).
- Opt-outs voor ondernemingen: ChatGPT Enterprise-klanten kunnen ervoor zorgen dat gegevens niet worden bewaard, waardoor OpenAI geen bedrijfsgegevens kan opslaan of trainen.
- De EU-regelgeving betreft: Op het gebied van GDPR en ChatGPT hebben EU-regelgevers hun bezorgdheid geuit over de privacypraktijken van OpenAI, met name rond PII in prompts.
- Toezicht op de regelgeving: Een recent Amerikaans gerechtelijk bevel vereist onbepaalde tijd behoud van verwijderde chats voor consumentengroepen in een NYT-rechtszaak, waarbij het gebruikelijke verwijderingsbeleid van 30 dagen in twijfel wordt getrokken en aanleiding geeft tot bezorgdheid over GDPR-conflicten. Dit idee van snelle logboekregistratie voor onbepaalde tijd botst met het principe van opslagbeperking van de GDPR.
Kort gezegd: ChatGPT is gedeeltelijk veilig, maar alleen met strikte waarborgen — voer PII nooit in op free/pro-niveaus; kies voor Enterprise zonder retentie; en houd voortdurend toezicht op beleidswijzigingen.
Voldoet Claude aan de GDPR?
Claude, gebouwd door Anthropic, neemt het over een andere boeg. Met zijn „Constitutionele AI” -benadering is het ontworpen om prioriteit te geven aan veiligheid en privacy. Antropic beweert dat Claude niet traint op door gebruikers ingediende gegevens, tenzij je je expliciet aanmeldt (bijvoorbeeld via feedbackinzendingen), wat een groot pluspunt is voor de naleving van de AVG door Claude. Ze bieden ook opties voor het verwijderen van gegevens en API's op bedrijfsniveau met sterkere privacygaranties.
- Privacy-forward by design: Zoals gezegd traint Claude standaard niet op door gebruikers ingediende gegevens en biedt hij sterke privacycontroles, waaronder het verwijderen van gegevens en aanpasbare privacyinstellingen.
- Bewaring en verwijdering van gegevens: Medewerkers van Anthropic bieden versleuteling tijdens het transport en in rust en hebben geen toegang tot gesprekken, tenzij je ervoor kiest ze te delen voor feedback. Zakelijke klanten krijgen een op maat gemaakt bewaarbeleid met verwijderingsopties.
- Certificeringen en gedragscode: Hoewel Anthropic nog geen door de EU goedgekeurde GDPR-certificering of lidmaatschap van de EU Cloud Code of Conduct heeft aangekondigd, heeft het bedrijf dankzij het standpunt van „privacy by default” een voorsprong op veel concurrenten. Maar u moet nog steeds een robuust addendum voor gegevensverwerking ondertekenen en ervoor zorgen dat u een EU-vertegenwoordiger hebt als u niet in de EU woont.
Kort gezegd: Meer op privacy afgestemd dan de meeste, maar zorgvuldigheid ten aanzien van contractuele voorwaarden (DPA, locatie van verwerking) is essentieel.
Wat is de GDPR-status van Gemini AI?
Gemini van Google integreert met het Google Cloud-ecosysteem, een grootmacht die voldoet aan de AVG. Als u Gemini via Vertex AI gebruikt, krijgt u controles op bedrijfsniveau, zoals selecteren waar gegevens worden verwerkt om te voldoen aan de verblijfsregels. Dat is een grote overwinning voor de Gemini AI GDPR-status.
- Ondernemen via Vertex AI: Wanneer u Gemini-modellen gebruikt via Vertex AI van Google Cloud, blijven uw gegevens in de door u gekozen regio, profiteren ze van de ISO 27001/27701-certificeringen van Google en worden ze niet gebruikt voor verdere training, tenzij u zich aanmeldt als onderdeel van een Trusted‑testerprogramma.
- Integratie van de werkruimte: Gemini in Google Workspace neemt de bestaande beveiligingscontroles van uw organisatie over. Uw prompts worden niet door mensen beoordeeld en gegevens tussen klanten worden niet gedeeld zonder toestemming.
- Consumentenversies (bijv. gemini.google.com): Kan interacties gedurende maximaal 72 uur registreren, en menselijke beoordeling is mogelijk, wat aanleiding geeft tot bezorgdheid over de privacy van gevoelige gegevens.
Kort gezegd: Google Gemini is GDPR-compatibel en veilige AI voor Europese bedrijven, alleen indien geïmplementeerd via Google Cloud of Workspace voor bedrijven. Consumentgerichte versies worden niet aanbevolen voor GDPR-gevoelige toepassingen.
.svg)
.svg)
.svg)
.svg)
.svg)
.svg)
