Waarom dit artikel belangrijk is
Veel Nederlandse bedrijven gebruiken AI-tools, maar weinig zijn zich volledig bewust van wat de AVG (en sinds kort de AI Act) wel en niet toestaat. Dit artikel geeft een praktisch overzicht, geen juridisch advies, wel duidelijke kaders die u helpen verstandige keuzes te maken.
De drie kernregels
Bij AI-gebruik gelden in de basis drie AVG-principes:
1. Doelbinding, u mag persoonsgegevens alleen gebruiken voor het doel waarvoor ze verzameld zijn.
2. Dataminimalisatie, verzamel en deel niet meer dan strikt nodig.
3. Transparantie, betrokkenen hebben recht te weten wat er met hun data gebeurt.
Deze drie principes vormen de toetssteen voor elke AI-implementatie.
Mag u klantdata in ChatGPT plakken?
In de basis: nee, tenzij u een Enterprise- of Team-abonnement heeft waarbij OpenAI contractueel toezegt de data niet voor training te gebruiken én u een verwerkersovereenkomst heeft afgesloten.
Voor de gratis en Plus-versie geldt dat input gebruikt kan worden voor verbetering van het model. Dat is voor klantdata niet acceptabel.
Wat is wel veilig?
Veilige opties voor zakelijk gebruik zijn:
- Claude voor Bedrijven met een verwerkersovereenkomst
- OpenAI Enterprise met dataresidentie in EU
- Lokale LLMs (zoals open-source modellen op uw eigen infrastructuur)
- Microsoft 365 Copilot met EU Data Boundary
- Custom-built AI-agents waarbij data nooit het EU-segment verlaat
NEXTRIQ bouwt standaard met deze laatste optie als data-gevoeligheid hoog is.
De AI Act: wat is nieuw?
De AI Act, sinds 2024 stapsgewijs in werking, deelt AI-systemen in vier risicocategorieën:
- Onaanvaardbaar risico: verboden (bijv. social scoring)
- Hoog risico: strenge eisen (bijv. AI in HR-besluiten)
- Beperkt risico: transparantieplicht (bijv. chatbots)
- Minimaal risico: geen extra eisen
Voor de meeste MKB-toepassingen valt u in categorie 3 of 4. Wat u in elk geval moet doen:
- Gebruikers informeren dat ze met AI praten (bijv. een chatbot)
- AI-gegenereerde content als zodanig markeren waar relevant
- Een logboek bijhouden van AI-beslissingen die mensen raken
De zeven praktische regels van NEXTRIQ
Voor elke AI-implementatie hanteren wij intern zeven regels:
1. Geen persoonsgegevens naar publieke AI-modellen zonder verwerkersovereenkomst
2. Data-segregatie per klant in multi-tenant systemen
3. Expliciete logging van AI-beslissingen die klanten raken
4. Menselijke escalatie ingebouwd voor gevoelige besluiten
5. Bewaartermijnen vastgelegd in de architectuur, niet in beleid
6. Subject access requests (inzage, verwijdering) technisch ondersteund
7. Periodieke security review op AI-componenten
Deze regels gelden voor alle pijlers, AI Agents, Software én Websites.
Wat zegt de Autoriteit Persoonsgegevens?
De AP heeft in 2024 en 2025 meerdere richtlijnen gepubliceerd over AI. Belangrijke punten:
- Bij AI-gebruik in werving en selectie geldt strenge transparantie
- Profiling op basis van AI vereist een wettelijke grondslag
- Geautomatiseerde besluitvorming is alleen toegestaan onder strikte voorwaarden
Bij twijfel raden wij aan een DPIA (Data Protection Impact Assessment) uit te voeren.
Veelgestelde vragen
Mag ik klant-e-mails samenvatten met AI?
Met de juiste partij (verwerkersovereenkomst, EU-residentie) ja. Met een gratis publieke tool nee.
Geldt dit ook voor mijn boekhouder of marketingbureau?
Ja. Vraag hen welke AI-tools ze gebruiken en of ze AVG-compliant zijn. U bent als opdrachtgever mede verantwoordelijk.
Wat is de boete bij overtreding?
Tot 4% van de wereldwijde jaaromzet onder de AVG, en tot € 35 miljoen onder de AI Act.
Hoe NEXTRIQ helpt
Wij bouwen alle AI-systemen AVG-conform op vanaf het architectuurniveau. In de AI Intelligence Scan beoordelen we per use case de juridische impact en verwerken dit in de roadmap. Voor specialistisch juridisch advies werken wij samen met externe partners.
Wilt u zekerheid dat uw AI-gebruik voldoet? Plan een vrijblijvend oriëntatiegesprek via NEXTRIQ.