AI en AVG: wat mag je als MKB met klantdata en AI?

AI en AVG: wat mag je als MKB met klantdata en AI? Als ondernemer wil je AI inzetten om je bedrijf slimmer te laten werken — maar zodra je klantgegevens gebruikt, gelden de regels van de AVG. Mag je klantdata invoeren in ChatGPT? Een AI trainen op je orderhistorie? Dit artikel geeft heldere antwoorden voor het MKB.

AI en de AVG: waarom dit nu relevant is

Steeds meer MKB-bedrijven zetten AI in. Een chatbot die klantvragen beantwoordt, software die e-mails automatisch sorteert, een tool die klantprofielen analyseert — het is dagelijkse praktijk aan het worden. Maar zodra je klantgegevens in die tools invoert, ben je bezig met gegevensverwerking in de zin van de AVG.

De AVG (Algemene Verordening Gegevensbescherming) is de Nederlandse vertaling van de Europese GDPR. De wet geldt voor elk bedrijf dat persoonsgegevens verwerkt van mensen in de EU. En 'persoonsgegevens' is breder dan je denkt: een naam, e-mailadres, telefoonnummer of klantnummer valt er al onder.

Wat dit extra urgent maakt: met de invoering van de EU AI Act in 2026 worden de regels verder aangescherpt. Bedrijven moeten transparant zijn over hoe AI wordt ingezet, zeker als AI-beslissingen klanten direct raken. Wachten is geen optie meer.

Welke klantdata mag je gebruiken voor AI?

De AVG verbiedt het gebruik van klantdata voor AI niet — maar stelt wel voorwaarden. Je hebt een geldige verwerkingsgrondslag nodig. De drie meest relevante voor het MKB:

1. Toestemming van de klant

Je klant geeft expliciet toestemming voor het gebruik van zijn gegevens. Let op: vooraf aangevinkte vakjes tellen niet. Toestemming moet vrij, specifiek en ondubbelzinnig zijn. Voor AI-toepassingen is dit de moeilijkste grondslag — klanten moeten begrijpen waarvoor ze toestemming geven.

2. Uitvoering van een overeenkomst

Je gebruikt de data om een dienst te leveren waar de klant om heeft gevraagd. Een transportbedrijf dat AI inzet om de optimale bezorgroute te berekenen op basis van klantadressen, mag die adressen gebruiken — het is onderdeel van de afgesproken dienst.

3. Gerechtvaardigd belang

Je hebt een legitiem zakelijk belang bij de verwerking, en dat belang weegt zwaarder dan het privacybelang van de klant. Dit is de meest gebruikte grondslag voor analyse en marketingtoepassingen, maar ook de meest risicovolle. Documenteer altijd waarom dit belang gerechtvaardigd is.

Wat mag absoluut niet?

Bijzondere categorieën persoonsgegevens — gezondheidsdata, religieuze overtuigingen, ras, politieke opvattingen — zijn in principe verboden om te verwerken, ook niet voor AI. Een zorgpraktijk die een AI wil trainen op patiëntendossiers, of een werkgever die AI inzet om ziekteverzuim te voorspellen op basis van medische achtergrond: dat mag niet zonder expliciete toestemming én extra waarborgen.

Verwerkersovereenkomst bij AI-diensten

Gebruik je een externe AI-tool — zoals ChatGPT (OpenAI), Claude (Anthropic) of Azure AI (Microsoft)? Dan stuur je klantdata naar de servers van een derde partij. Die partij wordt een verwerker in de zin van de AVG, en jij blijft de verwerkingsverantwoordelijke. Dat betekent: de verantwoordelijkheid blijft bij jou.

Je bent verplicht een verwerkersovereenkomst (DPA — Data Processing Agreement) af te sluiten met elke AI-leverancier die klantdata voor jou verwerkt. Daarin staat:

• welke persoonsgegevens worden verwerkt
• waarvoor die data worden gebruikt (ook: worden ze gebruikt voor modeltraining?)
• hoe lang de data worden bewaard
• welke beveiligingsmaatregelen er zijn
• of data buiten de EU worden opgeslagen, en op welke basis

Hoe zit het bij de grote AI-providers?

• OpenAI (ChatGPT): Via de zakelijke API sluit OpenAI een DPA met je af en worden jouw data niet gebruikt voor modeltraining. Via de gratis of consumentenversie van ChatGPT geldt die bescherming niet. Voer nooit klantgegevens in via een consumenteninterface.
• Anthropic (Claude): Biedt via de API een DPA aan. Je kunt instellen dat data niet worden gebruikt voor training. Controleer de instellingen van je account.
• Microsoft Azure AI: Heeft uitgebreide AVG-compliance, inclusief mogelijkheid tot EU-dataopslag. Wordt gezien als de meest enterprise-geschikte keuze voor MKB-bedrijven met strenge privacyvereisten.

Praktische vuistregel: gebruik altijd een zakelijk abonnement of zakelijke API — nooit een gratis consumentenversie voor klantgevoelige data.

Praktische AVG-checklist voor het MKB

Ga je starten met AI en klantdata? Loop deze punten door:

• Grondslag vastgelegd: op welke AVG-grondslag verwerk je de data?
• Verwerkersovereenkomst: heb je een DPA afgesloten met je AI-leverancier?
• Privacyverklaring bijgewerkt: staat in je privacyverklaring dat je AI inzet?
• Data minimalisatie: gebruik je alleen de gegevens die echt nodig zijn?
• Bewaarbeleid: weet je hoe lang data bewaard worden en kun je ze laten verwijderen?
• Medewerkers geïnformeerd: weten je medewerkers welke klantdata ze wel en niet mogen invoeren in AI-tools?
• Register van verwerkingsactiviteiten: heb je de AI-toepassing opgenomen in je verwerkingsregister?

Heb je meer dan 250 medewerkers, of verwerk je op grote schaal gevoelige gegevens? Dan ben je verplicht een functionaris voor gegevensbescherming (FG) aan te stellen.

Wat te doen als je twijfelt?

Mag je die specifieke klantdata gebruiken voor dat AI-project? Twijfel je? Volg deze stappen:

Stap 1: Minimaliseer de data

Hoe minder persoonsgegevens, hoe minder risico. Anonimiseer of pseudonimiseer waar mogelijk. Als een klant-ID volstaat, gebruik dan geen naam en e-mailadres.

Stap 2: Controleer je DPA

Heeft je AI-leverancier een geldige verwerkersovereenkomst? Zo niet, stop dan direct of schakel over naar een leverancier die dat wel biedt. Zonder DPA ben je in overtreding.

Stap 3: Raadpleeg de AP

De Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl) heeft gratis richtlijnen over AI en privacy. Voor specifieke situaties kun je ook een voorafgaande raadpleging aanvragen.

Stap 4: Overweeg een DPIA

Een Data Protection Impact Assessment (DPIA) is verplicht als je op grote schaal klantprofielen aanmaakt of gevoelige data verwerkt. Maar ook als je twijfelt, is een DPIA een nuttig instrument — het dwingt je om de risico's en maatregelen op papier te zetten.

Stap 5: Haal advies

Een AVG-adviseur of jurist met kennis van AI kost een paar uur — en dat is goedkoper dan een boete van de AP. De AP kan boetes opleggen tot 4% van de wereldwijde jaaromzet.

Veelgestelde vragen

Mag ik klantgegevens gebruiken om een AI te trainen?

Ja, maar alleen met een geldige AVG-grondslag — toestemming, een overeenkomst of gerechtvaardigd belang — én een verwerkersovereenkomst met de AI-leverancier. Bijzondere categorieën zoals gezondheidsdata zijn extra beschermd en vereisen expliciete toestemming.

Moet ik mijn klanten vertellen dat ik AI gebruik?

Ja. Je privacyverklaring moet vermelden dat je AI inzet bij de verwerking van klantdata. Als AI-beslissingen rechtsgevolgen hebben voor klanten — zoals een kredietbeoordeling of prijsbepaling — hebben zij ook recht op een menselijke beoordeling.

Is ChatGPT AVG-compliant?

Via de zakelijke API (met DPA) kan het. Via de gratis of consumentenversie niet. Voer nooit klantgegevens in via een consumenteninterface zonder actieve DPA.

Wat is een verwerkersovereenkomst precies?

Een contract met je AI-leverancier dat vastlegt hoe zij jouw klantdata mogen gebruiken, beveiligen en bewaren. Zonder deze overeenkomst ben je als bedrijf in overtreding van de AVG, ook als de leverancier zelf AVG-compliant is.

Hoe weet ik of mijn AI-leverancier data opslaat buiten de EU?

Controleer de DPA of privacyverklaring van je leverancier. Microsoft Azure biedt EU-dataopslag standaard aan. OpenAI en Anthropic verwerken data primair in de VS, maar bieden EU-datalocaties aan voor zakelijke klanten. Vraag dit altijd na voor je start.