Mag ik klantgegevens in ChatGPT zetten?

Niet zonder verwerkersafspraken. Gebruik je een zakelijke variant met een verwerkersovereenkomst en training uitgeschakeld, dan kan het binnen kaders. Voor echt gevoelige gegevens kies je een lokaal model.

Is een lokaal model altijd nodig voor de AVG?

Nee. Voor data zonder persoonsgegevens volstaat een publiek model prima. Een lokaal model zet je in wanneer gevoelige of vertrouwelijke data je pand niet mag verlaten.

Wie is verantwoordelijk als de AI een fout maakt?

Jij, als je het zelfstandig laat beslissen. Houd daarom altijd een mens in de controlestap. AI bereidt voor, een mens neemt het besluit.

Artikel

AI en de AVG: wat mag wel en wat niet?

14 juni 2026 · 6 min lezen

Je mag AI zakelijk gebruiken, ook met de AVG in je achterhoofd. De kern: zet geen persoonsgegevens of gevoelige bedrijfsdata in een publiek model zonder afspraken. Werk met verwerkersafspraken, kies een lokaal model waar het moet en laat een mens de eindbeslissing nemen.

De AVG verbiedt AI niet. Hij stelt eisen aan hoe je met persoonsgegevens omgaat. Een tool als ChatGPT of Claude is gewoon software die data verwerkt. De vraag is dus niet of je AI mag gebruiken, maar welke data je erin stopt en met wie je afspraken hebt gemaakt.

Welke data mag wel in een publiek model?

Algemene vragen, concepten en data zonder persoonsgegevens kun je rustig aan een publiek model voorleggen. Denk aan een tekst herschrijven, een samenvatting maken van een openbaar rapport of een idee uitwerken. Zolang er geen klantnaam, BSN, medisch gegeven of vertrouwelijk contract in zit, loop je weinig risico.

Welke data houd je eruit?

Persoonsgegevens van klanten of medewerkers, zoals namen gekoppeld aan adres, e-mail of telefoonnummer.
Gevoelige gegevens, zoals gezondheid, geloof of strafrechtelijke informatie.
Bedrijfsgeheimen en vertrouwelijke contracten.
Inloggegevens, API-sleutels en wachtwoorden.

Moet je toch met dit soort data werken, dan zijn er twee veilige routes. Je sluit een verwerkersovereenkomst met de aanbieder en gebruikt een zakelijke variant met de juiste garanties. Of je draait een lokaal model op je eigen server, zodat de data je pand niet verlaat.

Lokale modellen voor gevoelige data

Een lokaal model draait op je eigen hardware of een server die jij beheert. De data gaat nergens naartoe. Voor een zorgpraktijk, een gemeente of een bedrijf met veel vertrouwelijke dossiers is dit vaak de rustigste keuze. Je levert wat snelheid en gemak in, maar je houdt volledige controle over waar de gegevens blijven.

Verwerkersafspraken op orde

Werk je met een zakelijke AI-dienst, leg dan vast wat de aanbieder met je data doet. Wordt je input gebruikt om het model te trainen? Waar staan de servers? Hoe lang wordt data bewaard? Een verwerkersovereenkomst regelt dit. Veel zakelijke pakketten bieden de optie om training op jouw data uit te zetten. Zet die aan.

Dit is geen juridisch advies. Het is de praktische lijn die ik bij MKB-klanten in Noord-Nederland aanhoud. Twijfel je over een specifieke situatie, leg die voor aan een privacyjurist.

De mens blijft aan het stuur

AI bereidt voor, jij beslist. Laat een model nooit zelfstandig besluiten nemen over mensen, zoals een sollicitatie afwijzen of een kredietaanvraag beoordelen. Gebruik het om voor te bereiden en te ordenen, en laat een collega de uitkomst controleren. Zo blijf je verantwoordelijk en uitlegbaar, precies wat de AVG van je vraagt.

VEELGESTELDE VRAGEN