GDPR-proof werken met AI-tools: checklist voor MKB-ondernemers in Nederland

GDPR-proof werken met AI-tools: checklist voor MKB-ondernemers in Nederland

Veel MKB-ondernemers gebruiken dagelijks AI-tools zoals ChatGPT, Claude of Gemini, maar hebben nooit gecontroleerd of dat gebruik voldoet aan de AVG. Dat is een risico dat groter is dan het lijkt. De Autoriteit Persoonsgegevens heeft AI-toepassingen expliciet op de radar en boetes voor AVG-overtredingen zijn geen theorie meer. Dit artikel geeft je een concrete privacy AI checklist waarmee je vandaag nog kunt beoordelen of jouw gebruik van GDPR AI tools in orde is, inclusief verwerkersovereenkomsten, dataminimalisatie en de data die je nooit in een AI-tool mag invoeren.

Waarom AVG en AI voor MKB een serieus vraagstuk is

Als je een klantgesprek samenvat in ChatGPT, een offerte laat schrijven op basis van klantgegevens of klantvragen door een AI-agent laat beantwoorden, verwerk je mogelijk persoonsgegevens. Onder de AVG ben jij als verwerkingsverantwoordelijke verplicht om te weten waar die gegevens naartoe gaan, hoe ze worden opgeslagen en of de partij die ze verwerkt voldoende garanties biedt.

Het probleem is dat de meeste AI-tools zijn gebouwd door Amerikaanse bedrijven: OpenAI, Anthropic en Google. Dat betekent dat gegevens standaard naar servers buiten de EU kunnen gaan. Dat is niet per definitie verboden, maar het vereist wel dat je de juiste contractuele en technische maatregelen hebt getroffen. Voor AVG AI MKB-gebruik geldt: onwetendheid is geen excuus.

Stap 1: Breng in kaart welke persoonsgegevens je invoert

Voordat je iets kunt regelen, moet je weten wat je feitelijk doet. Ga na welke medewerkers AI-tools gebruiken, voor welke taken en welke gegevens daarbij worden ingevoerd. Dit klinkt eenvoudig, maar in de praktijk blijkt dat teams van vijf tot vijftig mensen tientallen verschillende use cases hebben ontwikkeld, vaak zonder enig beleid.

Categoriseer de gegevens die je invoert in drie risiconiveaus:

• Geen persoonsgegevens: algemene teksten, productbeschrijvingen, interne procesdocumenten zonder namen of contactgegevens.
• Gewone persoonsgegevens: namen, e-mailadressen, functietitels, klantnummers.
• Bijzondere persoonsgegevens: gezondheidsgegevens, financiële gegevens, BSN-nummers, gegevens over religie of politieke voorkeur.

Bijzondere persoonsgegevens mag je in principe nooit zomaar invoeren in een externe AI-tool. Gewone persoonsgegevens mogen alleen als je de juridische grondslag hebt geregeld en de juiste overeenkomsten zijn gesloten.

Stap 2: Controleer de verwerkersovereenkomst AI

Een verwerkersovereenkomst (ook wel DPA, Data Processing Agreement) is verplicht als je persoonsgegevens laat verwerken door een derde partij. Bij AI-tools is die derde partij de aanbieder van de tool.

De grote aanbieders bieden dit aan, maar je moet er actief naar zoeken:

• OpenAI (ChatGPT, GPT-4o): biedt een DPA aan via de Enterprise- of API-omgeving. De gratis versie van ChatGPT biedt geen DPA en gebruikt invoer standaard voor modeltraining.
• Anthropic (Claude): biedt een DPA aan voor zakelijke accounts via Claude.ai for Business of de API.
• Google (Gemini): biedt een DPA aan via Google Workspace-integraties en de API.

Controleer voor elke AI-tool die je gebruikt of er een geldige verwerkersovereenkomst AI is afgesloten. Is dat niet het geval, dan mag je geen persoonsgegevens invoeren, punt. Zorg ook dat de DPA standaardcontractbepalingen (SCCs) bevat voor gegevensoverdracht naar landen buiten de EU, want dat is de juridische basis voor overdracht naar Amerikaanse servers.

Wat moet er minimaal in een verwerkersovereenkomst staan?

Een geldige DPA bevat in ieder geval: het doel van de verwerking, de categorieën van persoonsgegevens, de bewaartermijnen, de beveiligingsmaatregelen van de verwerker en de afspraken over subverwerkers. Controleer ook of de aanbieder je recht op inzage, correctie en verwijdering van gegevens kan ondersteunen.

Stap 3: Pas dataminimalisatie toe

Dataminimalisatie is een kernprincipe van de AVG: je verwerkt alleen de gegevens die strikt noodzakelijk zijn voor het doel. Bij AI-tools betekent dit concreet dat je leert werken met geanonimiseerde of gepseudonimiseerde invoer.

In plaats van "Schrijf een opvolgmail voor Jan de Vries van Bakkerij Koeman na ons gesprek van gisteren over zijn cashflowproblemen" schrijf je: "Schrijf een opvolgmail voor een MKB-klant in de voedingssector na een gesprek over liquiditeitsuitdagingen." Het resultaat is even bruikbaar, maar je hebt geen persoonsgegevens ingevoerd.

Maak hiervan een bedrijfsbrede werkwijze. Train je team actief op het anonimiseren van prompts. Dit is geen bureaucratische maatregel, het beschermt je bedrijf en je klanten.

Stap 4: Zet modeltraining uit

Veel AI-tools gebruiken jouw invoer standaard om hun modellen te verbeteren. Dat is een vorm van verwerking die je expliciet moet uitsluiten als je persoonsgegevens gebruikt.

Bij ChatGPT kun je dit uitschakelen via de privacy-instellingen van je account. Bij Claude en Gemini Business-accounts is training op jouw data standaard uitgeschakeld. Controleer dit per tool en leg vast dat je deze instelling hebt gecontroleerd. Gebruik bij voorkeur de zakelijke of enterprise-versie van een tool, omdat die doorgaans sterkere privacygaranties biedt dan de gratis consumentenversie.

Stap 5: Documenteer je verwerkingen in het register

De AVG verplicht de meeste organisaties een register van verwerkingsactiviteiten bij te houden. AI-tools zijn een relatief nieuwe categorie die veel ondernemers nog niet hebben opgenomen in dit register.

Voeg voor elke AI-tool die je zakelijk gebruikt een vermelding toe met: de naam van de tool, het doel van het gebruik, de categorieën van verwerkte gegevens, de bewaartermijn bij de aanbieder en de juridische grondslag. Dit kost eenmalig een uur werk en geeft je bij een eventuele controle door de Autoriteit Persoonsgegevens direct het bewijs dat je bewust en gestructureerd met AI AVG Nederland-compliance omgaat.

Wat je nooit in een AI-tool mag invoeren

Voor de duidelijkheid: een harde lijst van gegevens die je zonder uitgebreide juridische voorbereiding nooit in een externe AI-tool invoert:

• BSN-nummers van medewerkers of klanten
• Medische of gezondheidsgegevens
• Financiële rekeningnummers of creditcardgegevens
• Wachtwoorden of inloggegevens
• Strafrechtelijke gegevens
• Gegevens van minderjarigen

Twijfel je bij een specifiek geval? Hanteer dan de simpele regel: als je het niet op een openbare website zou zetten, voer het ook niet in een AI-tool in zonder dat je de verwerking contractueel hebt geregeld.

GDPR-proof AI-gebruik is in een paar weken geregeld

De vijf stappen uit deze checklist kosten samen een paar dagdelen: gebruik inventariseren, verwerkersovereenkomsten afsluiten, dataminimalisatie trainen, modeltraining uitzetten en je verwerkingsregister bijwerken. Daarna kun je AI-tools met vertrouwen inzetten in je hele bedrijf, zonder dat een AP-controle of klantvraag je nerveus maakt.

Wil je hulp bij het doorlichten van jouw AI-stack, of meteen kijken waar automatisering je de meeste tijd oplevert? Plan een gratis discovery call.