Home / GDPR / GDPR en AI-tools: welke data mag je voeren aan ChatGPT? GDPR en AI-tools: welke data mag je voeren aan ChatGPT? 21/05/2026 GDPR, AI De vraag rond GDPR en AI-tools komt elke week wel ergens op tafel. Je marketeer wil snel een mailing schrijven met ChatGPT, je sales-collega gooit een offerte in de chat om ze “even te laten polijsten” en HR gebruikt AI om sollicitatiebrieven samen te vatten. Handig. Maar mag dat eigenlijk wel? Veel bedrijven worstelen met dezelfde twijfel: waar ligt de grens tussen slim AI inzetten en een datalek veroorzaken? In dit artikel leggen we het concreet uit. Geen juridische mist, wel duidelijke richtlijnen. Bij Conversal helpen we dagelijks KMO’s om AI slim in te zetten in hun marketing-, sales- en operationele processen. De vraag die we het vaakst krijgen is niet “werkt ChatGPT goed?” (dat weten mensen ondertussen wel) maar “hoe gebruik ik dit op een manier die voor mijn bedrijf veilig en werkbaar is?” Want de tools zijn er. De goesting ook. Maar het kader ontbreekt nog bij veel bedrijven. In dit artikel geven we dat kader, concreet en zonder juridisch jargon. TL;DR: onder de GDPR mag je geen herleidbare persoonsgegevens in publieke AI-tools stoppen. Werk met geanonimiseerde data, gebruik ChatGPT Enterprise of de API met een verwerkersovereenkomst en zet training-opt-out aan. Bijzondere categorieën zoals gezondheids- of HR-data blijven volledig uit de chat. Wat zegt de GDPR over AI-tools zoals ChatGPT? De GDPR (in België ook AVG genoemd) is geen nieuwe wet meer. Ze bestaat sinds 2018 en regelt hoe je persoonsgegevens van EU-burgers mag verwerken. Het punt is: zodra je data invoert in ChatGPT die te herleiden is naar een persoon, ben je aan het verwerken in de zin van de wet. En verwerken betekent: je hebt een rechtmatige grondslag nodig, je moet aan dataminimalisatie doen, en je moet weten waar je data terechtkomt. Voor publieke AI-tools is dat laatste vaak het lastigste deel. Belangrijk om te beseffen: jij als bedrijf bent de verwerkingsverantwoordelijke. OpenAI is de verwerker. Dat betekent dat jij aansprakelijk bent als een medewerker iets fouts doet met klantdata in ChatGPT, ook al heb je het niet zelf gedaan. Juridisch: de Belgische Gegevensbeschermingsautoriteit (GBA) houdt toezicht op AI-gebruik door bedrijven en kan boetes opleggen tot 4% van je wereldwijde omzet bij ernstige inbreuken. AI-tools zijn voor hen geen uitzondering. Wat telt als persoonsgegevens in een AI-context? Hier zit een hardnekkig misverstand. Veel mensen denken: “Ik vul geen naam in dus het zijn geen persoonsgegevens.” Dat klopt niet. Persoonsgegevens zijn alle gegevens die direct of indirect naar een natuurlijke persoon herleidbaar zijn. Dat gaat veel verder dan voornaam-achternaam. Direct identificeerbaar: namen, e-mailadressen, telefoonnummers, rijksregisternummer, foto’s Indirect identificeerbaar: IP-adressen, klant-ID’s, combinaties zoals “vrouw, 42, fysiotherapeut in Gent” Bijzondere categorieën: gezondheidsdata, etnische afkomst, religie, politieke voorkeur, biometrische data, seksuele geaardheid Gevoelige bedrijfsdata: niet altijd persoonsgegevens, maar wél bedrijfsgeheim — denk aan financiële cijfers, contractvoorwaarden, productroadmaps Die laatste categorie is geen GDPR-issue strikt genomen, maar wél een risico. Eens iets in een publieke AI staat, krijg je het niet meer terug. Welke data mag absoluut niet in ChatGPT? Dit is waar het voor veel bedrijven misgaat. Voorbeelden van data die je in principe niet zomaar mag invoeren in een publieke AI-tool: Klantenbestanden: namenlijsten, e-mailadressen, telefoonnummers van klanten of prospects HR-data: sollicitatiebrieven met naam, beoordelingen van medewerkers, salarisgegevens, ziektedossiers Medische of gezondheidsdata: patiëntinformatie, behandelplannen, verzekeringsdossiers Financiële persoonsgegevens: rekeningnummers, kredietinformatie, betalingsgeschiedenis van individuen Juridische dossiers: zaken die onder beroepsgeheim vallen of waar minderjarigen in voorkomen Bedrijfsgeheim van klanten: contracten, strategiedocumenten, broncode van derde partijen Voorbeeld: een sales-collega plakt een hele klantenlijst in ChatGPT om “even snel een gepersonaliseerde mailing te schrijven”. Dat is meteen al een inbreuk op de GDPR, ook als ChatGPT die data niet bewaart voor training. Het gaat er niet om dat je de intentie hebt om te misbruiken, het gaat om het risico dat die data extern verwerkt, opgeslagen of zelfs gedeeld wordt op manieren die jij niet controleert. Welke data is wel veilig om te gebruiken? Goed nieuws: er blijft genoeg over om AI productief in te zetten. De truc is dat je data zo verwerkt dat herleidbaarheid uitgesloten is. Volledig fictieve voorbeelden: verzin een persona (“Jan, 38, restaurant uitbater”) in plaats van een echte klant te gebruiken Geanonimiseerde data: verwijder alle directe en indirecte identificatoren, zodat heridentificatie technisch onmogelijk is Geaggregeerde data: “gemiddelde leeftijd van onze klanten is 42” in plaats van individuele records Publiek beschikbare informatie: info van je eigen website, openbare documenten, marktonderzoeken Eigen tekst-drafts: blogteksten, productbeschrijvingen, interne nota’s zonder persoonlijke verwijzingen Lees ook: de basis van GDPR-compliance op een rij. Anonimiseren versus pseudonimiseren: het verschil dat telt Veel bedrijven verwarren deze twee. Het verschil is juridisch enorm belangrijk. Anonimiseren betekent dat je persoonsgegevens onomkeerbaar verwijdert, zodat niemand de betrokken persoon nog kan identificeren. Echte anonimisering valt buiten de GDPR: er is geen persoonsgegeven meer. Maar let op: een naam vervangen door “Klant X” is niet genoeg als je er ook bedrijf, sector en regio bij vermeldt. Dan blijft iemand identificeerbaar. Pseudonimiseren gaat minder ver: je vervangt gegevens door een code, maar de koppeling met de echte persoon bestaat nog ergens. “Klant #4821” is pseudonimisering, en GDPR blijft van toepassing. “Een B2B-klant in de industrie, actief sinds meer dan 3 jaar” zonder unieke identifier is echte anonimisering. ChatGPT-versies: niet allemaal gelijk voor GDPR ChatGPT gratis en Plus Standaard gebruikt OpenAI je input voor modeltraining. Je kan dit uitschakelen via de privacy-instellingen, maar dat is een individuele keuze per gebruiker. Voor zakelijk gebruik is dit eigenlijk te wankel. ChatGPT Team en Enterprise OpenAI traint hier standaard niet op je data. Je krijgt een Data Processing Addendum (DPA), wat de basis vormt voor GDPR-conform gebruik. Voor bedrijven die structureel met AI werken, is dit de minimumstandaard. ChatGPT via API Via de API (bijvoorbeeld geïntegreerd in eigen tools of automatisaties) wordt data niet gebruikt voor training en bewaart OpenAI logs slechts 30 dagen voor veiligheidscontroles. Dit geeft de meeste controle voor maatwerktoepassingen. Hoe maak je AI-gebruik wel GDPR-conform? AI verbieden in je organisatie lost niets op. Zonder beleid gebruiken medewerkers het gewoon buiten het zicht van IT of management. Wat wel werkt: heldere richtlijnen over welke tools toegestaan zijn, waarvoor, en wat er nooit in mag. Stel een AI-policy op: wat mag wel, wat niet, en op welke tools. Maak het concreet met voorbeelden uit de eigen praktijk. Kies de juiste licentie: minimum ChatGPT Team of Enterprise voor structureel gebruik. Niet de gratis versie voor klantdata. Onderteken de DPA: de verwerkersovereenkomst van OpenAI is verplicht voor zakelijk gebruik onder GDPR. Train je team: uitleggen wat persoonsgegevens zijn en hoe je prompts veilig schrijft. Eén workshop volstaat vaak. Voer een DPIA uit: bij grootschalige verwerking van gevoelige data is een Data Protection Impact Assessment verplicht (art. 35 GDPR). Bouw een sanitisatiestap in bij automatisaties: als je AI integreert via tools als Make.com, n8n of directe API-koppelingen: voeg een stap toe die persoonsgegevens filtert vóór ze de AI bereiken. Documenteer alles: welke tools jullie gebruiken, voor welke doeleinden, met welke data. Bij controle moet je dit kunnen tonen. Lees ook: hoe je AI slim integreert in je bedrijfsprocessen. Meer halen uit GDPR en AI-tools? Wil je AI productief inzetten zonder juridische risico’s? Wij helpen het integreren van AI in je workflows op een GDPR-conforme manier. Contacteer ons Praktische do’s en don’ts voor dagelijks AI-gebruik Even concreet. Wat doe je morgenochtend anders als je deze ochtend ChatGPT opent? Do’sDon’tsWerk met persona’s: “Schrijf een mail naar een 45-jarige zaakvoerder van een KMO” in plaats van een echte naamGeen klantenlijsten plakken: ook niet “even snel” voor een mailmergeVervang voor je plakt: doe een zoek-en-vervang op namen, e-mails en telefoonnummers voor je een tekst in de chat zetGeen sollicitaties uploaden: CV’s bevatten altijd persoonsgegevens, vaak ook bijzondere categorieënGebruik de API voor automatisaties: bij integraties in je eigen systemen geeft de API meer controle dan de chatinterfaceGeen interne documenten met namen: beoordelingsgesprekken, vergaderverslagen, klantcorrespondentieZet training-opt-out aan: bij elke account die je team gebruikt, ook als jullie betaalde versies hebbenGeen patiëntdata of medische info: nooit, in geen enkele versie van een publieke AI-tool De EU AI Act: extra laag bovenop de GDPR Sinds april 2024 is de EU AI Act van kracht, met gefaseerde implementatie tot 2026. Voor de meeste KMO’s die AI gebruiken voor marketing of interne automatisaties is de impact beperkt. Maar voor bepaalde toepassingen wel relevant. De AI Act kijkt naar het risico van het AI-systeem, niet alleen naar de data. Hoog-risico systemen (denk aan AI voor sollicitantenscreening, kredietbeoordeling of medische diagnose) krijgen strenge verplichtingen rond transparantie, menselijke controle en documentatie. De combinatie van GDPR en AI Act betekent concreet: dubbel kijken voor je structureel iets met AI uitrolt dat impact heeft op individuen. In dat geval is een DPIA (een formele privacyrisicoanalyse) vaak verplicht of sterk aan te raden. Veelgestelde vragen over GDPR en AI-tools Welke persoonsgegevens mag ik niet invoeren in ChatGPT? Geen enkele direct herleidbare persoonsgegeven (namen, e-mails, telefoonnummers, klant-ID’s), geen HR-data, en zeker geen bijzondere categorieën zoals gezondheids-, religieuze of biometrische data. Werk altijd met geanonimiseerde of fictieve voorbeelden. Is ChatGPT GDPR-compliant voor bedrijfsgebruik? ChatGPT Enterprise en de API zijn dat in principe, mits je de Data Processing Addendum tekent en je interne processen op orde hebt. De gratis en Plus-versies bieden onvoldoende garanties voor zakelijk gebruik met persoonsgegevens. Heeft ChatGPT een verwerkersovereenkomst nodig? Ja. Zodra je via ChatGPT persoonsgegevens verwerkt, ben je verplicht een verwerkersovereenkomst (DPA) af te sluiten met OpenAI. Die is beschikbaar via ChatGPT Enterprise, Team en de API, niet via de gratis versie. Mag ik klantdata gebruiken in AI-tools? Alleen als je een geldige rechtsgrond hebt, dataminimalisatie toepast, een DPA hebt met de provider en de data zoveel mogelijk anonimiseert. Voor de meeste praktijksituaties is werken met geanonimiseerde of geaggregeerde data de veiligste route. Hoe anonimiseer ik data voor gebruik in AI-tools? Verwijder alle directe identificatoren (namen, e-mails, telefoonnummers) én indirecte identificatoren (locatie + leeftijd + beroep kunnen samen iemand identificeren). Bij twijfel: werk met volledig fictieve voorbeelden. Pseudonimiseren volstaat niet onder de GDPR. Klaar om kennis te maken? We blazen je niet omver met loze beloftes, maar met strategie, creativiteit en bewezen impact. Ontdek wat we samen voor jouw business kunnen betekenen. Bekijk onze cases Contacteer ons Trending topics Bekijk meer artikels AI, Webdesign, Webdevelopment, WordPress 8 juli 2026 Je website laten maken door AI of door een bureau: wat kies je in 2026? Je wil een website laten maken, maar de keuze in 2026 voelt verwarrender dan ooit. Een AI-tool spuwt in tien minuten een werkende site uit. Een bureau vraagt een paar weken en… Lees meer AI, Webdesign, Webdevelopment 8 juli 2026 Kan AI je website bouwen? Wat Wix AI, Framer en Lovable wél en niet kunnen Een AI website bouwen klinkt verleidelijk: je typt enkele zinnen, drukt op een knop en tien minuten later staat er een complete site online. Geen bureau, geen offertes, geen wachttijden. Te mooi… Lees meer AI 8 juli 2026 AI-chatbot website: 70% van je vragen automatisch beantwoord “Wat zijn jullie openingsuren?” “Leveren jullie ook in Wallonië?” “Waar blijft mijn bestelling?” Herkenbaar? De meeste bedrijven beantwoorden dag in dag uit dezelfde tien vragen, via mail, telefoon en contactformulier. Ondertussen haken… Lees meer AI, Online marketing 8 juli 2026 AI-tools voor marketeers in 2026: de complete vergelijking Elke week duikt er wel een nieuwe AI-tool op die “je marketing voor altijd verandert”. Het resultaat? Marketeers die betalen voor vijf abonnementen, er twee gebruiken en met geen enkele écht resultaat… Lees meer AI, Content, Online marketing 30 juni 2026 AI Overviews verlagen je clicks maar je bezoekers worden waardevoller Je ziet je organische verkeer dalen en je vraagt je af wat er gebeurt? AI Overviews zijn waarschijnlijk de boosdoener. Google plaatst een AI-gegenereerd antwoord bovenaan de zoekresultaten en je bezoeker hoeft… Lees meer AI, Webshop 23 juni 2026 Agentic browsing: kan een AI-agent jouw webshop bedienen? Stel: een klant typt in ChatGPT of Gemini “zoek een stille snoerloze stofzuiger onder de 200 euro en bestel hem”. Geen Google-zoekopdracht, geen twintig tabbladen, geen bezoek aan jouw webshop. Een AI-agent… Lees meer Bekijk alle artikels