GDPR en AI-tools: welke data mag je voeren aan ChatGPT?

GDPR, AI

De vraag rond GDPR en AI-tools komt elke week wel ergens op tafel. Je marketeer wil snel een mailing schrijven met ChatGPT, je sales-collega gooit een offerte in de chat om ze “even te laten polijsten” en HR gebruikt AI om sollicitatiebrieven samen te vatten. Handig. Maar mag dat eigenlijk wel?

Veel bedrijven worstelen met dezelfde twijfel: waar ligt de grens tussen slim AI inzetten en een datalek veroorzaken? In dit artikel leggen we het concreet uit. Geen juridische mist, wel duidelijke richtlijnen.

Bij Conversal helpen we dagelijks KMO’s om AI slim in te zetten in hun marketing-, sales- en operationele processen. De vraag die we het vaakst krijgen is niet “werkt ChatGPT goed?” (dat weten mensen ondertussen wel) maar “hoe gebruik ik dit op een manier die voor mijn bedrijf veilig en werkbaar is?” Want de tools zijn er. De goesting ook. Maar het kader ontbreekt nog bij veel bedrijven. In dit artikel geven we dat kader, concreet en zonder juridisch jargon.

TL;DR: onder de GDPR mag je geen herleidbare persoonsgegevens in publieke AI-tools stoppen. Werk met geanonimiseerde data, gebruik ChatGPT Enterprise of de API met een verwerkersovereenkomst en zet training-opt-out aan. Bijzondere categorieën zoals gezondheids- of HR-data blijven volledig uit de chat.

Wat zegt de GDPR over AI-tools zoals ChatGPT?

De GDPR (in België ook AVG genoemd) is geen nieuwe wet meer. Ze bestaat sinds 2018 en regelt hoe je persoonsgegevens van EU-burgers mag verwerken. Het punt is: zodra je data invoert in ChatGPT die te herleiden is naar een persoon, ben je aan het verwerken in de zin van de wet.

En verwerken betekent: je hebt een rechtmatige grondslag nodig, je moet aan dataminimalisatie doen, en je moet weten waar je data terechtkomt. Voor publieke AI-tools is dat laatste vaak het lastigste deel.

Belangrijk om te beseffen: jij als bedrijf bent de verwerkingsverantwoordelijke. OpenAI is de verwerker. Dat betekent dat jij aansprakelijk bent als een medewerker iets fouts doet met klantdata in ChatGPT, ook al heb je het niet zelf gedaan.

Juridisch: de Belgische Gegevensbeschermingsautoriteit (GBA) houdt toezicht op AI-gebruik door bedrijven en kan boetes opleggen tot 4% van je wereldwijde omzet bij ernstige inbreuken. AI-tools zijn voor hen geen uitzondering.

Wat telt als persoonsgegevens in een AI-context?

Persoon bekijkt het ChatGPT-startscherm op een laptop, klaar om een prompt in te typen.

Hier zit een hardnekkig misverstand. Veel mensen denken: “Ik vul geen naam in dus het zijn geen persoonsgegevens.” Dat klopt niet.

Persoonsgegevens zijn alle gegevens die direct of indirect naar een natuurlijke persoon herleidbaar zijn. Dat gaat veel verder dan voornaam-achternaam.

  • Direct identificeerbaar: namen, e-mailadressen, telefoonnummers, rijksregisternummer, foto’s
  • Indirect identificeerbaar: IP-adressen, klant-ID’s, combinaties zoals “vrouw, 42, fysiotherapeut in Gent”
  • Bijzondere categorieën: gezondheidsdata, etnische afkomst, religie, politieke voorkeur, biometrische data, seksuele geaardheid
  • Gevoelige bedrijfsdata: niet altijd persoonsgegevens, maar wél bedrijfsgeheim — denk aan financiële cijfers, contractvoorwaarden, productroadmaps

Die laatste categorie is geen GDPR-issue strikt genomen, maar wél een risico. Eens iets in een publieke AI staat, krijg je het niet meer terug.

Welke data mag absoluut niet in ChatGPT?

Dit is waar het voor veel bedrijven misgaat. Voorbeelden van data die je in principe niet zomaar mag invoeren in een publieke AI-tool:

  • Klantenbestanden: namenlijsten, e-mailadressen, telefoonnummers van klanten of prospects
  • HR-data: sollicitatiebrieven met naam, beoordelingen van medewerkers, salarisgegevens, ziektedossiers
  • Medische of gezondheidsdata: patiëntinformatie, behandelplannen, verzekeringsdossiers
  • Financiële persoonsgegevens: rekeningnummers, kredietinformatie, betalingsgeschiedenis van individuen
  • Juridische dossiers: zaken die onder beroepsgeheim vallen of waar minderjarigen in voorkomen
  • Bedrijfsgeheim van klanten: contracten, strategiedocumenten, broncode van derde partijen

Voorbeeld: een sales-collega plakt een hele klantenlijst in ChatGPT om “even snel een gepersonaliseerde mailing te schrijven”. Dat is meteen al een inbreuk op de GDPR, ook als ChatGPT die data niet bewaart voor training.

Het gaat er niet om dat je de intentie hebt om te misbruiken, het gaat om het risico dat die data extern verwerkt, opgeslagen of zelfs gedeeld wordt op manieren die jij niet controleert.

Welke data is wel veilig om te gebruiken?

Hand houdt een smartphone vast met de ChatGPT-app open, klaar om een vraag in te typen.

Goed nieuws: er blijft genoeg over om AI productief in te zetten. De truc is dat je data zo verwerkt dat herleidbaarheid uitgesloten is.

  • Volledig fictieve voorbeelden: verzin een persona (“Jan, 38, restaurant uitbater”) in plaats van een echte klant te gebruiken
  • Geanonimiseerde data: verwijder alle directe en indirecte identificatoren, zodat heridentificatie technisch onmogelijk is
  • Geaggregeerde data: “gemiddelde leeftijd van onze klanten is 42” in plaats van individuele records
  • Publiek beschikbare informatie: info van je eigen website, openbare documenten, marktonderzoeken
  • Eigen tekst-drafts: blogteksten, productbeschrijvingen, interne nota’s zonder persoonlijke verwijzingen

Lees ook: de basis van GDPR-compliance op een rij.

Anonimiseren versus pseudonimiseren: het verschil dat telt

Veel bedrijven verwarren deze twee. Het verschil is juridisch enorm belangrijk.

  • Anonimiseren betekent dat je persoonsgegevens onomkeerbaar verwijdert, zodat niemand de betrokken persoon nog kan identificeren. Echte anonimisering valt buiten de GDPR: er is geen persoonsgegeven meer. Maar let op: een naam vervangen door “Klant X” is niet genoeg als je er ook bedrijf, sector en regio bij vermeldt. Dan blijft iemand identificeerbaar.
  • Pseudonimiseren gaat minder ver: je vervangt gegevens door een code, maar de koppeling met de echte persoon bestaat nog ergens. “Klant #4821” is pseudonimisering, en GDPR blijft van toepassing. “Een B2B-klant in de industrie, actief sinds meer dan 3 jaar” zonder unieke identifier is echte anonimisering.

ChatGPT-versies: niet allemaal gelijk voor GDPR

ChatGPT gratis en Plus

Standaard gebruikt OpenAI je input voor modeltraining. Je kan dit uitschakelen via de privacy-instellingen, maar dat is een individuele keuze per gebruiker. Voor zakelijk gebruik is dit eigenlijk te wankel.

ChatGPT Team en Enterprise

OpenAI traint hier standaard niet op je data. Je krijgt een Data Processing Addendum (DPA), wat de basis vormt voor GDPR-conform gebruik. Voor bedrijven die structureel met AI werken, is dit de minimumstandaard.

ChatGPT via API

Via de API (bijvoorbeeld geïntegreerd in eigen tools of automatisaties) wordt data niet gebruikt voor training en bewaart OpenAI logs slechts 30 dagen voor veiligheidscontroles. Dit geeft de meeste controle voor maatwerktoepassingen.

Hoe maak je AI-gebruik wel GDPR-conform?

AI verbieden in je organisatie lost niets op. Zonder beleid gebruiken medewerkers het gewoon buiten het zicht van IT of management. Wat wel werkt: heldere richtlijnen over welke tools toegestaan zijn, waarvoor, en wat er nooit in mag.

  1. Stel een AI-policy op: wat mag wel, wat niet, en op welke tools. Maak het concreet met voorbeelden uit de eigen praktijk.
  2. Kies de juiste licentie: minimum ChatGPT Team of Enterprise voor structureel gebruik. Niet de gratis versie voor klantdata.
  3. Onderteken de DPA: de verwerkersovereenkomst van OpenAI is verplicht voor zakelijk gebruik onder GDPR.
  4. Train je team: uitleggen wat persoonsgegevens zijn en hoe je prompts veilig schrijft. Eén workshop volstaat vaak.
  5. Voer een DPIA uit: bij grootschalige verwerking van gevoelige data is een Data Protection Impact Assessment verplicht (art. 35 GDPR).
  6. Bouw een sanitisatiestap in bij automatisaties: als je AI integreert via tools als Make.com, n8n of directe API-koppelingen: voeg een stap toe die persoonsgegevens filtert vóór ze de AI bereiken.
  7. Documenteer alles: welke tools jullie gebruiken, voor welke doeleinden, met welke data. Bij controle moet je dit kunnen tonen.

Lees ook: hoe je AI slim integreert in je bedrijfsprocessen.

Meer halen uit GDPR en AI-tools?

Wil je AI productief inzetten zonder juridische risico’s? Wij helpen het integreren van AI in je workflows op een GDPR-conforme manier.

Contacteer ons

Praktische do’s en don’ts voor dagelijks AI-gebruik

Even concreet. Wat doe je morgenochtend anders als je deze ochtend ChatGPT opent?

Do’sDon’ts
Werk met persona’s: “Schrijf een mail naar een 45-jarige zaakvoerder van een KMO” in plaats van een echte naamGeen klantenlijsten plakken: ook niet “even snel” voor een mailmerge
Vervang voor je plakt: doe een zoek-en-vervang op namen, e-mails en telefoonnummers voor je een tekst in de chat zetGeen sollicitaties uploaden: CV’s bevatten altijd persoonsgegevens, vaak ook bijzondere categorieën
Gebruik de API voor automatisaties: bij integraties in je eigen systemen geeft de API meer controle dan de chatinterfaceGeen interne documenten met namen: beoordelingsgesprekken, vergaderverslagen, klantcorrespondentie
Zet training-opt-out aan: bij elke account die je team gebruikt, ook als jullie betaalde versies hebbenGeen patiëntdata of medische info: nooit, in geen enkele versie van een publieke AI-tool

De EU AI Act: extra laag bovenop de GDPR

Sinds april 2024 is de EU AI Act van kracht, met gefaseerde implementatie tot 2026. Voor de meeste KMO’s die AI gebruiken voor marketing of interne automatisaties is de impact beperkt. Maar voor bepaalde toepassingen wel relevant.

De AI Act kijkt naar het risico van het AI-systeem, niet alleen naar de data. Hoog-risico systemen (denk aan AI voor sollicitantenscreening, kredietbeoordeling of medische diagnose) krijgen strenge verplichtingen rond transparantie, menselijke controle en documentatie.

De combinatie van GDPR en AI Act betekent concreet: dubbel kijken voor je structureel iets met AI uitrolt dat impact heeft op individuen. In dat geval is een DPIA (een formele privacyrisicoanalyse) vaak verplicht of sterk aan te raden.

Veelgestelde vragen over GDPR en AI-tools

Welke persoonsgegevens mag ik niet invoeren in ChatGPT?

Geen enkele direct herleidbare persoonsgegeven (namen, e-mails, telefoonnummers, klant-ID’s), geen HR-data, en zeker geen bijzondere categorieën zoals gezondheids-, religieuze of biometrische data. Werk altijd met geanonimiseerde of fictieve voorbeelden.

Is ChatGPT GDPR-compliant voor bedrijfsgebruik?

ChatGPT Enterprise en de API zijn dat in principe, mits je de Data Processing Addendum tekent en je interne processen op orde hebt. De gratis en Plus-versies bieden onvoldoende garanties voor zakelijk gebruik met persoonsgegevens.

Heeft ChatGPT een verwerkersovereenkomst nodig?

Ja. Zodra je via ChatGPT persoonsgegevens verwerkt, ben je verplicht een verwerkersovereenkomst (DPA) af te sluiten met OpenAI. Die is beschikbaar via ChatGPT Enterprise, Team en de API, niet via de gratis versie.

Mag ik klantdata gebruiken in AI-tools?

Alleen als je een geldige rechtsgrond hebt, dataminimalisatie toepast, een DPA hebt met de provider en de data zoveel mogelijk anonimiseert. Voor de meeste praktijksituaties is werken met geanonimiseerde of geaggregeerde data de veiligste route.

Hoe anonimiseer ik data voor gebruik in AI-tools?

Verwijder alle directe identificatoren (namen, e-mails, telefoonnummers) én indirecte identificatoren (locatie + leeftijd + beroep kunnen samen iemand identificeren). Bij twijfel: werk met volledig fictieve voorbeelden. Pseudonimiseren volstaat niet onder de GDPR.

Team van digitale experten binnen Conversal

Klaar om kennis te maken?

We blazen je niet omver met loze beloftes, maar met strategie, creativiteit en bewezen impact. Ontdek wat we samen voor jouw business kunnen betekenen.

Bekijk onze cases
Contacteer ons

Trending topics

Bekijk meer artikels
Bekijk alle artikels