AVG en AI is een gespreksonderwerp dat veel MKB-eigenaren liever even aan het volgende-kwartaal-zelf overlaten. Begrijpelijk — er zit veel ruis omheen. Maar er zijn vier valkuilen die je écht moet vermijden, plus een 10-puntencheck die je deze week kan doorlopen.
De vier valkuilen
Klantdata in een publieke AI-tool zetten
Free-tier AI-tools gebruiken je input vaak voor model-training. Plus: je hebt geen verwerkers-overeenkomst. Oplossing: paid/business-tier met no-training-clausule (ChatGPT Team, Claude Pro/Cowork, Gemini Business).
Geen verwerkersovereenkomst met AI-leverancier
Als jouw AI-leverancier persoonsgegevens van klanten verwerkt, heb je een verwerkersovereenkomst nodig. Bij free-tier-tools krijg je die niet. Bij business-tiers wel.
Geen interne afspraak welke data wel/niet de AI in mag
Eén medewerker plakt "snel even" klantgegevens in ChatGPT, ander zet medische data in Claude. Zonder interne afspraak ontstaat wildgroei. Schrijf één A4: wat mag wel, wat mag niet, in welke tool.
Geen log van wat de AI gedaan heeft
Bij audit moet je kunnen aantonen wat de AI met klantdata heeft gedaan. Free-tier tools hebben geen audit-log. Business-tiers meestal wel, maar je moet ze inschakelen.
“Free-tier AI-tools gebruiken je input vaak voor model-training. Bij audit kan dat een AVG-incident worden.”
De 10-puntencheck
Verwerkersovereenkomst per AI-tool
Hebben we voor elke AI-tool een verwerkersovereenkomst (VWO/DPA)?
AI in privacyverklaring
Staat in onze privacyverklaring dat we AI gebruiken voor data-verwerking?
Interne afspraak
Weet elke medewerker welke data wel/niet in welke AI-tool mag?
Paid tier, geen free tier
Gebruiken we paid/business-tiers met no-training-clausule, niet free-tiers?
Audit-logging aan
Wordt audit-logging ingeschakeld waar mogelijk?
EU of SCC
Zijn de AI-leveranciers gevestigd in de EU of onder Standard Contractual Clauses?
Bewaartermijn AI-conversaties
Hebben we afgesproken hoe lang AI-conversaties bewaard blijven?
Eén AVG-eigenaar
Is er één eigenaar binnen het bedrijf voor AI-AVG-vragen?
Procedure voor data-subject-requests
Hebben we een procedure voor inzage/verwijderverzoek voor AI-data?
Jaarlijkse review
Toetsen we minimaal jaarlijks de AI-setup op nieuwe ontwikkelingen (AI Act, AVG-update)?
Hoe scoor je?
7+ op groen: je staat er goed voor.
Minder dan 5: er is werk aan de winkel. Maar geen paniek — alle 10 zijn in een paar weken doorlopen.
Hoe workchef hier mee omgaat
Drie gevolgen voor AVG-compliance
Geen data bij workchef. Wij hosten niets. Klantdata komt nooit op een workchef-server. Dat scheelt een verwerkersovereenkomst met ons en simplificeert de data-flow documentatie.
Anthropic heeft VWO/DPA-template beschikbaar. Voor Claude Cowork is een Data Processing Agreement af te sluiten met standard contractual clauses. EU-hosting beschikbaar.
No-training-clausule standaard. Claude Cowork gebruikt jouw input niet voor model-training. Schriftelijk vastgelegd.
Praktische to-do voor deze week
Inventariseer alle AI-tools
Maak een lijst van alle AI-tools die in jouw bedrijf gebruikt worden, ook de free-tier-versies die medewerkers persoonlijk gebruiken.
Check VWO per tool
Per tool: check of er een VWO of DPA beschikbaar is. Free-tiers falen hier vaak.
Eén mail aan je team
Stuur één mail: "Vanaf nu geen klantdata meer in [free-tier tool]. We werken aan een AVG-veilig alternatief."
Plan de 10-puntencheck
Plan voor volgende week 2 uur om de 10-puntencheck door te lopen met je systeembeheerder.
De olifant in de kamer
De AVG is meer dan vier jaar oud, AI is twee jaar mainstream. Veel regels zijn nog in beweging. Wat vandaag voldoet, kan over een jaar scherper moeten. Door nu de basis op orde te brengen ben je daar klaar voor — en heb je niet de paniek-aanpak van veel concurrenten die wachten tot een toezichthouder klopt.
Geen reden om je te verstoppen achter compliance. Wel reden om het op orde te hebben.
AVG-check op je AI-setup?
Tijdens onboarding doen we standaard een AVG-check op alle AI-tools die jullie gebruiken — geclassificeerd, gedocumenteerd, op één A4 voor je administratie.
Plan een kennismaking