Je collega plakt een klantmail in een gratis AI-chatbot om een net antwoord te formuleren. Handig, snel, en waarschijnlijk goedbedoeld. Maar in die mail staan een naam, een e-mailadres en een klacht over een factuur. Daarmee zijn er persoonsgegevens gedeeld met een externe partij — en dan gelden de regels van de AVG (Algemene Verordening Gegevensbescherming), de Nederlandse naam voor de GDPR.

Dit artikel legt uit wat persoonsgegevens precies zijn, waarom consumenten-AI-tools hier een probleem vormen, wat een grondslag is, en vooral: wat je in de praktijk wel en niet doet. Geen paniekverhaal, gewoon de basis die iedereen die met AI werkt zou moeten kennen.

Wat zijn persoonsgegevens eigenlijk?

De AVG definieert persoonsgegevens breed: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Dat is dus veel meer dan alleen een naam of BSN. Denk aan:

De vuistregel: kan iemand met deze informatie (eventueel gecombineerd met andere informatie) een specifiek persoon aanwijzen? Dan is het een persoonsgegeven. Bij twijfel: behandel het alsof het er een is.

Waarom is plakken in een consumenten-chatbot een probleem?

Gratis en consumentenversies van AI-tools zijn gebouwd voor privégebruik, niet voor zakelijke gegevensverwerking. Er spelen een paar concrete problemen:

1. Je weet niet waar de gegevens heen gaan

Wat je invoert, verlaat je organisatie en komt terecht op servers van de aanbieder. Afhankelijk van de aanbieder en jouw instellingen kan die invoer worden bewaard, door medewerkers van de aanbieder worden ingezien voor kwaliteitscontrole, of worden gebruikt om modellen te verbeteren. Bij veel consumentenversies staat dat laatste standaard aan en moet je het zelf uitzetten — als dat überhaupt kan.

2. Er is geen verwerkersovereenkomst

Als jouw organisatie persoonsgegevens laat verwerken door een externe partij, eist de AVG een verwerkersovereenkomst (artikel 28 AVG). Daarin staat wat de verwerker wel en niet met de gegevens mag doen. Bij een gratis chatbot waar een medewerker op eigen houtje inlogt, bestaat zo’n overeenkomst simpelweg niet. Zakelijke of enterprise-versies van AI-tools bieden die vaak wel — dat is precies waarom organisaties daarvoor betalen.

3. Je kunt het niet meer terughalen

Betrokkenen hebben onder de AVG rechten: inzage, correctie, verwijdering. Als klantgegevens in een extern AI-systeem zijn beland waar jouw organisatie geen contract mee heeft, kun je die rechten praktisch niet meer waarmaken. Je weet niet eens zéker wat er is opgeslagen.

4. Een datalek melden is verplicht

Belanden persoonsgegevens op een plek waar ze niet horen, dan kan dat een datalek zijn. Afhankelijk van het risico moet je organisatie dat melden bij de Autoriteit Persoonsgegevens, en soms ook aan de betrokkenen zelf. “Een collega heeft het per ongeluk in een chatbot geplakt” is voor de meldplicht geen verzachtende omstandigheid.

Grondslag: de basisvraag die vaak wordt overgeslagen

De AVG zegt: je mag persoonsgegevens alleen verwerken als daar een grondslag voor is. Er zijn er zes, waaronder toestemming, uitvoering van een overeenkomst, een wettelijke verplichting en het gerechtvaardigd belang. Zonder grondslag geen verwerking — punt.

Voor AI-gebruik betekent dit concreet: als je organisatie klantgegevens heeft verzameld om facturen te sturen, is dat niet automatisch een grondslag om diezelfde gegevens door een AI-tool te halen voor een heel ander doel. Dit heet doelbinding. Het is een vraag voor je privacy-verantwoordelijke of functionaris gegevensbescherming (FG), niet iets wat je als individuele medewerker even zelf beslist. Wat jíj wel kunt doen: de vraag stellen vóórdat je iets invoert.

De kernvraag in één zin: zou je deze informatie ook in een e-mail naar een willekeurige buitenstaander zetten? Nee? Dan hoort hij ook niet in een AI-tool waarvoor je organisatie geen afspraken heeft gemaakt.

Praktische do’s en don’ts

Wel doen

Niet doen

En de AI-verordening dan?

Naast de AVG is er sinds 2024 de Europese AI-verordening (Verordening (EU) 2024/1689, de “AI Act”). Die regelt AI-systemen zelf, waar de AVG persoonsgegevens regelt. Relevant voor de werkvloer: artikel 4 verplicht organisaties sinds 2 februari 2025 om te zorgen voor voldoende AI-geletterdheid bij medewerkers die met AI werken. Weten wat je wel en niet in een AI-tool stopt, is daar een kernonderdeel van. De twee wetten overlappen dus precies op dit punt: medewerkers die begrijpen wát ze doen als ze een AI-tool gebruiken.

Samengevat

  1. Persoonsgegevens zijn alle gegevens waarmee iemand herleidbaar is — ook indirect.
  2. Consumenten-AI-tools bieden geen verwerkersovereenkomst en geen controle; zakelijke gegevens horen daar niet in.
  3. Anonimiseer, gebruik goedgekeurde tools, en vraag bij twijfel je privacy-verantwoordelijke.
  4. Gaat het toch mis? Meld het snel — dat is geen falen, dat is professioneel handelen.

Wil je testen hoe goed jij en je collega’s dit soort situaties al inschatten? Doe de gratis AI-geletterdheidsquiz, of bekijk hoe de cursus AI-geletterdheid dit onderwerp stap voor stap behandelt. Voor teams is er een aparte pagina voor werkgevers.