Naar inhoud
DienstenWerkTarievenAanpakOver mijBlog Plan gesprek
Blog · Privacy & AVG

AVG en AI software: wat moet je weten?

Geen juridisch jargon — gewoon wat je als ondernemer moet begrijpen voor je AI-software in productie brengt.

DoorLudi
Gepubliceerd15 april 2026
Leestijd7 minuten
OnderwerpPrivacy & AVG

Disclaimer: Dit artikel geeft praktische context op basis van mijn ervaring als AI-bouwer. Het is geen juridisch advies. Voor specifieke compliance-vragen raad ik je aan een privacyadvocaat of FG (Functionaris voor Gegevensbescherming) te raadplegen.

Als je AI-software inzet die persoonsgegevens verwerkt — namen, e-mailadressen, gesprekken, documenten — heb je te maken met de AVG (Algemene Verordening Gegevensbescherming). Dat klinkt zwaar, maar voor de meeste MKB-toepassingen zijn de vereisten te overzien.

Wat is een verwerkersovereenkomst (DPA)?

Als jij een AI-tool afneemt van een partij die namens jou persoonsgegevens verwerkt (bijv. Lynuxis of een AI-model provider), ben je verplicht een verwerkersovereenkomst (Data Processing Agreement, DPA) te sluiten. Dit regelt:

  • Welke data wordt verwerkt en voor welk doel
  • Waar de data wordt opgeslagen (mag verplicht in de EU zijn)
  • Hoe beveiligd de data is
  • Hoe lang data wordt bewaard
  • Wat er gebeurt bij een datalek

Bij Lynuxis sluit ik standaard een DPA voor projecten waarbij persoonsgegevens worden verwerkt.

Worden mijn data gebruikt om AI-modellen te trainen?

Dit is de vraag die klanten mij het meest stellen — en terecht. Het antwoord hangt af van welk AI-model je gebruikt en hoe je het configureert.

OpenAI (ChatGPT / GPT-4)

Via de API worden data standaard niet gebruikt voor modeltraining — maar je moet wel de juiste API-key instellen en de privacyinstellingen controleren. Voor de consumer-producten (ChatGPT.com) gelden andere regels.

Anthropic (Claude)

API-gebruik wordt niet gebruikt voor training. Ik gebruik de Claude-API voor mijn klantoplossingen en mijn eigen proxy.

Self-hosted modellen

De zekerste optie voor gevoelige data: een open-source model dat je op eigen servers draait. Geen externe verbinding, geen risico op dataverlies naar derden. Nadeel: duurder in infrastructuur en onderhoud.

EU vs. VS: waar worden je data opgeslagen?

Onder de AVG mogen persoonsgegevens niet zomaar buiten de EER worden verwerkt. De meeste grote AI-providers (OpenAI, Google) zijn Amerikaans — maar bieden EU-regio's aan voor API-calls. Controleer altijd:

  • Is er een EU-regio beschikbaar voor de API?
  • Is er een Standard Contractual Clauses (SCC)-overeenkomst voor internationale doorgifte?
  • Staat dit beschreven in de DPA van de provider?

Veelgemaakte AVG-fouten bij AI-implementaties

  • Klantdata copy-pasten in ChatGPT.com (consumer-product, geen DPA)
  • Geen DPA sluiten met de AI-softwareleverancier
  • Logs van AI-gesprekken bewaren langer dan noodzakelijk
  • Geen melding maken van AI-gebruik in je privacyverklaring
  • Geen opt-out bieden als AI wordt ingezet voor geautomatiseerde beslissingen

Privacy by design: hoe ik het aanpak

Bij elk project dat persoonsgegevens verwerkt, hanteer ik standaard:

  • Opslag op EU-servers (of on-premises)
  • TLS-encryptie voor alle dataoverdracht
  • Minimale dataverzameling — alleen wat nodig is
  • Automatische datadeletion na ingestelde periode
  • Geen logging van gevoelige data in plaintext
  • DPA beschikbaar voor ondertekening

Wil je AI inzetten maar weet je niet zeker of het AVG-proof is? Ik help je in een gratis gesprek van 15 minuten een beeld te krijgen van de risico's en hoe die te mitigeren. Plan een gesprek →

AI inzetten op een manier die je klanten vertrouwen?

Ik bouw standaard AVG-compliant. Plan een gratis gesprek van 15 minuten en ik licht toe hoe je AI veilig in productie brengt.

Plan gratis gesprek AI software laten maken