AVG Juristen | Praktisch met Privacy | 20 mei 2026
Steeds meer medewerkers gebruiken AI-tools zoals ChatGPT of Microsoft Copilot dagelijks in hun werk. Een sollicitatiebrief laten beoordelen, notulen samenvatten, een ledenlijst analyseren. Het voelt onschuldig en snel. Maar de AVG maakt geen onderscheid tussen “gewone” software en een AI-chatbot. Wie persoonsgegevens invoert in een externe AI-tool, verwerkt die gegevens — en is daarvoor verantwoordelijk.
De Autoriteit Persoonsgegevens (AP) liet in april 2026 weten dat AI één van de drie strategische prioriteiten wordt voor de periode 2026–2028. Bovendien kondigde de AP op 15 mei 2026 aan dat zij binnenkort ICT-leveranciers preventief gaat controleren op digitale beveiliging en privacynaleving. De boodschap is helder: wacht niet tot er iets misgaat.
Wat telt als persoonsgegevens in een AI-tool?
Vrijwel alles wat je invoert om een concreet persoon te identificeren of te beschrijven. Denk aan:
– Namen van medewerkers, klanten of sollicitanten
– E-mailadressen, telefoonnummers of adressen
– Personeelsdossiers, beoordelingen of salarisgegevens
– Medische informatie of BSN-nummers
– Notulen van vergaderingen met namen of persoonlijke situaties
Zelfs een tekst als “collega X heeft regelmatig te laat gereageerd op klachten” is een persoonsgegeven zodra X herkenbaar is.
Wanneer mag het wel?
Invoeren van persoonsgegevens in een AI-tool is toegestaan als je aan een aantal AVG-vereisten voldoet:
1. Grondslag: er is een rechtmatige grondslag voor de verwerking (artikel 6 AVG), bijvoorbeeld een gerechtvaardigd belang of uitvoering van een overeenkomst.
2. Verwerkersovereenkomst: met de aanbieder van de AI-tool moet een verwerkersovereenkomst zijn gesloten. Zonder overeenkomst mag je geen persoonsgegevens verstrekken.
3. Doelbinding: de gegevens worden alleen gebruikt voor het doel waarvoor ze zijn verzameld.
4. Geen training van AI-modellen: controleer of de aanbieder de ingevoerde data gebruikt om het model mee te trainen. Gratis versies doen dit vaak wél — en dat is in de meeste gevallen niet toegestaan.
5. Register van verwerkingsactiviteiten: het AI-gebruik moet zijn opgenomen in het verwerkingsregister van jouw organisatie.
De drie vragen die je organisatie nu moet kunnen beantwoorden
Welke AI-tools gebruiken medewerkers?
→ Een overzicht, ook van privé-tools die zakelijk worden ingezet
Is met elke aanbieder een verwerkersovereenkomst gesloten?
→ Contracten of DPA’s per tool
Staat AI-gebruik in het verwerkingsregister?
→ Een actuele registratie met doel, grondslag en bewaartermijn
Praktische vuistregel voor medewerkers
Twijfel je of iets in een AI-tool mag? Gebruik dan deze test: zou je dezelfde informatie ook per e-mail sturen naar een onbekend bedrijf? Is het antwoord nee, dan hoort die informatie niet in een publieke AI-tool thuis.
Communiceer deze vuistregel actief naar medewerkers. Een kort AI-beleid — ook al is het één A4 — is al een groot verschil ten opzichte van helemaal niets.
Wat AVG Juristen voor u kan doen
Weet u niet zeker of het AI-gebruik binnen uw organisatie AVG-proof is? AVG Juristen helpt u met een pragmatische aanpak: we brengen het gebruik in kaart, sluiten de juiste overeenkomsten en zorgen dat uw verwerkingsregister actueel is. Neem gerust contact met ons op via avgjuristen.nl — wij denken graag met u mee.
—
Dit artikel is een hulp. Het bericht wordt met aandacht samengesteld, maar aan de informatie kan geen enkel recht worden ontleend.
