AI-tools zijn binnen een paar jaar onmisbaar geworden — maar veel MKB-bedrijven gebruiken ze zonder na te denken over privacy. Dat is riskant: de AVG geldt onverkort voor AI, en per 2 augustus 2026 komen daar verplichtingen uit de EU AI Act bij. Dit artikel legt uit wat je wél en niet mag, en hoe je AI veilig inzet zonder de voordelen te verliezen.
Disclaimer
Wat zegt de AVG over AI-gebruik?
De AVG kent geen aparte AI-regels — maar zodra je persoonsgegevens invoert in een AI-tool, gelden alle bekende verplichtingen. De drie belangrijkste in de praktijk:
1. Je hebt een grondslag en een verwerkersovereenkomst nodig
Voer je klantnamen, e-mails of dossiers in bij een AI-aanbieder, dan is die aanbieder een verwerker. Je hebt dan een verwerkersovereenkomst (DPA) nodig. Zakelijke AI-abonnementen en API-toegang bieden die vrijwel altijd; gratis consumentenversies vaak niet.
2. Data mag niet zomaar voor training gebruikt worden
Bij gratis AI-tools wordt invoer regelmatig gebruikt om modellen te verbeteren. Jouw klantgegevens kunnen dan in trainingsdata belanden. Zakelijke varianten sluiten dit doorgaans uit — controleer dit expliciet in de voorwaarden.
3. Minimaliseer wat je deelt
Het AVG-principe van dataminimalisatie geldt ook hier: stuur alleen de gegevens mee die het model nodig heeft. Vaak kan een naam vervangen worden door "de klant" zonder dat het antwoord slechter wordt.
De EU AI Act: wat geldt er per augustus 2026?
De EU AI Act is sinds 2024 van kracht en wordt gefaseerd ingevoerd. Per 2 augustus 2026 gelden de meeste verplichtingen. Goed nieuws voor het MKB: als gebruiker van AI (en niet ontwikkelaar van hoog-risicosystemen) zijn de eisen overzichtelijk:
- AI-register — weet welke AI-tools je organisatie gebruikt en waarvoor
- AI-beleid — een intern document: wat mag wel, wat mag niet, wie is verantwoordelijk
- AI-geletterdheid — medewerkers die met AI werken moeten de basisrisico's kennen (deze verplichting geldt al sinds februari 2025)
- Transparantie — klanten moeten weten wanneer ze met AI communiceren, bijvoorbeeld bij een chatbot
Hoog-risico AI: meestal niet jouw zorg
De drie meest gemaakte fouten
1. Schaduw-AI: medewerkers gebruiken privé-accounts
De grootste risicobron is niet de techniek maar het gebrek aan afspraken. Medewerkers plakken klantmails in een gratis chatbot omdat het handig is. Oplossing: bied een veilig zakelijk alternatief aan en leg in je AI-beleid vast wat er wel en niet in mag.
2. Geen mens in de loop bij belangrijke beslissingen
AI-output bevat fouten. Laat AI concepten maken (offertes, e-mails, samenvattingen) en laat een mens controleren vóór verzending — zeker bij alles wat richting klanten gaat.
3. Privacyverklaring niet bijgewerkt
Gebruik je AI in processen waar klantdata doorheen gaat? Dan hoort dat vermeld te worden in je privacyverklaring, inclusief welke aanbieders je gebruikt.
Praktische checklist: AI veilig inzetten
- ✓ Inventariseer welke AI-tools er nu al gebruikt worden (ook privé-accounts)
- ✓ Kies zakelijke abonnementen of API-toegang met verwerkersovereenkomst
- ✓ Controleer dat invoer niet voor modeltraining gebruikt wordt
- ✓ Stel een kort AI-beleid op (1 A4 is vaak genoeg om te starten)
- ✓ Informeer medewerkers over wat wel/niet in AI-tools mag
- ✓ Meld AI-gebruik richting klanten waar zij ermee in aanraking komen
- ✓ Werk je privacyverklaring bij
Veilig AI gebruiken via een maatwerkintegratie
De meeste privacyrisico's ontstaan doordat mensen handmatig data in losse tools plakken. Een AI-integratie in je eigen software draait dat om: de software bepaalt welke data het model in gaat, kan persoonsgegevens automatisch anonimiseren en logt elke aanvraag. Zo krijg je de productiviteitswinst van AI mét controle over je data.
Meer weten over wat er mogelijk is? Lees onze gids AI voor het MKB: waar begin je? of bekijk de AI-implementatie dienstenpagina.
Veelgestelde vragen
Mag ik klantgegevens in ChatGPT zetten?
Niet zomaar. Zodra je persoonsgegevens invoert in een AI-tool, is de AVG van toepassing. Je hebt dan een verwerkersovereenkomst nodig en een grondslag. Gebruik bij voorkeur zakelijke varianten waarbij je data niet voor training wordt gebruikt, of anonimiseer vooraf.
Wat verandert er door de EU AI Act voor het MKB?
Per 2 augustus 2026 gelden de meeste verplichtingen. Voor MKB-gebruikers komt het neer op: een AI-register, een intern AI-beleid, aantoonbare basiskennis bij medewerkers en transparantie naar klanten wanneer zij met AI communiceren.
Moet ik melden dat klanten met een AI-chatbot praten?
Ja. De EU AI Act verplicht transparantie: mensen moeten weten dat ze met een AI-systeem communiceren. Een duidelijke melding bij de chatbot volstaat in de meeste gevallen.
Is een eigen AI-integratie veiliger dan losse AI-tools?
Vaak wel. Bij een maatwerkintegratie bepaal je zelf welke data het model in gaat, log je wat er gebeurt en bouw je anonimisering in. Bij losse consumententools heb je die controle niet.