beginnerBusiness & Strategie

5 min leestijd

GDPR

General Data Protection Regulation (AVG)

Door Dennis Claassen · Laatst bijgewerkt feb 2026

Simpele Uitleg

De GDPR — in Nederland bekend als de AVG (Algemene Verordening Gegevensbescherming) — is de Europese privacywet die regelt hoe bedrijven met persoonsgegevens omgaan. Naam, e-mailadres, IP-adres, locatiedata — alles wat naar een persoon te herleiden is, valt eronder. De wet geldt sinds 2018 en de boetes zijn fors: tot €20 miljoen of 4% van je wereldwijde omzet. Voor bedrijven die AI gebruiken is de GDPR extra relevant, omdat AI-systemen vaak persoonsgegevens verwerken.

Technische Definitie

De General Data Protection Regulation (EU 2016/679) is sinds 25 mei 2018 van kracht in de gehele EU/EER. De verordening definieert zes grondslagen voor gegevensverwerking (toestemming, overeenkomst, wettelijke verplichting, vitaal belang, publiek belang, gerechtvaardigd belang) en kent betrokkenen rechten als inzage, rectificatie, verwijdering en dataportabiliteit. In Nederland houdt de Autoriteit Persoonsgegevens (AP) toezicht. De GDPR werkt samen met de EU AI Act: gebruik je AI om persoonsgegevens te verwerken, dan gelden beide wetten tegelijk.

Waarom Dit Belangrijk Is

Elk bedrijf dat AI inzet, verwerkt waarschijnlijk persoonsgegevens — en dat betekent dat de GDPR van toepassing is.

Gebruik je ChatGPT om klant-e-mails te beantwoorden? Dan verwerk je persoonsgegevens via een derde partij. Laat je AI sollicitaties screenen? Dan maak je geautomatiseerde beslissingen — daar stelt de GDPR strenge eisen aan. Train je een model op klantdata? Dan moet je een verwerkingsovereenkomst hebben en mogelijk een DPIA (Data Protection Impact Assessment) uitvoeren.

Sinds de EU AI Act erbij is gekomen, worden de regels alleen maar strenger. Bedrijven moeten nu aan beide wetten voldoen. In de ChatGPT, Claude & Gemini Masterclass leer je hoe je AI verantwoord inzet met respect voor privacy. De AI als Teamsport training helpt teams om gezamenlijke afspraken te maken over dataverwerking.

Hoe Het Werkt

De GDPR draait om zes principes die je moet volgen bij elke verwerking van persoonsgegevens:

1. Rechtmatigheid: je hebt een geldige reden om data te verwerken (toestemming, contract, etc.)
2. Doelbinding: je gebruikt data alleen voor het doel waarvoor je het verzameld hebt
3. Dataminimalisatie: je verzamelt alleen wat je echt nodig hebt
4. Juistheid: je houdt data up-to-date
5. Opslagbeperking: je bewaart data niet langer dan nodig
6. Integriteit en vertrouwelijkheid: je beveiligt data adequaat

Voor AI-gebruik betekent dit concreet: plak geen klantgegevens in de gratis versie van ChatGPT (geen verwerkingsovereenkomst). Gebruik zakelijke AI-tools die compliance garanderen. Documenteer welke data je waar verwerkt. En informeer klanten dat je AI gebruikt.

Bij hoog-risico AI (sollicitatiescreening, kredietbeoordeling) moet je bovendien een DPIA uitvoeren en menselijk toezicht garanderen.

Use Cases

AI-chatbot voor klantenservice

Een chatbot die klantgegevens verwerkt vereist: een verwerkingsovereenkomst met de AI-provider, informatie aan klanten dat AI wordt gebruikt, en een optie om met een mens te praten. Support teams moeten dit inregelen vóórdat de chatbot live gaat.

Marketing personalisatie

AI gebruiken om gepersonaliseerde aanbiedingen te maken op basis van klantgedrag? Dat mag — mits je een grondslag hebt (meestal gerechtvaardigd belang of toestemming) en de klant kan bezwaar maken. Een marketingteam moet dit documenteren in het verwerkingsregister.

HR en werving met AI

AI-screening van sollicitaties is hoog-risico onder zowel GDPR als EU AI Act. Sollicitanten hebben recht op uitleg over geautomatiseerde beslissingen (artikel 22 GDPR). Een DPIA is verplicht. HR-teams moeten menselijk toezicht garanderen.

Zakelijke AI-tools kiezen

De gratis versie van ChatGPT biedt geen verwerkingsovereenkomst — niet geschikt voor bedrijfsdata. ChatGPT Enterprise, Claude for Business en Microsoft Copilot bieden wel GDPR-compliant opties. Check altijd de voorwaarden voordat je een tool bedrijfsbreed uitrolt.

Voorbeelden

GDPR vs. EU AI Act

De GDPR beschermt persoonsgegevens (naam, e-mail, IP-adres). De EU AI Act reguleert AI-systemen ongeacht of er persoonsgegevens bij betrokken zijn. Gebruik je AI om persoonsgegevens te verwerken? Dan gelden beide wetten tegelijk. De AI Act verwijst meer dan 30 keer naar de GDPR.

Boetes in de praktijk

De Autoriteit Persoonsgegevens heeft AI en algoritmen als speerpunt voor 2026-2028 benoemd. Clearview AI kreeg €30,5 miljoen boete voor het zonder toestemming scrapen van gezichtsfoto's. De AP controleert steeds vaker op AI-gerelateerde verwerkingen en publiceert in 2026 een visie op generatieve AI en GDPR-compliance.

Veelgemaakte Fouten

"Wij gebruiken alleen ChatGPT, dat valt niet onder de GDPR"

Zodra je persoonsgegevens invoert in een AI-tool, verwerk je data. De gratis versie van ChatGPT kan die data gebruiken voor training. Gebruik zakelijke versies met een verwerkingsovereenkomst, of anonimiseer data voordat je het invoert.

"We hebben toestemming, dus we mogen alles"

Toestemming is maar één van zes grondslagen. En toestemming moet specifiek, geïnformeerd en vrij gegeven zijn. "Door deze site te gebruiken ga je akkoord" is niet geldig. Bovendien moet je bij intrekking van toestemming direct stoppen met verwerken.

"De GDPR gaat alleen over klantdata"

De GDPR geldt voor alle persoonsgegevens — ook van medewerkers, sollicitanten en leveranciers. Als je AI gebruikt om medewerkersdata te analyseren (productiviteit, sentiment), gelden dezelfde regels.

Tools Die Dit Gebruiken

ChatGPT EnterpriseClaude for BusinessMicrosoft CopilotGoogle Workspace AI

Veelgestelde Vragen

Mag ik klantgegevens invoeren in ChatGPT?

In de gratis versie: nee, tenzij je de data anonimiseert. OpenAI kan die data gebruiken voor modeltraining. In ChatGPT Enterprise of via de API met een verwerkingsovereenkomst: ja, mits je voldoet aan de overige GDPR-eisen (grondslag, informatieplicht, beveiliging).

Heb ik een verwerkingsovereenkomst nodig met mijn AI-provider?

Ja, als je persoonsgegevens verwerkt via hun dienst. De meeste zakelijke AI-tools (ChatGPT Enterprise, Claude for Business, Microsoft Copilot) bieden standaard een verwerkingsovereenkomst aan. Bij gratis tools is dit meestal niet het geval.

Wat is een DPIA en wanneer is die verplicht?

Een Data Protection Impact Assessment is een risicoanalyse die verplicht is bij verwerkingen met een hoog risico. Bij AI is een DPIA verplicht als je: geautomatiseerde beslissingen neemt over mensen, grootschalig bijzondere persoonsgegevens verwerkt, of systematisch mensen monitort.

Wat is het verschil tussen de AVG en de GDPR?

Niets — het is dezelfde wet. GDPR is de Engelse naam (General Data Protection Regulation), AVG is de Nederlandse naam (Algemene Verordening Gegevensbescherming). In de praktijk worden beide termen door elkaar gebruikt.

Gerelateerde Termen

EU AI Act AI-Geletterdheid AI Governance Hoog-Risico AI Prompt Injection Digital Omnibus (EU)

Wil je deze term in de praktijk leren toepassen?

Bekijk Trainingen Plan Kennismaking