Nahayat - AI Advies & Innovatie
    Terug naar blog
    AI Compliance 5 maart 2026 9 min lezen Nahayat Team

    AVG en AI in 2026: wat mag wel en niet met bedrijfsdata?

    Persoonsgegevens in ChatGPT? Klantdata door een AI-agent laten analyseren? In 2026 is het juridisch landschap scherper dan ooit. We leggen uit wat de AVG én de EU AI Act vragen, met een checklist voor Nederlandse MKB's.

    Waarom deze vraag urgenter is dan ooit

    Sinds augustus 2024 is de EU AI Act in werking. In 2026 zijn de belangrijkste bepalingen voor bedrijven effectief. Daar bovenop blijft de AVG gewoon gelden. Voor een MKB dat AI-tools gebruikt, betekent dit: niet alleen je data-processen maar ook je AI-systemen zelf moeten juridisch in orde zijn.

    In dit artikel een praktische leidraad — geen juridisch advies, wel de vragen die we keer op keer krijgen bij AI-implementatietrajecten.

    Het verschil tussen AVG en AI Act

    AVG (sinds 2018): gaat over persoonsgegevens. Wat verwerk je van wie, met welke grondslag, hoe lang, wie ziet het?

    EU AI Act (2024–2026): gaat over AI-systemen zelf. Welk risico heeft het systeem, welke transparantie-eisen, wie is verantwoordelijk voor correcte uitkomst?

    Voor de meeste MKB's geldt: je systemen vallen onder "beperkt risico" (chatbots, content-classificatie) of "minimaal risico" (simpele automatisering). Verplichtingen zijn dan vooral informeren: gebruikers moeten weten dat ze met AI werken.

    Mag ik klantdata in ChatGPT plakken?

    De eerlijke antwoord: niet zomaar. Drie regels:

    • In de gratis ChatGPT: data wordt gebruikt voor training. Absoluut niet doen met persoonsgegevens of bedrijfsgevoelige data.
    • In ChatGPT Team of Enterprise: data wordt niet gebruikt voor training. Met een verwerkersovereenkomst ("DPA") ondertekend is gebruik met persoonsgegevens toegestaan — mits grondslag conform AVG.
    • Met Azure OpenAI Service (Microsoft hosting van dezelfde modellen): data blijft in je tenant. Voor veel gevoelige use cases de voorkeur.

    Praktisch: ChatGPT Enterprise of Azure OpenAI voor zakelijk gebruik, niet de gratis versie. Voor een vergelijking: Van ChatGPT experimenteren naar Enterprise AI.

    AI-agent met toegang tot CRM of e-mail

    Een AI-agent die in je Exact, HubSpot of Outlook leest en schrijft is een "verwerker" in AVG-termen. Checklist:

    1. Verwerkersovereenkomst (DPA) met de LLM-leverancier (OpenAI, Anthropic, Microsoft, Google).
    2. Grondslag voor de verwerking — meestal "gerechtvaardigd belang" of "uitvoering overeenkomst".
    3. Doelbinding: de agent gebruikt data alleen voor het doel waarvoor je het verzamelde.
    4. Dataminimalisatie: geef de agent niet meer data dan nodig. Een RAG-systeem dat per vraag relevante stukken ophaalt is veel veiliger dan "hele CRM in context".
    5. Retentie: log prompts en outputs, maar bepaal hoe lang je dit bewaart.
    6. Recht van inzage / verwijdering: klanten moeten kunnen vragen wat je over hen opgeslagen hebt — dit geldt ook voor wat je agent heeft gezien.

    De EU AI Act: wanneer ben jij "provider" of "deployer"?

    De AI Act onderscheidt twee rollen:

    • Provider: iemand die een AI-systeem op de markt brengt. Als je een maatwerk-agent inkoopt bij een partij zoals Nahayat, zijn wij de provider — zolang we naam en merk erop zetten.
    • Deployer: iemand die een AI-systeem gebruikt in zijn bedrijf. Dat ben jij, ook als je ChatGPT Enterprise of Copilot gebruikt.

    Als deployer heb je lichtere verplichtingen: informeer eindgebruikers, houd logs bij, meld incidenten. Providers hebben zwaardere verplichtingen rond risico-inschatting, technische documentatie en conformiteitsbeoordeling.

    Wanneer heb je een DPIA nodig?

    Een Data Protection Impact Assessment is verplicht bij hoog-risico verwerking — waaronder vaak:

    • Grootschalige analyse van persoonsgegevens (bv. profilering op klantdata)
    • Bijzondere persoonsgegevens (gezondheid, biometrie, etnische achtergrond)
    • Automatische besluitvorming met rechtsgevolgen (bv. kredietwaardigheid, sollicitatie-screening)

    Voor veel AI-agents in het MKB (interne automatisering, content-generatie, simpele ticket-routering) is een DPIA niet verplicht — maar wel aan te raden om de risico's vast te leggen.

    Checklist voor het MKB

    • ✅ Zakelijke AI-tools (ChatGPT Team/Enterprise, Copilot, Azure OpenAI) in plaats van gratis accounts voor bedrijfsdata
    • ✅ DPA getekend met elke AI-leverancier
    • ✅ Intern beleid: wat mag wel/niet in AI-tools, welke data is out-of-scope
    • ✅ Training voor medewerkers over prompt-hygiëne
    • ✅ Logging van AI-gebruik bij klantinteracties
    • ✅ Register van verwerkingen bijgewerkt met AI-gerelateerde processen
    • ✅ Gebruikers informeren als ze met AI communiceren (chatbots, e-mail-classifiers)
    • ✅ Voor hoog-risico: DPIA uitgevoerd

    Hulp bij compliance

    Wij zijn geen juristen, maar we implementeren AI bij MKB's die wél moeten voldoen. Onze agent-implementaties komen standaard met DPA-templates, RAG-architectuur voor dataminimalisatie, en logging voor audit-trails. Voor complexe gevallen werken we samen met een privacy-jurist.

    Twijfels over jouw AI-setup? Plan een gratis intake — we lopen de checklist samen door.

    Verder lezen

    Terug naar alle artikelen