AVG en AI: waar moet je op letten bij klantdata?

Door Joost · Laatst bijgewerkt: 16 juni 2026 · 7 min lezen

Kort antwoord: zodra je AI loslaat op klantdata, gelden gewoon alle AVG-regels, plus een paar extra aandachtspunten. De kern: gebruik alleen de gegevens die je echt nodig hebt, zorg dat je een grondslag hebt, sluit een verwerkersovereenkomst met je AI-leverancier en laat geen computer in z'n eentje beslissingen over mensen nemen. Voor het MKB is dat goed te overzien, zeker omdat veel van dit werk overlapt met wat je onder de AVG al doet. Hieronder de zes kernregels bij AI en klantdata, en wat ze praktisch betekenen.

Geldt de AVG als je AI gebruikt?

Ja, zodra er persoonsgegevens in het spel zijn. De AVG kijkt niet naar de techniek maar naar de gegevens: gebruik je AI met namen, e-mailadressen, cv's of klantdossiers, dan gelden alle gewone privacyregels onverkort. AI voegt daar een extra laag aan toe, omdat tools data kunnen opslaan, doorsturen naar het buitenland of ermee trainen.

De Autoriteit Persoonsgegevens bracht hier begin 2026 een duidelijke visie over uit: organisaties mogen generatieve AI inzetten, maar alleen als ze de risico's vooraf in kaart brengen, controle over hun data houden en aan de AVG én de AI-verordening voldoen (Autoriteit Persoonsgegevens, "Verantwoord vooruit", 2026). "Generatieve AI is nog bestuurbaar. Maar alleen als we nu kiezen voor waarden als uitgangspunt, en niet voor snelheid als norm", aldus AP-voorzitter Aleid Wolfsen (2026).

Dat de inzet hoog is, blijkt uit de cijfers: bij datalekken waarin verborgen AI-gebruik een rol speelde, lekten in 65% van de gevallen persoonsgegevens van klanten, hoger dan bij andere datalekken (IBM, Cost of a Data Breach 2025). Juist die klantdata is wat de AVG beschermt.

De zes kernregels bij AI en klantdata

De AVG is breed, maar bij AI komen vooral deze zes punten naar voren. Je hoeft geen jurist te zijn om ze toe te passen.

• Grondslag en doelbinding. Je mag klantdata alleen gebruiken met een geldige grondslag (zoals toestemming of een contract) en voor het doel waarvoor je ze verzamelde. Klantdata die je voor facturatie hebt, zomaar in een AI-tool gooien voor iets heel anders, mag niet zonder meer.
• Dataminimalisatie. Voer niet meer in dan nodig. Vaak heb je voor een goed AI-antwoord helemaal geen namen of details nodig: laat ze weg of anonimiseer.
• Verwerkersovereenkomst. Verwerkt de AI-leverancier persoonsgegevens namens jou, dan is een verwerkersovereenkomst verplicht (artikel 28). Zakelijke versies bieden die meestal; gratis tools zelden.
• DPIA bij hoog risico. Een privacytoets is verplicht bij verwerkingen met waarschijnlijk hoog risico, zoals profilering of geautomatiseerde besluiten.
• Geen besluit door de computer alleen. Een besluit dat iemand raakt (een afwijzing, een krediet) mag niet uitsluitend automatisch worden genomen; er moet een mens tussen zitten (artikel 22). Dit raakt aan hoog-risico-AI onder de AI Act.
• Let op doorgifte buiten de EU. Belandt data op servers buiten de EU, dan gelden er extra waarborgen. Bij sommige tools (zeker buiten de EU/VS) is dat een reëel aandachtspunt.

Wat betekent dat praktisch voor het MKB?

Vertaald naar de werkvloer komt het neer op een handvol gewoontes, die je vastlegt in je AI-beleid:

• Gebruik een zakelijke AI-tool met verwerkersovereenkomst zodra er persoonsgegevens bij komen. Welke data wel en niet mag, lees je in welke data in ChatGPT mag.
• Anonimiseer standaard. Maak er een gewoonte van om namen en details weg te halen voordat je iets aan AI voorlegt.
• Houd een mens in de lus bij beslissingen die klanten of sollicitanten raken.
• Doe een DPIA als je AI inzet voor iets gevoeligs, en leg de afweging vast.

Twijfel je bij een specifiek geval, bijvoorbeeld AI in je klantenservice of werving, schakel dan even een privacy-jurist in. Voor het dagelijkse gebruik volstaan bovenstaande gewoontes. Ze sluiten naadloos aan op je AI Act-checklist: wie de AVG netjes regelt, heeft het meeste AI Act-werk ook al gedaan.

Veelgestelde vragen

Geldt de AVG ook als ik AI gebruik?
Ja, zodra je persoonsgegevens verwerkt. De AVG kijkt naar de gegevens, niet naar de techniek. Gebruik je AI met namen of klantdata, dan gelden alle gewone regels, plus extra aandacht omdat AI data kan opslaan of doorsturen.

Heb ik een verwerkersovereenkomst nodig?
Als de AI-leverancier persoonsgegevens namens jou verwerkt, is die verplicht (artikel 28). Zakelijke versies bieden die meestal, gratis tools zelden. Geen verwerkersovereenkomst betekent: geen persoonsgegevens in die tool.

Wanneer is een DPIA verplicht?
Bij verwerkingen met waarschijnlijk hoog risico: profilering, geautomatiseerde besluiten, grootschalige of bijzondere gegevens. Bij AI in werving, krediet of klantsegmentatie is een DPIA al snel nodig.