Microsoft 365 Copilot en ChatGPT staan bij talloze Nederlandse organisaties allang aan, vaak zonder dat iemand op papier zette welke grondslag de verwerking draagt of waar de data terechtkomt. Dat dit geen vrijblijvende kwestie is, bewees de Autoriteit Persoonsgegevens in juli 2026: de geplande Copilot-uitrol van gemeente Haarlemmermeer zou zonder extra maatregelen onrechtmatig zijn. Het risico zit zelden in het model. Het zit in de dataroute die je nooit hebt vastgelegd, en de verantwoordelijkheid ligt bij jou, niet bij je leverancier.
Een AVG-checklist voor generatieve AI is een vaste volgorde waarin je vóór ingebruikname vaststelt of je persoonsgegevens verwerkt, op welke grondslag, met welke waarborgen en met welke leveranciersafspraken. Het vertaalt de open normen van de wet naar afvinkbare stappen, zodat je een AI-tool rechtmatig inzet in plaats van dat te hopen.
De aanleiding is concreet. De Autoriteit Persoonsgegevens publiceerde op 13 juli 2026 een juridische handreiking voor bouwers en een praktische checklist voor organisaties die generatieve AI inkopen. Deze gids loopt die logica na voor jou als gebruiker: de privacykant van AI, dus de AVG. Verwar dat niet met de AI Act, die AI als product reguleert. Loop je AI-inzet ook langs de AI Act-verplichtingen die vanaf 2 augustus 2026 gelden, dan pak je beide kaders naast elkaar, maar ze zijn niet hetzelfde.
Wat je nodig hebt
Voordat je iets afvinkt, zorg je dat het volgende klaarligt. De basis van een AVG-checklist voor AI is geen jurist, maar overzicht: weten wélke tools persoonsgegevens raken, wie erover gaat, en welke afspraken je met je leveranciers hebt. Zonder dat overzicht is elke volgende stap gokwerk. Regel dit eerst:
- Een overzicht van elke plek waar generatieve AI persoonsgegevens raakt. Chatbots op je site, Copilot in je e-mail en documenten, samenvattingen van klantmails, een zoekfunctie die door je eigen bestanden graait. Vergeet de tools niet die teams zelf aanzetten zonder dat IT het weet.
- Een interne eigenaar. Iemand (een functionaris gegevensbescherming, een privacyjurist of een projectleider) die de brug slaat tussen IT, juridisch en de werkvloer. Liever een vaste persoon dan een externe die na één rapport weer vertrekt.
- Je verwerkingsregister en je privacyverklaring. Het register uit artikel 30 van de AVG en de verklaring die je klanten al kregen, zodat je nieuwe AI-verwerkingen daarop aansluit in plaats van ernaast.
- De verwerkersovereenkomst en documentatie van elke AI-leverancier. De Microsoft- of OpenAI-DPA, plus zicht op de subverwerkers en op waar de data fysiek landt.
- Kennis van de grondslag onder je bestaande data. Waarvoor verzamelde je die klant- of personeelsgegevens oorspronkelijk? Dat bepaalt of je ze überhaupt aan een AI mag voeren.
- Tijd, mandaat en DPIA-capaciteit. Classificeren en documenteren is echt werk. Plan het als een project, en reserveer ruimte voor een DPIA als de verwerking hoog risico blijkt.
De checklist, stap voor stap
Rechtmatig generatieve AI inzetten is geen juridisch mijnenveld als je het opdeelt. Je bepaalt eerst of je persoonsgegevens kúnt vermijden, brengt daarna in kaart welke data de tool raakt, kiest een grondslag, regelt de leveranciersafspraken, weegt of een DPIA nodig is, en legt transparantie en maatregelen vast. Werk de stappen in deze volgorde af.
1. Vraag eerst: kan het zonder persoonsgegevens?
Dit is de stap die de AP bewust vooropzet, en de goedkoopste manier om je risico te verkleinen. Onderzoek of je de tool kunt inzetten zonder persoonsgegevens te verwerken. Kun je met dummydata werken, met geaggregeerde cijfers, of met een klantnummer in plaats van een naam, dan is de AVG simpelweg niet van toepassing en vervalt de rest van deze checklist grotendeels. De handreiking van de AP zet in juli 2026 uiteen hoe je generatieve AI-modellen rechtmatig ontwikkelt en in gebruik neemt onder de AVG, en die redenering begint steevast bij deze vraag. Kun je persoonsgegevens niet vermijden, ga dan naar stap 2.
2. Breng in kaart welke persoonsgegevens de tool raakt
Persoonsgegevens sluipen op vier plekken een AI-systeem in: de invoer (wat medewerkers en klanten in een prompt plakken), de uitvoer, de trainings- of finetuningdata, en de logging. Loop ze alle vier langs en noteer per verwerking welke gegevens erin gaan en met welk doel. Let op de doelbinding: data die je voor facturatie of support verzamelde, mag je niet zomaar als trainings- of zoekvoer hergebruiken, want dat is een nieuw doel dat je oorspronkelijke grondslag bijna nooit dekt. Vergeet de prompts en logs niet, want die worden standaard bewaard op plekken die niemand als persoonsgegevensopslag beschouwt.
3. Bepaal je grondslag (en doorloop de drieledige toets)
Elke verwerking van persoonsgegevens heeft een van de zes AVG-grondslagen nodig. In de praktijk kom je er bij AI drie tegen: toestemming van de betrokkene, de uitvoering van een overeenkomst, of een gerechtvaardigd belang. Toestemming moet vrij, specifiek en aantoonbaar zijn, wat bij intern medewerkersgebruik zelden werkt (de machtsverhouding maakt vrije toestemming twijfelachtig). Leun je op gerechtvaardigd belang, dan is dat geen standaardvinkje. Wie zich erop beroept, moet een drieledige toets doorstaan: aantonen dat er een gerechtvaardigd belang bestaat, dat de verwerking noodzakelijk is om dat belang te realiseren, en dat de rechten en vrijheden van betrokkenen niet zwaarder wegen. Die noodzakelijkheidstoets is streng: bestaat er een vergelijkbare aanpak met minder of geen persoonsgegevens, dan vervalt de noodzaak en houdt het beroep op gerechtvaardigd belang geen stand.
Waar je op toestemming leunt, moet je die ook echt kunnen bewijzen. Hoe je toestemming aantoonbaar in je systemen vastlegt, werkt hetzelfde als bij het opt-in-vereiste voor koude acquisitie dat je in je CRM en salesproces sluitend moet vastleggen.
4. Sluit een verwerkersovereenkomst en controleer waar de data landt
Zodra je persoonsgegevens deelt met een externe AI-aanbieder, is die aanbieder je verwerker en heb je een verwerkersovereenkomst nodig (artikel 28). Zonder die overeenkomst is de verwerking op zichzelf al een overtreding. Vraag de standaard-DPA op, en kijk verder dan de handtekening: waar staat de data, wie zijn de subverwerkers, en wordt er op je invoer getraind? De zakelijke tiers zijn hier ruimhartiger dan de gratis versies. Microsoft bevestigt in zijn documentatie (mei 2026) dat de prompts en antwoorden in Microsoft 365 Copilot onder de DPA vallen en niet worden gebruikt om de onderliggende modellen te trainen, met ondersteuning voor de EU Data Boundary. Let wel op de kleine lettertjes: webzoekopdrachten via Bing en het Anthropic-model dat Copilot soms aanroept vallen buiten die EU Data Boundary. Welke datalocatie-eisen en verwerkersovereenkomsten precies bij jouw situatie horen, werk je uit in een stappenplan voor data-residency en verwerkersovereenkomsten.
5. Doe een DPIA als de verwerking waarschijnlijk hoog risico is
Een gegevensbeschermingseffectbeoordeling (DPIA) is verplicht zodra een verwerking waarschijnlijk een hoog privacyrisico oplevert. Bij generatieve AI is dat sneller het geval dan je denkt: grootschalige verwerking, systematische monitoring, bijzondere categorieën (gezondheid, biometrie), profilering of geautomatiseerde besluiten met gevolgen voor mensen tellen allemaal mee, en de AP heeft een lijst van verwerkingen waarvoor een DPIA sowieso moet. Kom je in de DPIA tot een restrisico dat je niet kunt wegnemen, dan vraag je een voorafgaande raadpleging aan bij de AP. Dat is precies de route die gemeente Haarlemmermeer liep en waarop de toezichthouder haar Copilot-plan onrechtmatig noemde zonder aanvullende maatregelen.
6. Regel transparantie en de rechten van betrokkenen
De AVG geeft mensen rechten die met AI niet verdwijnen. Informeer betrokkenen dat je hun gegevens door een AI-systeem laat verwerken (artikel 13 en 14), en zorg dat je verzoeken om inzage, correctie of bezwaar kunt uitvoeren, ook als de data verspreid staat over prompts, logs en een zoekindex. Neem je met AI besluiten over mensen (een afwijzing, een prijs, een beoordeling), dan mag dat niet volledig geautomatiseerd gebeuren: artikel 22 eist betekenisvolle menselijke tussenkomst. Wil je het interne gebruik netjes vastleggen, dan sluit dit aan op een AI-toolbeleid met een lijst goedgekeurde tools dat shadow AI tegengaat en aan de AVG voldoet.
7. Leg de technische en organisatorische maatregelen vast
De laatste stap maakt het verschil tussen een papieren checklist en echte grip. Maskeer of pseudonimiseer gevoelige velden voordat ze het model bereiken, zodat namen en BSN’s de deur niet uitgaan. Stel bewaartermijnen in en laat prompts en logs automatisch opschonen. Zet sensitivity labels op je documenten, log wie de AI waarvoor gebruikt, en leid je mensen op: de AP eiste van Haarlemmermeer letterlijk dat medewerkers voldoende worden getraind. Houd je register actueel bij elke nieuwe tool. Dit is waarom het AVG-risico van AI zelden in het model zit en bijna altijd in je datahuishouding: de maatregelen die je hier neemt, bepalen of de rest van de checklist standhoudt.
De valkuilen die de AP het hardst afstraft
- ‘Gerechtvaardigd belang’ als standaardvinkje. Het is de meest gemaakte aanname, en hij sneuvelt op de noodzakelijkheidstoets zodra er een privacyvriendelijker alternatief bestaat. Mitigatie: doorloop de drieledige toets echt en schrijf je onderbouwing op.
- Blind vertrouwen op je leverancier. Een leverancier die zichzelf ‘AVG-proof’ noemt levert een marketingzin, geen bewijs. Zelfs met de enterprise-databescherming van Copilot bleef Haarlemmermeer verantwoordelijk voor de grondslag, de DPIA en het opleiden van personeel. De databodem van je leverancier is jouw huiswerk, niet die van hem.
- De consumentenversie gebruiken voor bedrijfsdata. Gratis ChatGPT en losse consumententools kennen geen verwerkersovereenkomst en trainen vaak standaard op je invoer. Voor persoonsgegevens is dat vrijwel altijd onrechtmatig.
- Doelbinding vergeten. Data die voor facturatie binnenkwam en nu als zoek- of trainingsvoer dient, is een nieuw doel zonder dekkende grondslag.
- Prompts en logs als blinde vlek. Ze bevatten vaak persoonsgegevens en worden bewaard op plekken buiten je reguliere gegevensbeheer. Neem ze mee in je bewaartermijnen.
- De DPIA overslaan of te laat doen. De bewijslast ligt bij jou. Zonder vastgelegde risicoafweging kun je bij een klacht niet uitleggen waarom je iets als laag risico inschatte.
- Menselijke tussenkomst wegautomatiseren. Een AI die zelfstandig mensen afwijst of beoordeelt, botst met artikel 22. Zet er een mens tussen die echt kan ingrijpen.
Beslis-kader: welke route past bij jou
De eerlijke afweging draait niet om ‘wel of geen AI’, maar om hoeveel data je de deur uit laat gaan. Er zijn grofweg vier routes, van bijna geen AVG-verplichtingen tot volledige controle in eigen beheer. Kies op basis van de gevoeligheid van je data en de grip die je wilt houden, niet op basis van welke tool het populairst is.
| Route | Data verlaat je organisatie? | Verwerkersovereenkomst nodig | Training op jouw data | Past bij |
|---|---|---|---|---|
| Publieke chatbot, zonder persoonsgegevens | Nee (geanonimiseerd) | Nee | Niet relevant | Brainstorm, tekst zonder klant- of personeelsdata |
| Zakelijke tier met DPA (Copilot, ChatGPT Enterprise) | Ja, naar de leverancier | Ja | Nee, bij enterprise-tiers | Gewone bedrijfsdata, geen bijzondere categorieën |
| EU-aanbieder (Mistral Le Chat, Proton Lumo) | Ja, binnen EU-jurisdictie | Ja | Nee | Wie de VS-databodem wil vermijden |
| Self-hosted open-weight model | Nee, blijft binnen je muren | Nee (geen externe verwerker) | Volledig in eigen hand | Bijzondere gegevens, maximale controle |
Kun je de tool inzetten zonder persoonsgegevens te verwerken?
Mijn nuchtere lijn: voor de meeste MKB’ers is de winst het grootst bij de eerste twee routes. Begin met persoonsgegevens vermijden waar het kan, en pak voor de rest een zakelijke tier met een sluitende DPA. Zit je met echt gevoelige gegevens, of wil je principieel dat er niets naar buiten gaat, dan loont het om een AI-agent op je eigen data via een EU-aanbieder of self-hosted te draaien. En zoek je vooral een veilige chatbot voor dagelijks gebruik, dan is de vergelijking tussen een privacyveilige AI-chatbot als Proton Lumo, Mistral Le Chat of zelf hosten je startpunt. Maatwerk is geen doel op zich; het is het antwoord wanneer kant-en-klaar je data niet binnen kan houden.
Uitgewerkt voorbeeld: een administratiekantoor dat Copilot wil inzetten
Neem administratiekantoor Van Dijk & Bergsma, twaalf medewerkers, dat Microsoft 365 Copilot wil inzetten om klantmails samen te vatten en concept-jaarrekeningen op te stellen. De verleiding is groot: een samenvatting die nu vijftien minuten kost, doet Copilot in drie. Maar de dossiers zitten vol NAW-gegevens, BSN’s en financiële data, dus stap 1 valt af: zonder persoonsgegevens gaat het niet.
Bij stap 3 blijkt de grondslag gelaagd. Voor de eigen klanten dekt de opdrachtovereenkomst een deel van de verwerking, maar de efficiencywinst zelf leunt op gerechtvaardigd belang. Omdat de mails te pseudonimiseren zijn voordat ze de tool in gaan, moet het kantoor bij de noodzakelijkheidstoets uitleggen waarom het toch de volledige gegevens verwerkt. Bij stap 4 is de Microsoft-DPA aanwezig, de EU Data Boundary staat aan en er wordt niet op de data getraind, maar het kantoor zet de Bing-webzoekopdrachten en het externe Anthropic-model uit om de dataroute strak te houden. Stap 5 is onvermijdelijk: grootschalige verwerking van financiële en mogelijk bijzondere gegevens betekent een DPIA, en omdat er een restrisico blijft rond de leverancier, ligt een voorafgaande raadpleging voor de hand, net als bij Haarlemmermeer. In stap 6 en 7 informeert het kantoor zijn klanten, houdt het een mens tussen elk advies dat op een AI-samenvatting leunt, zet het sensitivity labels op de dossiers en traint het de twaalf medewerkers.
De uitkomst is niet ‘verboden’ en ook niet ‘zomaar aanzetten’. Het is: mag, mits de waarborgen staan. Dezelfde conclusie die de AP voor een veel grotere organisatie trok. Het verschil tussen een boete en een verantwoorde uitrol zat hier in een middag documenteren en een DPIA, niet in de tool zelf.
Tot slot
De AVG verbiedt AI niet. Wat de wet niet verdraagt, is slordigheid op schaal: een tool die honderden dossiers tegelijk aanraakt terwijl niemand opschreef waarom dat mag. De organisaties die generatieve AI met vertrouwen inzetten, zijn niet degene die het hardst op de rem trapten. Het zijn degene die eerst de grondslag en de dataroute vastlegden, en pas daarna het model erop loslieten. Een checklist voelt als bureaucratie, maar hij is het tegenovergestelde: de goedkoopste verzekering die er is, en je betaalt hem het liefst vooraf in een paar heldere keuzes in plaats van achteraf in boetes en verloren vertrouwen.
Veelgestelde vragen
AVG-veilige AI op je eigen data
Ik ontwerp en bouw AI die je documenten en klantdata doorzoekt zonder dat die je muren verlaat: pseudonimisering vooraf, een sluitende dataroute en self-hosting waar het moet, zodat de grondslag klopt en je checklist vanzelf afvinkt.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
