Een nieuwe regel in Anthropics privacybeleid betekent dat sommige Claude-gebruikers vanaf 8 juli moeten bewijzen wie ze zijn met een overheids-ID en een selfie. Het gaat niet om iedereen, maar de aankondiging roept directe vragen op over biometrische data en de AVG, zeker voor bedrijven die Claude zakelijk inzetten.
Wie het raakt en wat het inhoudt
Anthropic benadrukt dat het om een kleine groep gaat: accounts die tijdens routinematige integriteitscontroles of andere veiligheids- en compliancemaatregelen zijn gemarkeerd als mogelijk frauduleus, plus accounts die via een bezwaarprocedure hun markering willen aanvechten. Wie wordt gevraagd te verifieren, levert volgens het bijgewerkte beleid een foto van een overheids-identiteitsbewijs in (paspoort of rijbewijs), een selfie in foto- of videovorm, en een zogeheten facial geometry template. Dat laatste is een wiskundig profiel van je gezicht dat in Anthropics eigen privacybeleid wordt omschreven als biometrische gegevens in bepaalde rechtsgebieden. De controle wordt volgens TechCrunch uitgevoerd via de externe verificatiedienst Persona, die in de VS gevoelig kan zijn voor overheidsverzoeken om data.
Het doel dat Anthropic noemt is een mix: leeftijdsverificatie, het tegengaan van fraude en misbruik, en het onderzoeken van veiligheidskwesties. Anthropic-medewerker Thariq Shihipar liet weten dat de maatregel los staat van de uitrol van de Fable- en Mythos-modellen, om speculatie over een verband met de exportperikelen voor te zijn.
Waarom dit AVG-vragen oproept
Het gevoelige punt zit in het type data. Een gezichtsgeometrie-profiel valt onder de AVG als biometrisch persoonsgegeven, en biometrie voor identificatie is een bijzondere categorie die alleen onder strikte voorwaarden verwerkt mag worden. Voor een Nederlandse onderneming of organisatie roept dat praktische vragen op: als een medewerker via een zakelijk account wordt gevraagd zijn paspoort en gezicht te uploaden naar een Amerikaanse dienstverlener, wie is dan verantwoordelijke, hoe lang wordt die data bewaard, en past dat binnen je eigen verwerkingsregister? Het privacybeleid verwijst voor bewaartermijnen naar een algemeen privacycentrum en noemt geen concrete deadline voor verwijdering, wat de beoordeling lastiger maakt. Dit sluit aan op een terugkerend thema: bij AI-tools zit het echte AVG-risico zelden in het model zelf, maar in de data die je erin stopt en waar die belandt.
Wat betekent dit voor jou
Voor de meeste zakelijke Claude-gebruikers verandert er op 8 juli niets, omdat de verificatie alleen gemarkeerde accounts treft. Toch is het verstandig om nu drie dingen te doen. Weet welke accounts dit kan raken: gedeelde of via VPN benaderde accounts lopen eerder tegen een integriteitscheck aan. Leg vast hoe je team omgaat met zo'n verzoek, zodat niemand impulsief een paspoort uploadt zonder dat compliance meekijkt. En houd het beheer strak: hoe beter je Claude-toegang centraal regelt, bijvoorbeeld via Okta waar medewerkers rechten erven in plaats van losse accounts, hoe kleiner de kans dat een schimmig ogend account onterecht wordt gemarkeerd. De bredere les is bekend maar blijft staan: zodra je kernprocessen op een externe AI-dienst leunen, leun je ook op diens regels, en die kunnen met een beleidsupdate veranderen. Beleid lezen voor het ingaat is goedkoper dan een geblokkeerd account op een drukke werkdag.
Veelgestelde vragen
AVG-proof met AI werken
Ik help je beoordelen welke AI-diensten persoonsgegevens raken en richt toegang, beheer en waar nodig self-hosted alternatieven zo in dat je AVG-proof blijft. Van meedenken tot realiseren en automatiseren.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
