De Italiaanse privacytoezichthouder Garante heeft Character Technologies, de Amerikaanse eigenaar van chatbotplatform Character.AI, een boete van 158.000 euro opgelegd voor het schenden van de privacyregels, waaronder gebrekkige leeftijdscontrole en een te laat uitgevoerde privacytoets.
Het bedrag is klein, maar de zaak leest als een checklist voor elk bedrijf dat een AI-chatbot inzet die kinderen kan bereiken. De Garante rekent Character.AI drie dingen aan die net zo goed voor een Nederlandse aanbieder gelden: leeftijdsverificatie die daadwerkelijk werkt, een tijdig uitgevoerde gegevensbeschermingseffectbeoordeling (DPIA), en, voor bedrijven van buiten de EU, een aangewezen EU-vertegenwoordiger. Wie een chatbot op zijn site of in een app zet en niet uitsluit dat een tiener meepraat, valt onder dezelfde AVG-verplichtingen.
Wat de Garante Character.AI aanrekent
De toezichthouder stelde meerdere overtredingen van de privacyregels vast. Gebruikers kregen te weinig uitleg over hoe hun persoonsgegevens worden verwerkt. Zwaarder wegen de zorgen over minderjarigen: de waarborgen schoten tekort en de leeftijdsverificatie was niet effectief genoeg om te voorkomen dat kinderen bij ongeschikte inhoud konden komen. Character.AI laat gebruikers, minderjarigen inbegrepen, chatten met door AI gegenereerde personages.

Daar kwamen twee formele nalatigheden bij. Character Technologies voerde de verplichte DPIA te laat uit, de risicoanalyse die je vóór een verwerking met een hoog privacyrisico hoort te maken, en stelde ook te laat een EU-vertegenwoordiger aan, verplicht voor bedrijven van buiten de EU die Europeanen bedienen.
Een toezichthouder die genAI actief handhaaft
De Garante is een van de meest actieve privacywaakhonden van Europa als het om AI gaat. In 2023 legde de toezichthouder ChatGPT tijdelijk stil in Italië vanwege zorgen over leeftijdscontrole en gegevensverzameling. Dezelfde toezichthouder legde eerder OpenAI een boete van 15 miljoen euro op voor de omgang met persoonsgegevens. Ook de maker van gezelschaps-chatbot Replika kreeg een sanctie voor vergelijkbare leeftijds- en gegevensgebreken.
Voor Nederlandse ondernemers komt daar vanaf 2 augustus 2026 nog een laag bij: de transparantieplicht uit de AI Act, die voorschrijft dat je bezoekers eerlijk vertelt dat ze met een AI-chatbot praten. Leeftijdscontrole en informatieplicht komen zo van twee kanten tegelijk.
Niet het bedrag, maar de norm
Het patroon is duidelijker dan het boetebedrag. Europese toezichthouders behandelen generatieve AI niet als een grijs gebied waar de regels nog moeten landen, maar passen de bestaande AVG er gewoon op toe: informatieplicht, een grondslag, een DPIA bij risicovolle verwerking, en extra bescherming zodra kinderen in beeld komen. Een boete van 158.000 euro doet een Amerikaans techbedrijf weinig pijn, maar de onderliggende norm geldt vanaf de eerste gebruiker net zo hard voor een Nederlandse webshop met een klantenservice-bot of een app-maker met een AI-personage: een chatbot die minderjarigen niet uitsluit, moet aan strengere eisen voldoen. De leeftijdscontrole en de DPIA zijn geen formaliteit achteraf, maar horen in het ontwerp.
Veelgestelde vragen
AI-chatbot die AVG-proof is
Ik bouw AI-chatbots en agents die vanaf het ontwerp rekening houden met privacy, leeftijdscontrole en een sluitende DPIA, en denk met je mee van eerste opzet tot livegang. Zo staat de compliance vast voordat je klanten iets merken.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
