Mag ik AI gebruiken voor het samenvatten van klantgesprekken?

Als het transcript namen of herleidbare informatie bevat, verwerk je persoonsgegevens. Anonimiseer het transcript voordat je het invoert: vervang namen door codes, verwijder contactgegevens. Of gebruik een AI-tool met verwerkersovereenkomst en training opt-out, zoals de API van ChatGPT of Claude.

Geldt de AVG ook als ik alleen bedrijfsnamen invoer, geen persoonsnamen?

Bedrijfsnamen zijn op zichzelf geen persoonsgegevens. Maar als je een bedrijfsnaam combineert met een contactpersoon, functie of e-mailadres, kan het geheel wel herleidbaar zijn tot een persoon. Bij eenmanszaken is de bedrijfsnaam vrijwel altijd een persoonsgegeven.

Moet ik een DPIA doen als ik AI-tools gebruik voor klantdata?

Een DPIA (gegevensbeschermingseffectbeoordeling) is vereist als de verwerking een hoog risico oplevert. Bij incidenteel gebruik van AI voor geanonimiseerde data is dat meestal niet nodig. Bij structureel, grootschalig gebruik van persoonsgegevens in AI-tools wel. De AP heeft AI als focusgebied aangemerkt voor 2026-2028.

Mag mijn werknemer zelf beslissen of klantdata in AI gaat?

Nee. De verwerkingsverantwoordelijke (jij als ondernemer) bepaalt welke verwerkingen plaatsvinden. Als een medewerker op eigen initiatief klantdata in een AI-tool invoert zonder beleid, ben jij aansprakelijk. Stel een AI-gebruiksbeleid op, ook als je maar een paar medewerkers hebt.

Wat als ik klantdata per ongeluk in een AI-tool heb ingevoerd?

Beoordeel of het een datalek is: waren het persoonsgegevens? Was de tool onbeveiligd (gratis account, training aan)? Zo ja, dan is het een inbreuk die je mogelijk moet melden bij de AP (binnen 72 uur) en bij de betrokkene als het risico hoog is. Documenteer wat er is gebeurd en welke stappen je hebt genomen.

Mag je klantdata in AI-tools stoppen?

Je vertaalt een klantenbrief in Claude. Je laat ChatGPT een offerte nakijken. Je vat een intakegesprek samen met Gemini. Drie keer dezelfde vraag: mogen die klantgegevens de AI in?

Het antwoord hangt af van drie dingen. Wat voor data het is. Welke tool je gebruikt. En of je afspraken hebt over wat er met die data gebeurt. Dat klinkt vaag, maar het is concreter dan je denkt.

Wat telt als klantdata onder de AVG?

De AVG beschermt persoonsgegevens: informatie die direct of indirect herleidbaar is tot een natuurlijk persoon. Dat is breder dan de meeste mensen denken.

Direct herleidbaar: namen, e-mailadressen, telefoonnummers, BSN, IBAN. Dit zijn de voor de hand liggende gevallen.

Indirect herleidbaar: een combinatie van functietitel, bedrijfsnaam en woonplaats kan iemand identificeerbaar maken. Een gedetailleerde opdrachtsomschrijving met specifieke kenmerken soms ook. De test is: kan iemand met redelijke middelen achterhalen over wie het gaat? Dan is het een persoonsgegeven.

Niet herleidbaar: een vraag over Python-code zonder context. Een tekst over een fictieve casus. Anonieme trends en statistieken. Generieke vragen die geen link hebben met een specifiek persoon.

Een veelgemaakt misverstand: bedrijfsgegevens zijn geen persoonsgegevens, toch? Klopt. Maar bij eenmanszaken is de bedrijfsnaam vrijwel altijd de persoonsnaam. En zodra je een contactpersoon noemt bij een bedrijf, zijn het weer persoonsgegevens.

Het onderscheid is bepalend. Als je geen persoonsgegevens invoert, is de AVG niet van toepassing op die specifieke handeling. Dat maakt AI-tools niet automatisch problematisch. Het maakt de inhoud van je invoer bepalend.

De beslisboom: mag dit de AI in?

Voor elke keer dat je overweegt klantdata in te voeren bij een AI-tool, doorloop deze vragen:

Stap 1. Bevat je invoer persoonsgegevens? Geen namen, geen herleidbare details, geen combinaties die iemand identificeren? Dan is het AVG-risico beperkt. Let wel op bedrijfsgeheimen en geheimhoudingsclausules. Die vallen niet onder de AVG, maar kunnen contractueel wel een probleem zijn.

Stap 2. Zijn het bijzondere persoonsgegevens? Medische gegevens, BSN-nummers, strafrechtelijke informatie, gegevens over ras, religie, seksuele geaardheid of politieke voorkeur. Stop. Deze gegevens horen niet in een AI-tool. Ongeacht je accounttype, ongeacht de verwerkersovereenkomst. De AVG stelt hier extra strenge eisen aan die in de praktijk vrijwel nooit te vervullen zijn bij een externe AI-dienst.

Stap 3. Kun je anonimiseren? Vervang namen door "Klant A", verwijder contactgegevens, haal identificeerbare combinaties weg. Als je dat doet voordat je de tekst invoert, verwerk je geen persoonsgegevens meer. Dit is de simpelste en meest effectieve maatregel.

Stap 4. Heb je een verwerkersovereenkomst met de tool? Als je wel persoonsgegevens invoert (omdat anonimiseren niet kan of praktisch is), heb je onder de AVG waarschijnlijk een verwerkersovereenkomst nodig. Bij ChatGPT Business/Enterprise/API, Claude API, en Google Gemini via Workspace is die beschikbaar. Bij gratis of consumentenaccounts niet.

Stap 5. Staat training uit? Bij veel AI-tools kan je invoer worden gebruikt voor modeltraining. Dat wil je niet als er klantdata in zit. Check of training is uitgeschakeld. Bij zakelijke accounts staat het vaak standaard uit. Bij consumentenaccounts moet je het zelf regelen.

Stap 6. Mag je deze data delen met een derde? Check je contract met je opdrachtgever. Geheimhoudingsclausules, NDA's, sectorspecifieke regels. De AVG kan in orde zijn, maar je contract niet. Een AI-tool is juridisch gezien een derde partij, ook als het voelt als een hulpmiddel op je eigen laptop.

Als je bij stap 1 al "nee" kunt antwoorden (geen persoonsgegevens), kun je de rest overslaan. Dat is het mooie van anonimiseren: het maakt de hele juridische analyse overbodig.

Welke AVG-grondslag heb je nodig?

Dit is het punt dat de meeste artikelen overslaan. Als je persoonsgegevens van klanten invoert bij een AI-tool, verwerk je die gegevens. En elke verwerking heeft een grondslag nodig onder artikel 6 van de AVG.

Toestemming klinkt logisch, maar is zelden de juiste keuze. Toestemming moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn. Ga je elke klant vragen: "Mag ik je offertegegevens door ChatGPT halen?" Dat is niet werkbaar. En als de klant nee zegt, kun je die dienst niet meer leveren op die manier.

Uitvoering van een overeenkomst (artikel 6 lid 1 sub b) kan van toepassing zijn als de AI-verwerking noodzakelijk is voor de dienst die je levert. Maar "noodzakelijk" is een hoge drempel. Je kunt een offerte ook zonder AI schrijven.

Gerechtvaardigd belang (artikel 6 lid 1 sub f) is in de praktijk de meest realistische grondslag voor veel zakelijk AI-gebruik. Je hebt een legitiem belang (efficiënte dienstverlening), je maakt een afweging tegen de privacybelangen van je klant, en je neemt maatregelen om het risico te beperken (anonimiseren, verwerkersovereenkomst, training uit). Die afweging moet je kunnen onderbouwen.

Welke grondslag ook geldt: je moet je klant informeren dat je hun gegevens verwerkt via een AI-tool. Dat hoort in je privacyverklaring (artikel 13 en 14 AVG). De meeste ZZP'ers vergeten dit. Het is een klein punt, maar het is wel verplicht.

Waar het echt misgaat: bijzondere persoonsgegevens

De AVG kent een categorie gegevens die extra beschermd zijn. De verwerking ervan is in principe verboden, tenzij een specifieke uitzondering van toepassing is. In de context van AI-tools is dat vrijwel nooit het geval.

Bijzondere persoonsgegevens zijn:

Gezondheidsgegevens (medische dossiers, diagnoses, medicijngebruik)
BSN-nummers (in Nederland extra beschermd via de UAVG)
Strafrechtelijke gegevens
Gegevens over ras of etnische afkomst
Politieke opvattingen, religieuze overtuigingen, vakbondslidmaatschap
Genetische en biometrische gegevens
Gegevens over seksueel gedrag of seksuele gerichtheid

Werk je in de zorg en typ je een patiëntverslag in een AI-tool? Dat zijn gezondheidsgegevens. Een advocaat die een strafdossier laat samenvatten? Strafrechtelijke gegevens. Een HR-medewerker die sollicitatiebrieven laat screenen? Potentieel gegevens over afkomst of gezondheid.

De Autoriteit Persoonsgegevens heeft in 2025 expliciet gewaarschuwd dat het invoeren van dergelijke gegevens in AI-chatbots als datalek kan worden beschouwd. De gemeente Eindhoven meldde in oktober 2025 dat medewerkers jeugdzorgdossiers en cv's hadden geüpload naar ChatGPT. Dat werd gemeld als datalek bij de AP.

Per sector: waar liggen de extra grenzen?

De AVG geldt voor iedereen. Maar sommige sectoren hebben aanvullende regels die AI-gebruik verder beperken.

Zorg. Gezondheidsgegevens zijn bijzondere persoonsgegevens. Daarnaast geldt het medisch beroepsgeheim. Een huisarts, fysiotherapeut of psycholoog die patiëntgegevens invoert bij een AI-tool schendt waarschijnlijk zowel de AVG als het beroepsgeheim. Gebruik eventueel lokale AI-modellen die volledig op je eigen systeem draaien.

Advocatuur en juridisch. Het advocatengeheim (artikel 11a Advocatenwet) verbiedt het delen van cliëntinformatie met derden. Een AI-tool is een derde. Zelfs met verwerkersovereenkomst is dit een grijs gebied. De Nederlandse Orde van Advocaten adviseert terughoudendheid.

Financieel. Financiële instellingen vallen onder toezicht van DNB en AFM. Klantgegevens delen met een buitenlandse AI-provider kan in strijd zijn met sectorspecifieke regelgeving. Accountants en belastingadviseurs hebben daarnaast eigen geheimhoudingsverplichtingen.

Overheid. Overheidsorganisaties verwerken vaak grote hoeveelheden persoonsgegevens met een publieke taak als grondslag. De verantwoordelijkheid is extra zwaar. Na de Eindhoven-casus zijn veel gemeenten actief AI-beleid aan het opstellen.

Ben je ZZP'er of klein bedrijf zonder sectorspecifieke verplichtingen? Dan is de standaard-AVG je kader. Maar check altijd of je opdrachtgever extra eisen stelt.

De praktische aanpak voor dagelijks gebruik

Je hoeft geen jurist te zijn om dit goed te doen. Een paar gewoontes zijn voldoende.

Maak anonimiseren een reflex. Voordat je tekst plakt: vervang namen, verwijder contactgegevens, haal identificeerbare combinaties weg. Dit is de maatregel met de meeste impact en de minste moeite. Na een week doe je het automatisch.

Gebruik de juiste tool voor de juiste taak. Generiek tekstwerk zonder klantdata? Elk account is prima. Werk met klantgegevens? Gebruik een tool met verwerkersovereenkomst en training opt-out. Gevoelige data? Overweeg een lokaal AI-model dat je computer niet verlaat.

Leg je werkwijze vast in drie zinnen. Welke AI-tools gebruik je? Wat voer je in en wat niet? Welke maatregelen neem je? Dat is je AI-beleid. Geen 50-pagina document. Drie zinnen in een notitie. Als iemand vraagt hoe je met klantdata omgaat in AI-tools, heb je een antwoord.

Vermeld AI-gebruik in je privacyverklaring. Als je persoonsgegevens via AI-tools verwerkt, hoort dat in je privacyverklaring. Noem de categorie tool (AI-taalmodellen), het doel (tekstverwerking, samenvatting), en de waarborgen (verwerkersovereenkomst, geen training).

Bespreek het met je opdrachtgever. Eén kort gesprek: "Ik gebruik AI-tools voor tekstwerk, nooit met herkenbare klantgegevens tenzij anders afgesproken." Vijf minuten. Voorkomt discussie achteraf.

De eerlijke inschatting

De meeste freelancers en kleine bedrijven die AI-tools gebruiken, bevinden zich in een grijs gebied. Niet expliciet fout, niet expliciet goed. De regels zijn in ontwikkeling, de handhaving is selectief, en de technologie verandert sneller dan het beleid.

De AP heeft AI als een van drie focusgebieden aangemerkt voor 2026-2028. Het aantal datalekkmeldingen gerelateerd aan AI-chatbots stijgt. De EU AI Act stelt vanaf augustus 2026 aanvullende eisen aan bedrijven die AI-systemen inzetten, waaronder verplichte AI-geletterdheid voor medewerkers. De regels worden strenger, niet losser.

Dat grijze gebied is geen reden om niets te doen. Het is juist een reden om nu bewuste keuzes te maken. Anonimiseren waar het kan. Een zakelijk account nemen waar het moet. Bijzondere persoonsgegevens er buiten houden. En eerlijk zijn tegenover je klanten over hoe je met hun gegevens omgaat.

De lat ligt niet op perfectie. De lat ligt op zorgvuldigheid. En die lat is lager dan je denkt. Begin bij anonimiseren. De rest volgt vanzelf.

Dit is informatie, geen juridisch advies. Raadpleeg een specialist voor je specifieke situatie.