Traint ChatGPT op alles wat ik invoer?

Bij Free, Go, Plus en Pro: standaard ja. Je kunt het uitschakelen via Settings > Data Controls. Bij Business, Enterprise en de API is training op je data standaard uitgeschakeld. Let op: gegevens die je al hebt ingevoerd voordat je de instelling wijzigde, kunnen al zijn meegenomen. Stand van zaken: maart 2026.

Kan ik ChatGPT gebruiken zonder verwerkersovereenkomst?

Juridisch gezien is dat problematisch als je persoonsgegevens invoert. Een verwerkersovereenkomst is alleen beschikbaar bij Business, Enterprise en API-accounts. Bij Free en Plus is er geen. Als je geen persoonsgegevens invoert (alleen geanonimiseerde tekst, brainstorms, publieke informatie), is het risico beperkt. Maar zodra je namen, adressen of andere persoonsgegevens invoert, heb je waarschijnlijk een verwerkersovereenkomst nodig.

Wat is het verschil tussen ChatGPT Plus en Business qua privacy?

Het verschil is groot. Bij Plus worden je gesprekken standaard gebruikt voor modeltraining. Er is geen verwerkersovereenkomst beschikbaar. Sinds februari 2026 toont OpenAI advertenties in het gratis en Go-abonnement. Bij Business is training standaard uit, is er een verwerkersovereenkomst, en zijn er extra beveiligingsfuncties zoals SAML SSO. Voor zakelijk gebruik met persoonsgegevens is Business het minimum.

Zijn er Europese alternatieven voor ChatGPT?

Er zijn alternatieven die beter scoren op privacy. Microsoft Copilot (als je al Microsoft 365 hebt) valt onder de bestaande Microsoft DPA en biedt EU-dataopslag. Google Gemini in Workspace idem. Voor maximale privacy kun je lokale modellen draaien via Ollama of LM Studio: je data verlaat dan nooit je eigen computer. De kwaliteit is lager dan GPT-4 of Claude, maar voor veel zakelijke taken voldoende.

Moet ik een DPIA uitvoeren als ik ChatGPT zakelijk gebruik?

Waarschijnlijk wel. De AP beschouwt verwerking met AI als "hoog risico", wat een DPIA verplicht maakt onder artikel 35 van de AVG. Zeker als je persoonsgegevens van klanten of medewerkers invoert. De DPIA hoeft niet uitgebreid te zijn, maar je moet de risico's in kaart brengen en maatregelen beschrijven.

ChatGPT en privacy: wat je moet weten als ondernemer

Je gebruikt ChatGPT om e-mails op te stellen, klachten samen te vatten, of een contract te laten nalezen. Handig. Maar wat gebeurt er met die tekst nadat je op Enter drukt?

Het antwoord hangt af van je abonnement, je instellingen en hoe je het gebruikt. En het verschil tussen "waarschijnlijk oké" en "juridisch problematisch" zit soms in één instelling die je niet hebt aangepast.

Wat OpenAI met je data doet

Bij de gratis versie, Go, Plus en Pro gebruikt OpenAI je gesprekken standaard om hun modellen te verbeteren. Dat staat in de voorwaarden. Het betekent dat tekst die je invoert, door medewerkers en systemen van OpenAI kan worden bekeken en verwerkt voor training.

Je kunt dit uitschakelen. Ga naar Settings, dan Data Controls, en zet "Improve the model for everyone" uit. Vanaf dat moment worden nieuwe gesprekken niet meer gebruikt. Maar gegevens die je eerder hebt ingevoerd, kunnen al verwerkt zijn. Die krijg je niet terug.

Bij Business, Enterprise en de API is modeltraining op jouw data standaard uitgeschakeld. OpenAI zegt ook dat ze deze gegevens niet gebruiken om hun modellen te trainen, en dat is contractueel vastgelegd in de verwerkersovereenkomst.

Sinds februari 2026 toont OpenAI advertenties in de gratis versie en het Go-abonnement. Dat is relevant: advertentie-ecosystemen vereisen doorgaans meer dataverzameling over gebruikersgedrag. Ook nieuw: een "Finding Friends"-functie die contacten kan synchroniseren. Beide functies zijn vooralsnog niet beschikbaar in de EU, maar het geeft aan welke richting OpenAI opgaat met consumentenproducten.

Het verschil per abonnement

Dit is waar het concreet wordt. Niet elk ChatGPT-abonnement is hetzelfde vanuit privacy-perspectief.

Free en Go ($8/maand). Training op je data staat standaard aan. Geen verwerkersovereenkomst beschikbaar. Data wordt opgeslagen in de VS. Advertenties worden getoond. Voor persoonlijk gebruik prima, voor zakelijk gebruik met klantgegevens niet geschikt.

Plus ($20/maand) en Pro ($200/maand). Meer rekenkracht, maar dezelfde privacyvoorwaarden als Free. Training staat standaard aan (uitschakelbaar). Geen verwerkersovereenkomst. Veel ondernemers denken dat een betaald abonnement automatisch veiliger is. Dat klopt niet. Plus geeft je meer capaciteit, niet meer privacybescherming.

Business ($25/user/maand). Hier verandert het wezenlijk. Training op je data is standaard uit. Er is een verwerkersovereenkomst beschikbaar via OpenAI Ireland Ltd, inclusief Standard Contractual Clauses voor doorgifte naar de VS. SAML SSO en beheerdersinstellingen. Dit is het minimale niveau voor zakelijk gebruik met persoonsgegevens.

Enterprise (custom pricing, minimaal 150 users). Alles van Business, plus EU-dataopslag, SCIM-provisioning en uitgebreidere compliancedocumentatie. Voor de meeste MKB-bedrijven niet realistisch qua schaal en prijs.

API (pay-per-use). Training is standaard uit. Verwerkersovereenkomst beschikbaar. EU-dataopslag beschikbaar. Geen chatinterface, maar integreerbaar in je eigen systemen. Interessant als je AI inbouwt in je dienstverlening.

Het verwerkersovereenkomst-probleem

Onder de AVG moet je een verwerkersovereenkomst hebben met elke partij die namens jou persoonsgegevens verwerkt. Bij ChatGPT Free en Plus is er geen verwerkersovereenkomst beschikbaar. Punt.

Dat maakt zakelijk gebruik met persoonsgegevens juridisch lastig. Als je klantnamen, adressen of andere persoonsgegevens invoert in een Free- of Plus-account, verwerk je persoonsgegevens via een derde partij zonder de vereiste contractuele waarborgen.

Praktisch gezien zijn er twee routes:

Route 1: upgrade naar Business. Daar is een verwerkersovereenkomst beschikbaar. Je tekent die elektronisch via OpenAI Ireland Ltd. De DPA bevat Standard Contractual Clauses en OpenAI is gecertificeerd onder het EU-US Data Privacy Framework.

Route 2: voer geen persoonsgegevens in. Als je ChatGPT alleen gebruikt voor geanonimiseerde tekst, brainstorms, vertalingen zonder klantgegevens of publiek beschikbare informatie, is het risico beperkt. Je hebt dan strikt genomen geen verwerkersovereenkomst nodig, omdat er geen persoonsgegevens worden verwerkt. Dit vereist wel discipline.

Anonimiseren: de 30-secondenoplossing

De meeste zakelijke ChatGPT-taken vereisen helemaal geen echte persoonsgegevens. Een contractreview werkt net zo goed met "Klant A" in plaats van de echte naam. Een klachtenanalyse kan met geanonimiseerde tekst.

Vuistregels:

Vervang namen door "Klant A", "Medewerker B"
Vervang exacte bedragen door afgeronde cijfers
Vervang adressen, telefoonnummers en e-mailadressen door generieke omschrijvingen
Vervang specifieke datums door relatieve aanduidingen ("vorige maand", "in Q1")
Voer nooit BSN, bankgegevens of medische informatie in

Dertig seconden extra werk. Het scheelt je een verwerkersovereenkomst-discussie en potentieel een datalekmelding als er iets misgaat aan OpenAI's kant.

Wil je weten of je AI-tools privacyveilig gebruikt? Doe de AI Risico Check en krijg binnen 2 minuten een overzicht van je risico's en verbeterpunten.

Wat de Autoriteit Persoonsgegevens zegt

De AP publiceerde in februari 2026 het visiedocument "Verantwoord vooruit" over generatieve AI. Kernboodschap: begin niet met "wat kan AI?" maar met "wat vinden we acceptabel?" De AP waarschuwt specifiek voor black-box AI-systemen in kritieke processen.

Concreter: de AP ontving in 2024 en 2025 tientallen datalekmeldingen waarbij AI-chatbots de oorzaak waren. De gemeente Eindhoven ontdekte in december 2025 dat medewerkers 30 dagen lang CV's, jeugdzorgdossiers en interne rapporten hadden ingevoerd in publieke AI-chatbots. De gemeente blokkeerde daarna de toegang tot publieke AI-sites en vroeg OpenAI om de bestanden te verwijderen.

De AP noemt dit "shadow AI": medewerkers die naast eventuele zakelijke licenties ook gratis tools gebruiken. Meer over veilig AI-gebruik op het werk lees je in het artikel over ChatGPT voor werk. Het is een van de redenen waarom de AP in april 2026 definitieve AVG-randvoorwaarden voor generatieve AI publiceert.

De Italiaanse privacytoezichthouder legde OpenAI in december 2024 een boete op van 15 miljoen euro. De redenen: geen afdoende wettelijke grondslag voor training, onvoldoende transparantie en gebrekkige leeftijdsverificatie. Het is de eerste grote Europese boete voor een LLM-aanbieder.

De alternatieven vergeleken

ChatGPT is niet je enige optie. De privacy-implicaties verschillen per dienst, en afhankelijk van wat je al gebruikt kan een alternatief beter passen.

Microsoft Copilot. Als je al Microsoft 365 gebruikt, valt Copilot onder je bestaande Microsoft Data Protection Addendum. Geen aparte verwerkersovereenkomst nodig. Data blijft binnen de Microsoft 365 EU-databoundary. Training op je data: nee. Het grote voordeel is dat je geen nieuw contract hoeft te regelen. Nadeel: de AI-kwaliteit wisselt per taak.

Google Gemini in Workspace. Vergelijkbaar met Copilot: valt onder het bestaande Cloud Data Processing Addendum van Google Workspace. Geen training op je data. Google Ireland Ltd als contractpartij. Google biedt zelfs DPIA-ondersteuning voor Workspace met Gemini. Als je al Workspace gebruikt, is dit de pad-van-minste-weerstand optie.

Claude (Anthropic). Bij het Team- en Enterprise-abonnement geen training op je data, met een automatische verwerkersovereenkomst in de servicevoorwaarden. Bij het gratis en Pro-abonnement heeft Anthropic sinds september 2025 een opt-in systeem voor training. Geen EU-dataopslag. Minder uitgebreid gecertificeerd dan OpenAI of Microsoft. Kwalitatief sterk model, maar juridisch iets minder uitgekristalliseerd voor de Europese markt. Stand van zaken: maart 2026.

Lokale modellen (Ollama, LM Studio). Je draait het model op je eigen computer. Data verlaat nooit je machine. Geen verwerkersovereenkomst nodig, geen doorgifte naar de VS, geen discussie over training. De kwaliteit is lager dan GPT-4 of Claude voor complexe taken, maar voor het samenvatten van tekst, brainstormen of simpele analyses is het vaak voldoende. Vereist wel enige technische kennis en een computer met voldoende rekenkracht. Meer over de afweging tussen gratis en betaalde AI-tools lees je in het artikel over gratis vs. betaald AI.

Wat je nu moet regelen

Vier stappen, in volgorde van urgentie:

Inventariseer. Welke AI-tools worden er in je bedrijf gebruikt? Niet alleen de officiële, ook de "even snel een vraag stellen in ChatGPT"-variant. Shadow AI is het grootste risico omdat je niet weet wat er wordt ingevoerd.
Kies het juiste abonnement. Als je persoonsgegevens invoert: minimaal ChatGPT Business, of een alternatief met verwerkersovereenkomst. Als je dat niet doet: documenteer dat anonimiseren de standaard werkwijze is.
Stel regels op. Wat mag er ingevoerd worden? Wat niet? Wie is verantwoordelijk? Het hoeft geen heel beleidsdocument te zijn. Een halve pagina met duidelijke regels en voorbeelden volstaat.
Schakel de juiste instellingen in. Training uit, MFA aan, en bij Business: verwerkersovereenkomst accepteren. Dat kost een kwartier.

De AP publiceert in april 2026 de definitieve AVG-randvoorwaarden voor generatieve AI. Dat wordt het nieuwe referentiekader. Wie nu de basis op orde heeft, hoeft straks alleen bij te sturen in plaats van alles tegelijk te regelen.

Dit is informatie, geen juridisch advies. Raadpleeg een specialist voor je specifieke situatie.