Prijzen FAQ Blog Documentatie Boek een demo
GDPR en AI bij het invoeren van klantgegevens in ChatGPT

Blog

GDPR en AI: mag je klantgegevens in ChatGPT invoeren?

Ontdek of je klantgegevens veilig in ChatGPT en andere AI-tools mag invoeren. Praktische GDPR-richtlijnen voor Belgische ondernemingen.

Michaël De Bruyn • 6 januari 2026 • 7 minuten leestijd

Kort samengevat

Het invoeren van klantgegevens in ChatGPT is onder de GDPR niet zonder meer toegestaan. Als onderneming moet je kunnen aantonen waar persoonsgegevens terechtkomen, wie ze verwerkt en op basis van welke rechtsgrond. Zonder voldoende controle over de verwerking, passende contractuele waarborgen en naleving van de regels inzake internationale doorgifte creëer je al snel een juridisch risico, zelfs wanneer het gebruik intern efficiënt lijkt.

Je medewerker wil snel een offerte schrijven en plakt de klantgegevens in ChatGPT om een gepersonaliseerde mail te genereren. Een collega gebruikt AI om een klachtenbrief te analyseren. Handig en snel, maar is het ook toegestaan?

Het korte antwoord: nee, niet zonder passende maatregelen. De GDPR beschermt persoonsgegevens streng, ook wanneer je AI-tools gebruikt. Wie persoonsgegevens invoert in ChatGPT, moet kunnen verantwoorden wat er met die gegevens gebeurt en welke waarborgen gelden. Dat betekent niet dat je AI niet mag gebruiken, maar wel dat je de regels moet kennen.

In dit artikel leggen we uit wat de GDPR betekent in een AI-context, welke gegevens je beter niet invoert, en hoe je AI toch op een veilige manier kunt gebruiken.

Wat zegt de GDPR over AI?

De GDPR (Verordening (EU) 2016/679) beschermt persoonsgegevens van personen binnen de EU. Onder persoonsgegevens valt alle informatie die een natuurlijke persoon identificeert of identificeerbaar maakt, zoals naam, e-mailadres, telefoonnummer, maar ook IP-adressen en cookiegegevens.

De GDPR is technologieneutraal en geldt dus ook voor het gebruik van AI-tools. De belangrijkste principes zijn:

  • Rechtmatigheid: Je mag alleen gegevens verwerken als je daar een geldige grondslag voor hebt.
  • Doelbinding: Je mag gegevens alleen gebruiken voor het doel waarvoor je ze hebt verzameld.
  • Dataminimalisatie: Je mag niet meer gegevens verwerken dan nodig is.
  • Opslagbeperking: Je mag gegevens niet langer bewaren dan nodig is.
  • Beveiliging: Je moet gegevens beschermen tegen ongeautoriseerde toegang.

De uitdaging bij AI-tools zoals ChatGPT is niet dat ze per definitie in strijd zijn met de GDPR, maar dat je als onderneming vaak onvoldoende controle en transparantie hebt over hoe persoonsgegevens precies worden verwerkt. En net dat is onder de GDPR essentieel.

Het probleem met ChatGPT en klantgegevens

Wanneer je persoonsgegevens in ChatGPT invoert, moet je eerst een belangrijk onderscheid maken tussen accounttypes. Bij gratis en Plus-accounts kan OpenAI chats standaard gebruiken om modellen te verbeteren, tenzij je dat uitschakelt via Data Controls. Bij ChatGPT Business en Enterprise gebeurt dat standaard niet met bedrijfsdata.

Voor veel Belgische ondernemingen blijft er toch een GDPR-risico bestaan, zeker wanneer je zonder beleid of passende afspraken klantdata in een externe AI-tool plakt. Denk aan deze aandachtspunten:

  • Je moet kunnen verantwoorden waar persoonsgegevens worden verwerkt en welke doorgiftes buiten de EU mogelijk zijn, zoals ook blijkt uit de EU Privacy Policy van OpenAI
  • Bij consumentenaccounts moet je expliciet nagaan of trainingsgebruik uitstaat
  • Je hebt zonder duidelijke verwerkersafspraken of intern beleid vaak te weinig controle over bewaartermijnen, toegangen en verwijdering
  • Je moet beoordelen of internationale doorgifte en toegang door derde landen verenigbaar zijn met je GDPR-verplichtingen

Dat botst snel met GDPR-principes zoals doelbinding, dataminimalisatie en verantwoordingsplicht. De Belgische Gegevensbeschermingsautoriteit en de EDPB-opinie over AI en persoonsgegevens van december 2024 maken duidelijk dat je als bedrijf moet kunnen uitleggen welke persoonsgegevens je verwerkt, waarom dat nodig is en welke waarborgen je voorzien hebt.

Wat mag wel en niet?

❌ Dit mag NIET in ChatGPT:

  • Klantnamen en contactgegevens
  • E-mailadressen van prospects of klanten
  • Personeelsdossiers en salarisinformatie
  • Medische gegevens of gezondheidsinformatie
  • Financiële data van klanten
  • Contracten met vertrouwelijke informatie
  • Intellectueel eigendom en bedrijfsgeheimen

✅ Dit mag WEL in ChatGPT:

  • Algemene, geanonimiseerde data
  • Eigen teksten en documenten (zonder klantinfo)
  • Openbare informatie over je bedrijf
  • Algemene concepten en ideeën
  • Marketingcontent zonder persoonsgegevens

De grens ligt bij identificeerbaarheid. Zodra iemand aan de hand van de gegevens direct of indirect geïdentificeerd kan worden, gaat het om persoonsgegevens en gelden de GDPR-regels.

De gevolgen van niet-compliance

Let op: De GDPR kent strenge sancties. Bij een datalek of overtreding kan de Gegevensbeschermingsautoriteit (GBA) boetes opleggen overeenkomstig artikel 83 GDPR:

  • Tot €10 miljoen of 2% van de wereldwijde jaaromzet voor minder zware overtredingen
  • Tot €20 miljoen of 4% van de wereldwijde jaaromzet voor zwaardere overtredeningen

Maar het gaat niet alleen om boetes. Een incident met persoonsgegevens kan ook leiden tot reputatieschade, verlies van klantenvertrouwen en contractuele of operationele gevolgen. Die impact kan voor een onderneming minstens even zwaar doorwegen als een mogelijke sanctie.

Een bekend voorbeeld is Samsung, dat het gebruik van ChatGPT beperkte nadat medewerkers gevoelige informatie hadden ingevoerd, waaronder broncode, databasequeries en interne notities, zoals Forbes rapporteerde. Niet zozeer vanwege een opgelegde boete, maar vanwege het risico op verlies van controle over vertrouwelijke informatie.

Hoe werk je dan wel veilig met AI?

Je hoeft AI niet volledig te weren, maar je moet er wel doordacht en gecontroleerd mee omgaan. Hieronder geven we enkele concrete stappen mee om je op weg te helpen.

1. Anonimiseer je gegevens

Wil je een klachtenbrief analyseren? Vervang de naam van de klant door "Klant A". Wil je een offerte genereren? Gebruik een placeholder voor de klantnaam en vul die later handmatig in.

Regel: Gebruik geen persoonsgegevens als dezelfde taak ook kan worden uitgevoerd zonder identificeerbare informatie.

2. Gebruik EU-gehoste alternatieven

Gebruik bij voorkeur AI-tools die meer privacywaarborgen bieden. Denk aan tools die jouw gegevens binnen de EU verwerken, een verwerkersovereenkomst voorzien en je input niet gebruiken om modellen te trainen.

ThinkTank is ontwikkeld vanuit dat uitgangspunt: een AI-oplossing voor Belgische ondernemingen waarbij gegevens binnen de EU blijven, duidelijke verwerkersovereenkomsten zijn voorzien en jouw data niet wordt gebruikt voor modeltraining.

3. Zet een intern AI-beleid op

Leg duidelijke regels vast over wat wel en niet mag:

  • Welke AI-tools mogen gebruikt worden?
  • Welke gegevens mogen in AI-tools worden ingevoerd?
  • Wie is verantwoordelijk voor compliance?
  • Wat zijn de gevolgen bij overtreding?

Communiceer dit beleid duidelijk naar je team. Veel incidenten ontstaan uit onduidelijkheid, niet uit opzet.

4. Train je medewerkers

Een beleid dat niemand kent, werkt niet. Organiseer gerichte sessies over AI en GDPR, en leg niet alleen uit wat de regels zijn, maar ook waarom ze belangrijk zijn.

Werk daarbij met concrete voorbeelden, zoals "Je plakt een klantmail in ChatGPT om snel te antwoorden, wat zijn de risico's?"

5. Voer een Data Protection Impact Assessment (DPIA) uit indien nodig

Als je AI inzet voor het verwerken van persoonsgegevens, moet je nagaan of een DPIA nodig is. Dat is vooral het geval wanneer die verwerking waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van betrokkenen. Een DPIA is een risicoanalyse waarmee je beoordeelt welke privacyrisico's er zijn en hoe je die kunt beperken.

Een DPIA hoeft niet ingewikkeld te zijn. Het gaat erom dat je:

  • beschrijft welke gegevens je verwerkt
  • analyseert welke risico's er zijn
  • maatregelen neemt om die risico's te beperken

De AI Act: de regels zijn nu al deels van kracht

Naast de GDPR komt er nog een tweede kader bij dat voor ondernemingen relevant is: de AI Act. Die legt bijkomende regels op voor het gebruik en de ontwikkeling van AI-systemen, en een aantal bepalingen zijn vandaag al van kracht.

  • 1 augustus 2024 — Inwerkingtreding van de verordening
  • 2 februari 2025 — Verboden AI-praktijken en AI literacy van kracht
  • 2 augustus 2025 — Bijkomende verplichtingen voor GPAI-modellen en governance
  • 2 augustus 2026 — Alle verplichtingen voor hoog-risico AI-systemen van toepassing

Zie de implementatietijdlijn voor meer info.

Voor Belgische ondernemingen hierbij zijn vooral deze aandachtspunten relevant:

  • Transparantie: In sommige gevallen moet je duidelijk maken dat AI wordt gebruikt.
  • Menselijke controle: Belangrijke beslissingen mogen niet volledig geautomatiseerd zijn.
  • Datakwaliteit: Je moet voldoende aandacht hebben voor de kwaliteit en betrouwbaarheid van de gegevens die je gebruikt.

De AI Act en de GDPR vullen elkaar aan. Wie vandaag al bewust omgaat met persoonsgegevens, documentatie en menselijke controle, staat sterker voor beide kaders.

Conclusie

Mag je klantgegevens in ChatGPT invoeren? Niet zonder passende maatregelen. Wie persoonsgegevens in een externe AI-tool invoert, moet kunnen verantwoorden wat er met die gegevens gebeurt en welke waarborgen gelden. Zonder die controle is het risico op niet-naleving reëel.

Dat betekent niet dat je AI niet mag gebruiken. Wel dat je er zorgvuldig mee moet omgaan. Denk daarbij aan:

  • persoonsgegevens anonimiseren waar mogelijk
  • EU-gehoste alternatieven overwegen
  • een duidelijk AI-beleid opstellen
  • je medewerkers trainen

Het vraagt wat voorbereiding om dit goed op te zetten, maar die investering verlaagt het risico op incidenten, klachten, sancties en reputatieschade.

De vraag is dus niet óf je compliant moet zijn, maar hoe snel je daar werk van maakt.

Hulp nodig bij GDPR-compliant AI?

Wil je weten hoe je AI veilig en juridisch verantwoord inzet? Of heb je hulp nodig bij het opstellen van een AI-beleid? We denken graag met je mee.

ThinkTank helpt Belgische KMO's om AI op een veilige en gecontroleerde manier te gebruiken. Gegevens blijven binnen de EU, verwerkersovereenkomsten zijn voorzien en bedrijfsdata wordt niet gebruikt voor modeltraining.

Vraag een gratis adviesgesprek aan

Veelgestelde vragen

Mag ik klantgegevens zomaar in ChatGPT invoeren? +

Nee. Klantgegevens zomaar in ChatGPT invoeren is meestal niet verdedigbaar onder de GDPR, omdat je moet kunnen uitleggen waarom die verwerking nodig is, waar de gegevens terechtkomen en welke waarborgen gelden. Zonder passende maatregelen, een duidelijke rechtsgrond en voldoende controle over doorgifte buiten de EU loop je al snel juridische en operationele risico's.

Hoe gebruik ik AI dan toch veilig met persoonsgegevens? +

Je gebruikt AI veiliger met persoonsgegevens door gegevens eerst te anonimiseren waar mogelijk, duidelijke interne regels op te stellen en alleen tools te gebruiken met sterke privacywaarborgen. Een veilig gebruik hangt ook af van hoe medewerkers met die tools omgaan. Daarom moeten zij weten welke gegevens wel en niet mogen worden ingevoerd, en wanneer menselijke controle nodig blijft.

Zijn EU-gehoste alternatieven beter voor compliance? +

Vaak wel. EU-hosting maakt het eenvoudiger om gegevens binnen het Europese kader te houden en beperkt het risico op problematische doorgifte naar derde landen. Het is wel geen automatische garantie op compliance. Je moet nog altijd kijken naar de configuratie, het toegangsbeheer, de verwerkersafspraken en het concrete gebruik binnen je organisatie.

Lees meer

Compliance

Wat is de AI Act en wat betekent dit voor Belgische bedrijven?

De AI Act zet de nieuwe standaard voor AI-regulering in Europa. Ontdek wat de regels concreet betekenen voor Belgische bedrijven en welke stappen je vandaag al kan zetten.

MB

Michaël De Bruyn

Compliance

EU Tech Soevereiniteit: waarom Belgische ondernemingen voorzichtig moeten zijn bij hun cloud-keuzes

De verborgen risico's van US cloud providers en wat EU Tech Soevereiniteit betekent voor jouw onderneming.

MB

Michaël De Bruyn

Belgische context

Waarom internationale AI-tools Belgische ondernemers in de steek laten

Ontdek waarom ChatGPT en Claude niet altijd werken voor Belgische KMO's. De verborgen problemen en de oplossing.

MS

Maarten Somers