Naar hoofdinhoud
Handhaving AI-verordening: vanaf 2 augustus 2026 regel het op tijd voor je team →
AIAI-geletterdheidstraining
InloggenRegel het voor je team →
Regel het voor je team →Of begin zelf gratis
TrainingenAI-beleidKennisbankVoor werkgeversDe AI-wetCertificaatInloggen
Home/Kennisbank/Praktijk

AVG én AI-wet: privacy bij AI-gebruik in de praktijk

Laatst bijgewerkt: 10 juni 2026 · 5 min lezen

In het kort

De AVG en de AI-verordening gelden naast elkaar: de AVG regelt wat je met persoonsgegevens mag doen, de AI-verordening stelt eisen aan het gebruik van AI-systemen. Persoonsgegevens invoeren in een openbare AI-tool is al snel een AVG-overtreding en kan een meldplichtig datalek opleveren. AI-geletterde medewerkers zijn de beste bescherming tegen beide risico's.

Twee wetten, twee vragen

De AVG en de AI-verordening overlappen niet — ze vullen elkaar aan. De AVG beantwoordt de vraag: wat mag je met persoonsgegevens doen? De AI-verordening beantwoordt: aan welke eisen moet het gebruik van AI-systemen voldoen? Gebruik je AI mét persoonsgegevens, dan gelden beide tegelijk.

Praktisch voorbeeld: een AI-tool die sollicitatiebrieven samenvat raakt aan de AVG (persoonsgegevens van sollicitanten) én aan de AI-verordening (werving is een hoog-risicotoepassing). En in beide gevallen verwacht de wetgever dat de mensen die ermee werken weten wat ze doen — daar komt artikel 4 om de hoek.

Het grootste praktijkrisico: persoonsgegevens in openbare AI-tools

Wie klantgegevens, personeelsdossiers of herleidbare casussen in een openbare AI-tool plakt, deelt die gegevens met de aanbieder van die tool — vaak buiten de EU en mogelijk voor trainingsdoeleinden. Daarvoor is meestal geen grondslag, geen verwerkersovereenkomst en geen passende beveiliging: een AVG-overtreding, en al snel een meldplichtig datalek.

De vuistregel voor elke medewerker: geen persoonsgegevens of vertrouwelijke informatie in een AI-tool, tenzij de organisatie die tool expliciet heeft goedgekeurd en er afspraken mee heeft gemaakt (zakelijke licentie, verwerkersovereenkomst, data blijft in de EU, geen training op jouw data).

Wat doe je bij een datalek via AI?

Heeft een medewerker tóch herleidbare gegevens in een niet-goedgekeurde tool ingevoerd, behandel dat dan als een mogelijk datalek: documenteer wat er is gedeeld, beoordeel het risico voor betrokkenen en meld het bij de Autoriteit Persoonsgegevens binnen 72 uur als er risico is. Neem de route op in je AI-gebruiksbeleid, zodat niemand bij een incident hoeft te improviseren.

Belangrijk: reken fouten niet onnodig af op de medewerker. Een meldcultuur waarin incidenten snel boven tafel komen beperkt de schade — en laat aan de toezichthouder zien dat je organisatie het serieus neemt.

Praktische afspraken die AVG en AI-wet samen afdekken

Met een handvol afspraken in je AI-gebruiksbeleid dek je het overgrote deel van de privacy-risico's af:

  • Werk alleen met door de organisatie goedgekeurde AI-tools; houd een lijst bij.
  • Geen persoonsgegevens of vertrouwelijke informatie in openbare AI-tools.
  • Anonimiseer casussen vóór je ze aan een AI-tool voorlegt.
  • Een mens controleert elke AI-uitkomst die naar een klant of betrokkene gaat.
  • Meld incidenten direct intern; beoordeel binnen 72 uur of een AP-melding nodig is.
  • Overweeg een DPIA bij AI-toepassingen met persoonsgegevens en mogelijk hoog risico.

Gratis AI-gebruiksbeleid templates per branche

Geletterdheid is de beste beveiliging

Technische maatregelen vangen veel af, maar het typische AI-privacy-incident begint bij een goedbedoelende medewerker die niet wist dat het niet mocht. Daarom is de AI-geletterdheidstraining ook een privacymaatregel: medewerkers leren welke gegevens veilig zijn, hoe ze hallucinaties herkennen en wanneer ze moeten escaleren. Eén getrainde organisatie voorkomt meer datalekken dan tien beleidsdocumenten die niemand leest.

Start gratis met de training

Veelgestelde vragen

Kort & bondig

Mag ik klantgegevens in ChatGPT plakken?

Nee, niet in een openbare (gratis) versie. Je deelt de gegevens dan met de aanbieder zonder grondslag of verwerkersovereenkomst — een AVG-overtreding en mogelijk een meldplichtig datalek. Alleen via een door je organisatie goedgekeurde zakelijke oplossing met de juiste afspraken kan het verantwoord.

Wat is het verschil tussen de AVG en de AI-verordening? +

De AVG regelt de verwerking van persoonsgegevens; de AI-verordening stelt eisen aan het ontwikkelen en gebruiken van AI-systemen, waaronder de AI-geletterdheidsplicht. Gebruik je AI met persoonsgegevens, dan gelden beide wetten naast elkaar.

Is het invoeren van persoonsgegevens in een AI-tool een datalek? +

Als de tool niet door je organisatie is goedgekeurd en er geen verwerkersovereenkomst is: hoogstwaarschijnlijk ja. Documenteer het incident, beoordeel het risico en meld het zo nodig binnen 72 uur bij de Autoriteit Persoonsgegevens.

Moet ik een DPIA uitvoeren voor AI-gebruik? +

Bij grootschalige of risicovolle verwerking van persoonsgegevens met AI is een DPIA (gegevensbeschermingseffectbeoordeling) verplicht onder de AVG. Voor alledaags gebruik van goedgekeurde tools zonder persoonsgegevens niet — maar leg die afweging wel vast.

Helpt een AI-training ook voor de AVG? +

Ja. De meeste AI-privacy-incidenten ontstaan door onwetendheid. Een AI-geletterdheidstraining leert medewerkers welke gegevens ze wel en niet mogen delen en hoe ze incidenten herkennen — dat is direct invulling van de AVG-plicht tot passende organisatorische maatregelen én van artikel 4.

Verder lezen

Officiële bronnen

AI & algoritmes — Autoriteit PersoonsgegevensVerordening (EU) 2024/1689 — volledige wettekst (EUR-Lex)

Dit artikel is informatief en vormt geen juridisch advies. Raadpleeg bij specifieke vragen een jurist of de toezichthouder.

Verder in de kennisbank

Gerelateerde artikelen

Praktijk
ChatGPT op het werk: welke regels gelden er?
Basis
Wat is AI-geletterdheid? Uitleg in gewone taal
Praktijk
AI-geletterdheid voor je team: zo regel je het organisatiebreed
Wetgeving
Boetes onder de AI-wet: tot €35 miljoen of 7% — zo zit het

Regel het aantoonbaar — in één middag

De lessen zijn gratis; je betaalt pas voor het examen met certificaat en verificatiecode.

Start gratis met de training →