ChatGPT en de AVG: hoe zit het?

ChatGPT is niet automatisch AVG-proof voor bedrijven. Of het mag, hangt af van welke versie je gebruikt en welke gegevens je erin zet. De gratis en Plus-versie van ChatGPT zijn niet geschikt voor persoonsgegevens of bedrijfsgevoelige informatie. ChatGPT Enterprise en de zakelijke Team-versie bieden wel de contractuele en technische waarborgen die de AVG vereist. De kern: niet de tool bepaalt of je compliant bent, maar hoe en met welke versie je hem inzet.

Waarom is de gratis versie van ChatGPT een AVG-risico?

De gratis versie van ChatGPT is een AVG-risico omdat je geen verwerkersovereenkomst hebt en je niet weet wat er met je input gebeurt. Bij de gratis en Plus-versie kan OpenAI je gesprekken standaard gebruiken om modellen te trainen, tenzij je dit handmatig uitzet. Voor de AVG betekent dat: persoonsgegevens die een medewerker erin plakt, een klantnaam, een e-mail, een CV, verlaten je controle zonder grondslag of overeenkomst. Dat is precies het scenario dat de AVG verbiedt.

Het risico is niet theoretisch. Medewerkers gebruiken gratis AI-tools met de beste bedoelingen, maar zonder kaders gaat er ongemerkt gevoelige informatie naar buiten. Dat is niet alleen een AVG-risico, het is ook een reputatierisico.

Welke versie van ChatGPT mag je zakelijk gebruiken?

Voor zakelijk gebruik met persoonsgegevens heb je ChatGPT Enterprise of ChatGPT Team nodig. Bij deze versies gebruikt OpenAI je gegevens standaard niet voor training en kun je een verwerkersovereenkomst (DPA) afsluiten. Dat is de juridische basis die de AVG eist wanneer een externe partij persoonsgegevens voor je verwerkt.

Een overzicht van wat wel en niet geschikt is:

• ChatGPT gratis: niet geschikt voor persoonsgegevens of bedrijfsgevoelige data.

• ChatGPT Plus: niet geschikt voor persoonsgegevens; vooral bedoeld voor individueel gebruik.

• ChatGPT Team: geschikt voor zakelijk gebruik, data wordt niet gebruikt voor training.

• ChatGPT Enterprise: geschikt voor zakelijk gebruik, met DPA en aanvullende waarborgen.

[CHECK] Verifieer deze indeling op de actuele OpenAI-documentatie voor je publiceert. OpenAI past voorwaarden en versienamen geregeld aan.

Wat moet je regelen om ChatGPT AVG-proof in te zetten?

Om ChatGPT AVG-proof in te zetten regel je drie dingen: de juiste versie, een verwerkersovereenkomst en interne afspraken. De techniek alleen is niet genoeg. De meeste datalekken ontstaan niet door de tool, maar door medewerkers die zonder kaders gevoelige informatie invoeren.

Concreet:

1. Kies een zakelijke versie (Team of Enterprise) waarbij data niet voor training wordt gebruikt.

2. Sluit een verwerkersovereenkomst (DPA) af met OpenAI.

3. Stel een AI-gebruiksbeleid op: wat mag wel en niet in een AI-tool.

4. Train medewerkers in veilig gebruik, zodat ze weten welke data nooit naar buiten mag.

5. Houd een register bij van welke AI-tools binnen de organisatie gebruikt worden.

Geldt de EU AI Act ook voor het gebruik van ChatGPT?

Ja, naast de AVG geldt sinds 2024 ook de EU AI Act. Waar de AVG over persoonsgegevens gaat, stelt de EU AI Act eisen aan hoe organisaties AI inzetten, waaronder een verplichting tot AI-geletterdheid bij medewerkers. [CHECK] Verifieer de exacte ingangsdata en verplichtingen die op jouw situatie van toepassing zijn; de EU AI Act wordt gefaseerd ingevoerd. Voor de meeste bedrijven betekent het: zorg dat medewerkers begrijpen wat AI wel en niet kan, en leg vast hoe je AI verantwoord gebruikt.

Conclusie: AVG-proof werken met AI is een kwestie van kaders

ChatGPT is niet inherent veilig of onveilig. Het wordt AVG-proof door de juiste versie, de juiste contracten en duidelijke afspraken met je team. De grootste fout die bedrijven maken, is denken dat compliance een tool-keuze is. Het is een organisatiekeuze.

Bij Het AI Lokaal trainen we teams in verantwoord AI-gebruik, inclusief AVG en de EU AI Act. Wil je weten waar jouw organisatie staat? Plan een kennismaking of bekijk onze AI-trainingen.