← Terug naar blog
Illustratie bij het artikel over ChatGPT en GDPR

Waarom ChatGPT niet GDPR-compliant is voor bedrijven

Onderzoek toont aan dat 87% van medewerkers AI-tools gebruikt op het werk, en de meeste gebruiken ChatGPT. Maar is dat legaal onder de GDPR? Het korte antwoord: voor de meeste bedrijven niet.

Wat zegt de GDPR over AI-tools?

De Algemene Verordening Gegevensbescherming (AVG/GDPR) stelt duidelijke eisen aan het gebruik van tools die persoonsgegevens verwerken. Als je een AI-tool gebruikt en daarin klantdata, personeelsgegevens of andere persoonsgegevens invoert, dan is de aanbieder van die tool een "verwerker" in de zin van de AVG.

Dat betekent dat je als organisatie verplicht bent om:

  • Een verwerkersovereenkomst (DPA) te sluiten met de AI-aanbieder.
  • Een rechtmatige grondslag te hebben voor de verwerking.
  • Te kunnen aantonen dat data veilig wordt verwerkt.
  • Data niet buiten de EER te laten verwerken zonder adequate waarborgen.

De problemen met ChatGPT en GDPR

ChatGPT in zijn gratis en standaard betaalde vorm heeft meerdere GDPR-problemen:

  • Amerikaanse servers: OpenAI verwerkt data primair in de VS. Doorgifte naar de VS is alleen toegestaan met aanvullende waarborgen (SCCs), die OpenAI wel aanbiedt in de Enterprise-versie maar niet standaard.
  • Modeltraining op gebruikersdata: bij de gratis versie kan OpenAI gesprekken gebruiken om zijn modellen te trainen. Opt-out is mogelijk maar niet standaard ingeschakeld.
  • Geen DPA voor gratis accounts: een verwerkersovereenkomst is alleen beschikbaar voor ChatGPT Enterprise-klanten, niet voor de gratis of Plus-versie.

Concrete incidenten

De risico's zijn niet theoretisch. Er zijn al concrete incidenten geweest:

  • Samsung-broncode lek (2023): Samsung-medewerkers voerden vertrouwelijke broncode in bij ChatGPT, die daardoor mogelijk deel werd van trainingsdata.
  • Italië boete van 15 miljoen euro (december 2024): De Italiaanse toezichthouder Garante legde OpenAI een boete op van 15 miljoen euro wegens GDPR-overtredingen rondom ChatGPT.
  • EDPB-taskforce bevindingen: De Europese Data Protection Board concludeerde dat OpenAI onvoldoende transparant is over hoe trainingsdata wordt verzameld en verwerkt.

Wat zijn de risico's voor jouw organisatie?

Als toezichthouder zoals de Autoriteit Persoonsgegevens (AP) concludeert dat jouw organisatie onrechtmatig persoonsgegevens heeft verwerkt via ChatGPT, kunnen de gevolgen ernstig zijn:

  • Boetes tot 20 miljoen euro of 4% van de wereldwijde jaaromzet (AVG).
  • Onder de EU AI Act: aanvullende boetes tot 35 miljoen euro of 7% van omzet.
  • Reputatieschade bij klanten en partners.
  • Verplichte stopzetting van AI-gebruik totdat compliance is aangetoond.

Wat is het alternatief?

Een GDPR-compliant AI-oplossing voldoet aan de volgende criteria:

  • Data wordt uitsluitend verwerkt op EU-servers.
  • Geen gebruik van jouw data voor modeltraining.
  • Volledige verwerkersovereenkomst beschikbaar.
  • Audit logs voor aantoonbaarheid.
  • Transparantie over welk AI-model wordt gebruikt en waar het draait.

PrivaAI is gebouwd om precies aan deze criteria te voldoen — op Cloudflare's Europese infrastructuur, met Llama 3.3 70B als onderliggend model.

GDPR-compliant vanaf dag 1

Probeer PrivaAI gratis. Geen creditcard, geen risico, wel compliance.

Probeer PrivaAI gratis