← Terug naar blog
Illustratie bij het artikel over GDPR-boetes voor AI

GDPR-boetes voor AI: wat zijn de risico's voor bedrijven in 2026?

Europese toezichthouders richten hun pijlen steeds meer op AI-tools. De boetes worden hoger, de controles strenger. Welke risico's loop jij, en hoe voorkom je een boete?

Recente GDPR-boetes voor AI

De handhaving is al begonnen:

  • OpenAI — Italië, december 2024: 15 miljoen euro. De Italiaanse privacytoezichthouder Garante legde OpenAI een boete op van 15 miljoen euro voor meerdere GDPR-overtredingen, waaronder onvoldoende transparantie over gegevensverwerking en het ontbreken van een adequate rechtsbasis voor het verwerken van gebruikersdata voor modeltraining.
  • EDPB-taskforce (2024): De Europese Data Protection Board concludeerde na gezamenlijk onderzoek dat ChatGPT op meerdere punten niet voldoet aan de GDPR. Nationale toezichthouders zijn geïnstrueerd om handhavingsmaatregelen te treffen.
  • Meerdere onderzoeken lopend: In Nederland, Duitsland, Frankrijk en Spanje lopen actieve onderzoeken naar AI-aanbieders. De verwachting is dat 2026 meer boetes zal brengen.

Wanneer loop jij risico?

Jouw organisatie loopt risico als je:

  • AI-tools gebruikt zonder een geldige verwerkersovereenkomst met de aanbieder.
  • Persoonsgegevens (van klanten, medewerkers, prospects) invoert in niet-gecertificeerde AI-tools.
  • Data laat verwerken op servers buiten de EER zonder adequate waarborgen.
  • Geen bewaarbeleid hebt voor AI-gerelateerde data en logbestanden.
  • Medewerkers zonder beleid of training AI-tools laat gebruiken.

Hoe hoog zijn de boetes?

De GDPR kent twee boetecategorieën:

  • Lichtere overtredingen: tot 10 miljoen euro of 2% van de wereldwijde jaaromzet (het hoogste van de twee).
  • Ernstige overtredingen: tot 20 miljoen euro of 4% van de wereldwijde jaaromzet.

Onder de EU AI Act (van toepassing vanaf augustus 2026) gelden aanvullende boetes:

  • Tot 35 miljoen euro of 7% van de wereldwijde jaaromzet voor de zwaarste overtredingen.

Hoe voorkom je een GDPR-boete?

Praktische stappen die toezichthouders als positief aanmerken:

  • Gebruik alleen EU-gehoste AI-tools met een geldige verwerkersovereenkomst.
  • Zorg voor audit logs: documenteer wie welke AI-tool wanneer heeft gebruikt en voor welk doel.
  • Stel een AI-beleid op voor medewerkers: welke tools zijn toegestaan, welke data mag worden ingevoerd.
  • Train medewerkers: bewustwording over GDPR-risico's van AI is aantoonbaar positief bij toezichthoudersonderzoeken.
  • Voer een DPIA uit voor elk AI-systeem dat persoonsgegevens verwerkt.

GDPR-compliant by design

PrivaAI is gebouwd met compliance als vertrekpunt. Start gratis, geen creditcard nodig.

Start gratis met PrivaAI