strategie 2026-02-26 · 8 min leestijd

GDPR en AI: wat mag je wel en niet automatiseren?

AI verwerkt data. Data heeft regels. Voor Nederlandse ondernemers die AI inzetten is GDPR geen optionele bijzaak, het is een juridische vereiste. Maar de regels zijn beheersbaar als je weet waar je op moet letten.

GDPR en AI: wat mag je wel en niet automatiseren?

Je wilt AI inzetten om klantgesprekken te analyseren, leads automatisch te kwalificeren, of je klantenservice te automatiseren. Goed idee. Maar zodra je met persoonsgegevens werkt, kom je de GDPR tegen: de Europese privacywetgeving die van toepassing is op elk bedrijf dat persoonsgegevens van EU-burgers verwerkt.

Geen paniek. De regels zijn helder als je ze begrijpt. Dit artikel geeft je het kader.

Welke AI-toepassingen zijn GDPR-gevoelig?

Niet elke AI-toepassing raakt de GDPR. Maar zodra persoonsgegevens betrokken zijn, gelden de regels. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een persoon: naam, e-mailadres, IP-adres, maar ook gedragsdata en locatiedata.

GDPR-gevoelige AI-toepassingen:

  • Chatbots die klantvragen verwerken (naam, contactgegevens, inhoud van vragen)
  • Lead scoring en kwalificatie (data van potentiële klanten)
  • E-mailanalyse en automatische opvolging (inhoud van berichten)
  • Personalisatie op basis van klantgedrag
  • Geautomatiseerde besluitvorming (zoals kredietbeoordeling of prijsdifferentiatie)
  • HR-toepassingen (cv-analyse, prestatiebeoordeling)

    • AI-toepassingen die niet direct GDPR-gevoelig zijn: interne contentgeneratie, code assistentie, marktanalyse op basis van publieke data.

    De 6 grondslagen voor gegevensverwerking

    Voor elke verwerking van persoonsgegevens moet je een juridische grondslag hebben. Er zijn er zes:

  • Toestemming: de persoon heeft expliciet toestemming gegeven. Moet vrijwillig, specifiek, geïnformeerd en ondubbelzinnig zijn.
  • Uitvoering van een overeenkomst: de verwerking is noodzakelijk om een contract uit te voeren (bijv. orderverwerking).
  • Wettelijke verplichting: je bent wettelijk verplicht de gegevens te verwerken.
  • Vitale belangen: noodzakelijk om levensbelangen te beschermen (zeldzaam relevant voor bedrijven).
  • Publiek belang: voor overheidsorganen en vergelijkbare taken.
  • Gerechtvaardigd belang: je hebt een legitiem zakelijk belang dat zwaarder weegt dan de privacy van de betrokkene. Dit is de meest gebruikte grondslag voor marketing en AI, maar vereist een afweging.

    • Voor de meeste AI-toepassingen in MKB is gerechtvaardigd belang of toestemming de relevante grondslag.

    ⚠️ Let op: geautomatiseerde besluitvorming

    Als je AI inzet voor volledig geautomatiseerde besluiten die significante gevolgen hebben voor een persoon (prijsdifferentiatie, toegangsweigering, kredietbeslissing), gelden extra regels. Personen hebben recht op menselijke tussenkomst en bezwaar.

    Welke AI-tools voldoen aan GDPR?

    Een cruciale vraag: waar worden je data verwerkt? Als je persoonsgegevens stuurt naar een AI-model dat data verwerkt buiten de EU, moet je zorgen dat er adequate beschermingsmaatregelen zijn.

    GDPR-vriendelijke opties

  • Mistral AI: Frans bedrijf, data verwerkt in de EU. Geen overdracht naar derde landen. Sterke GDPR-compliance. Beschikbaar via Mistral.ai en via Azure.
  • Azure OpenAI Service (EU-regio): Microsoft biedt OpenAI-modellen aan via Azure met EU-datalocatie en een verwerkersovereenkomst (DPA).
  • Google Vertex AI (EU-regio): vergelijkbaar met Azure OpenAI, met EU-verwerking en DPA.
  • n8n self-hosted: bij self-hosting op een EU-server verlaat data jouw infrastructuur niet. Maximum controle.

    • Let op bij Amerikaanse providers

    OpenAI, Anthropic en Google hebben allemaal DPA's beschikbaar voor hun API-diensten. Controleer of je een DPA hebt afgesloten en of je gegevens in de EU worden verwerkt (of dat er Standard Contractual Clauses van toepassing zijn).

    Praktische checklist

    Controleer voor elke AI-toepassing die persoonsgegevens verwerkt:

  • Heb ik een juridische grondslag voor de verwerking?
  • Is de verwerking gedocumenteerd in mijn verwerkingsregister?
  • Heb ik een verwerkersovereenkomst (DPA) met de AI-provider?
  • Worden gegevens in de EU verwerkt of zijn er adequate safeguards?
  • Weten betrokkenen dat hun data door AI wordt verwerkt? (transparantieverplichting)
  • Is er een procedure voor het beantwoorden van inzageverzoeken, bezwaar en verwijdering?
  • Bij volledig geautomatiseerde besluiten: is er een menselijke review-optie?

    • Meer informatie over GDPR en de Nederlandse regels vind je op autoriteitpersoonsgegevens.nl.

    Bekijk ons overzicht van GDPR-vriendelijke AI-modellen op workflows.nl/modellen/mistral-large.

    Conclusie

    GDPR en AI zijn combineerbaar, maar vragen zorgvuldigheid. De kern is eenvoudig: verwerk alleen de data die je nodig hebt, zorg voor een juridische grondslag, werk met providers die GDPR-compliant zijn, en documenteer je keuzes.

    Bedrijven die dit goed regelen, bouwen niet alleen juridische zekerheid, maar ook klantvertrouwen. In een wereld waar datalekken en misbruik regelmatig in het nieuws zijn, is een aantoonbaar GDPR-compliant AI-beleid een competitief voordeel.

    Meer lezen

    kennisbank

    AI klantenservice voor MKB in 2026: zo automatiseer je support zonder in te leveren op kwaliteit
    strategie

    De EU AI Act in 2026: welke verplichtingen gelden er voor jouw MKB-bedrijf?
    modellen

    Google Gemini 3.1 Pro Review 2026: het slimste AI-model ter wereld getest

    Nieuwsbrief

    Wil je meer van dit?

    Elke week de beste agentic AI inzichten in je inbox.

    Gratis aanmelden →