AI en GDPR: wat mag wel en niet met AI in Nederland?
AI inzetten voor leadgeneratie, chatbots of e-mailcampagnes? Dan verwerk je bijna altijd persoonsgegevens. De AVG (GDPR) bepaalt wat je wel en niet mag. De EU AI Act voegt daar een extra laag aan toe. In dit artikel lees je precies waar de grenzen liggen, hoe je compliant blijft, en welke fouten je moet vermijden.
AI & automatisering consultant. Helpt B2B-bedrijven met leadgeneratie, workflow automatisering en AI-training.
AVG-basics voor AI-gebruik
Het gebruik van AI in bedrijfsprocessen valt onder de AVG (GDPR) zodra er persoonsgegevens worden verwerkt. Dit geldt voor AI-gestuurde leadgeneratie, chatbots die klantdata verwerken, en geautomatiseerde e-mailcampagnes. De Europese AI Act voegt daar een extra laag aan toe: AI-systemen worden geclassificeerd op risico, met strengere eisen voor hoog-risico toepassingen.
Voor B2B-bedrijven betekent dit concreet: je mag AI gebruiken voor sales en marketing, mits je transparant bent, een rechtsgrond hebt en betrokkenen kunnen bezwaar maken.
Wanneer geldt de AVG voor jouw AI-gebruik?
De AVG is van toepassing zodra je AI-systemen persoonsgegevens verwerken. Persoonsgegevens zijn alle gegevens die direct of indirect te herleiden zijn tot een natuurlijk persoon: namen, e-mailadressen, IP-adressen, maar ook gedragsdata en profielinformatie.
Let op: ook als je B2B werkt, verwerk je bijna altijd persoonsgegevens. De naam en het e-mailadres van een contactpersoon bij een bedrijf zijn persoonsgegevens. Een LinkedIn-profiel dat je verrijkt met AI is dat ook.
De 6 rechtsgronden van de AVG
Elke verwerking van persoonsgegevens heeft een rechtsgrond nodig. De AVG kent er zes. Voor B2B AI-toepassingen zijn er drie relevant:
Gerechtvaardigd belang (artikel 6.1.f)
De meest gebruikte grondslag voor B2B. Je hebt een legitiem zakelijk belang (bijv. nieuwe klanten werven), de verwerking is noodzakelijk daarvoor, en de privacybelangen van de betrokkene wegen niet zwaarder. Je moet een belangenafweging maken en documenteren.
Toestemming (artikel 6.1.a)
De betrokkene heeft expliciet ingestemd met de verwerking. Belangrijk voor consumentenmarketing, maar in B2B vaak onpraktisch. Toestemming moet vrij, specifiek, geinformeerd en ondubbelzinnig zijn, en kan altijd worden ingetrokken.
Uitvoering van een overeenkomst (artikel 6.1.b)
Als je AI inzet om een bestaande klantrelatie te ondersteunen, bijvoorbeeld een chatbot voor klantenservice of AI-analyse van klantdata in het kader van je dienstverlening.
Meer weten over de AI Act? Lees ons uitgebreide artikel EU AI Act: wat moet je als B2B-bedrijf nu regelen. De Autoriteit Persoonsgegevens publiceert ook praktische richtlijnen. De volledige tekst van de AI Act vind je op artificialintelligenceact.eu.
AI Act: wat verandert er?
De EU AI Act is de eerste uitgebreide AI-wetgeving ter wereld en werkt naast de AVG. Waar de AVG zich richt op de bescherming van persoonsgegevens, richt de AI Act zich op de veiligheid en betrouwbaarheid van AI-systemen zelf. Samen vormen ze het juridische kader voor AI in de EU.
De kern van de AI Act is een risicogebaseerde indeling in vier niveaus. Hoe hoger het risico, hoe strenger de eisen. Daarnaast geldt er een transparantieplicht: bij elk AI-systeem dat met mensen communiceert (chatbots, AI-telefonisten) of content genereert, moet je melden dat het AI betreft.
Onaanvaardbaar risico
AI-systemen die fundamentele rechten schenden. Volledig verboden.
- Social scoring door overheden
- Realtime biometrische identificatie in openbare ruimtes
- AI die kwetsbare groepen manipuleert
- Emotieherkenning op de werkplek
Hoog risico
AI die invloed heeft op belangrijke beslissingen over mensen. Strenge eisen aan documentatie, transparantie en menselijk toezicht.
- AI in sollicitatieprocedures en CV-screening
- Credit scoring en financiele beoordelingen
- AI in het onderwijs (beoordeling van studenten)
- Medische AI-systemen en diagnostiek
Beperkt risico
AI-systemen waarvoor transparantieverplichtingen gelden. Gebruikers moeten weten dat ze met AI te maken hebben.
- Chatbots op je website
- AI-gegenereerde content (tekst, beeld, video)
- Deepfakes en synthetische media
Minimaal risico
De meeste B2B AI-toepassingen. Geen specifieke AI Act-verplichtingen, maar de AVG geldt onverkort.
- AI voor leadgeneratie en lead scoring
- Gepersonaliseerde e-mail outreach
- Content creatie met Claude of GPT
- Workflow automatisering en CRM-verrijking
Lees de volledige uitleg in ons artikel EU AI Act: wat moet je als B2B-bedrijf nu regelen.
Praktijkgids: AVG-compliant AI per use case
Hieronder de vier meest voorkomende B2B AI-toepassingen en hoe je ze AVG-compliant houdt.
AI-leadgeneratie
AI-tools die leads vinden, verrijken en scoren verwerken vrijwel altijd persoonsgegevens: namen, functies, e-mailadressen, bedrijfsdata gekoppeld aan personen. Dit mag, maar er zijn duidelijke regels.
Lees ook: AI-leadgeneratie: de complete gids
AI-chatbots
Een AI-chatbot op je website of in je klantenservice verwerkt persoonsgegevens zodra bezoekers informatie invoeren: namen, vragen over hun situatie, soms contactgegevens. Zowel de AVG als de AI Act stellen hier eisen aan.
Lees ook: Een AI-chatbot bouwen: praktische gids
AI-e-mailcampagnes
AI kan e-mails personaliseren, verzendmomenten optimaliseren en follow-ups automatiseren. Naast de AVG geldt hier ook de Telecommunicatiewet, die specifieke regels stelt voor elektronische communicatie.
AI-content en marketing
AI gebruiken voor het schrijven van blogposts, social media content of advertentieteksten is in principe geen AVG-kwestie, zolang je geen klantdata invoert in de AI-tool. Maar er zijn situaties waarin het wel relevant wordt.
Wil je AI-workflows compliant opzetten? Bekijk onze workflow automatisering dienst of lees het AI-implementatie stappenplan.
Checklist: AI AVG-proof maken
Gebruik deze checklist om je AI-gebruik stap voor stap AVG-compliant te maken.
Veelgemaakte fouten
Deze vijf fouten zien we regelmatig bij B2B-bedrijven die AI inzetten.
Geen rechtsgrond bepaald voor AI-verwerking
Veel bedrijven zetten AI in voor leadgeneratie of klantanalyse zonder na te denken over de rechtsgrond. 'Gerechtvaardigd belang' is vaak de juiste grondslag, maar je moet wel een belangenafweging maken en documenteren. Zonder rechtsgrond is elke verwerking onrechtmatig.
Verwerkersovereenkomst vergeten bij AI-tools
Als je klantdata invoert in ChatGPT, Claude of andere AI-tools, verwerk je persoonsgegevens via een derde partij. Zonder verwerkersovereenkomst ben je in overtreding van artikel 28 AVG. Controleer ook of je leverancier data gebruikt voor modeltraining.
Privacyverklaring niet bijgewerkt
Je privacyverklaring moet vermelden dat je AI gebruikt voor bepaalde verwerkingen, welke data daarbij betrokken is, en wat de rechtsgrond is. De meeste bedrijven vergeten dit bij te werken wanneer ze nieuwe AI-tools gaan gebruiken.
Geen opt-out mogelijkheid bieden
Bij geautomatiseerde besluitvorming en profilering hebben betrokkenen het recht om bezwaar te maken (artikel 21 AVG). Als je AI gebruikt voor lead scoring of gepersonaliseerde outreach, moet je een duidelijke opt-out bieden.
Data langer bewaren dan nodig
AI maakt het makkelijk om grote hoeveelheden data te verzamelen en te verrijken. Maar de AVG vereist dataminimalisatie: bewaar alleen wat je nodig hebt, en niet langer dan noodzakelijk. Stel bewaartermijnen in en automatiseer verwijdering.
Veelgestelde vragen over AI en AVG
Mag ik LinkedIn-profielen scrapen met AI voor leadgeneratie?
Dat hangt af van hoe je het doet. Publiek beschikbare bedrijfsinformatie (bedrijfsnaam, functietitel) mag je verwerken op basis van gerechtvaardigd belang, mits je een belangenafweging hebt gedaan. Persoonlijke gegevens zoals e-mailadressen en telefoonnummers mag je niet zomaar verzamelen. LinkedIn verbiedt scraping expliciet in hun voorwaarden. Gebruik liever LinkedIn Sales Navigator of vergelijkbare tools die binnen de regels werken.
Moet ik toestemming vragen om AI te gebruiken voor e-mailcampagnes?
Voor B2B e-mail geldt de Telecommunicatiewet. Je mag zakelijke e-mailadressen (info@, naam@bedrijf.nl) benaderen zonder voorafgaande toestemming, mits het relevant is voor hun bedrijfsvoering en je een opt-out biedt. Voor persoonlijke zakelijke adressen is het verstandiger om op gerechtvaardigd belang te vertrouwen met een duidelijke belangenafweging. AI mag je inzetten voor personalisatie, zolang de ontvanger weet hoe je aan hun gegevens komt.
Moet ik melden dat mijn chatbot door AI wordt aangestuurd?
Ja, dat is verplicht onder zowel de AVG als de EU AI Act. De AVG vereist transparantie over geautomatiseerde verwerking. De AI Act schrijft expliciet voor dat gebruikers moeten weten wanneer ze met een AI-systeem communiceren. Een simpele melding als 'Deze chat wordt ondersteund door AI' is voldoende.
Wat als een klant vraagt welke data mijn AI over hen heeft?
Dan moet je daar binnen een maand op reageren. Dit is het inzagerecht uit de AVG (artikel 15). Je moet kunnen laten zien welke persoonsgegevens je verwerkt, waarvoor, en met wie je ze deelt. Dit geldt ook voor data die door AI is verrijkt of gegenereerd. Zorg dat je een proces hebt om dit soort verzoeken af te handelen.
Hoe lang mag ik klantdata bewaren die door AI is verwerkt?
De AVG schrijft geen specifieke termijnen voor, maar wel dat je data niet langer bewaart dan nodig is voor het doel waarvoor je het verzamelt. Voor leadgeneratie is 6 tot 12 maanden een gangbare termijn. Voor klantdata na een aankoop mag langer, afhankelijk van wettelijke bewaarplichten. Stel per datadoel een bewaartermijn vast en documenteer deze.
AI inzetten zonder AVG-risico?
Wij helpen je AI implementeren op een manier die AVG-compliant is. Van belangenafweging tot verwerkersovereenkomst, van chatbot tot leadgeneratie.
Boek een strategiegesprek