De korte versie: met persoonsgegevens voorzichtig zijn, zonder vrij gebruiken. Maar in de praktijk is dat niet zo zwart-wit. Hieronder zes scenario's die we wekelijks bij MKB-klanten zien — en per scenario of het AVG-technisch mag, onder welke voorwaarden, en wat de boete-risico's zijn als je het verkeerd doet.
De realiteit. 6 AVG-vraagstukken die in 80% van de MKB-trajecten terugkomen. Met per scenario: mag het, hoe, en welke documentatie je nodig hebt.
Scenario 1. Klantmails samenvatten met AI
Mag dit? Ja, mits aan drie voorwaarden voldaan.
- Gebruik Enterprise- of Team-tier (ChatGPT, Claude). Geen training op jouw data.
- EU-data residency waar mogelijk. Anthropic en OpenAI bieden dit voor Enterprise.
- Klantnamen waar mogelijk geanonimiseerd. Of in elk geval: geen BSN, geen creditcardnummers, geen medische data.
Documentatie nodig: een verwerkersovereenkomst (DPA) met je AI-provider én een vermelding in je verwerkingsregister. Beide regelt OpenAI/Anthropic standaard bij Enterprise-tier.
Scenario 2. Offertes opstellen met klantgegevens
Mag dit? Ja, op voorwaarde van een Enterprise-account met DPA.
Naam, adres, e-mail in een offerte zijn standaard zakelijk verkeer. Geen probleem mits je niet stort op de publieke ChatGPT.com zonder zakelijk account. Het verschil tussen "mag wel" en "mag niet" zit volledig in welk account je gebruikt.
Vuistregel: Geen klantdata in ChatGPT.com (Free/Plus). Wel in ChatGPT Team (€25/p/m) of Enterprise — die hebben een DPA en trainen niet op je data.
Scenario 3. CV's voorscreenen met AI
Mag dit? Niet zonder expliciete toestemming én DPIA.
Hier wordt het strikter. Het screenen van sollicitanten met AI is "geautomatiseerde besluitvorming" volgens AVG-art. 22. Dat betekent:
- Sollicitant moet vooraf weten dat AI wordt ingezet
- Sollicitant heeft recht op menselijke beoordeling
- Je hebt een Data Protection Impact Assessment (DPIA) nodig
- De Autoriteit Persoonsgegevens kan je vragen om uitleg over de logica
Praktisch: voor MKB-bedrijven met < 50 sollicitaties/maand is dit zelden te rechtvaardigen. Voor > 200 sollicitaties/maand kan het, maar reken op €5.000-€10.000 juridische voorbereiding voor je live gaat.
Scenario 4. Klantbestand verrijken via publieke modellen
Mag dit? Nee.
Klantgegevens uploaden naar een publiek model voor "verrijking" met externe data is een combinatie van twee AVG-overtredingen: doorgifte naar derde landen zonder grondslag, en verwerking zonder toestemming. Boete-risico in de praktijk: tot 2% van de jaaromzet, met minimum van €10.000 in handhavingszaken die we kennen.
Wat dan wel? Verrijking via AVG-conforme leveranciers (Bisnode, Dataprovider) met een goede DPA, of zelf ingelogd in een Enterprise-AI-account met je eigen data.
Scenario 5. Gesprekken transcriberen met AI
Mag dit? Ja, mits opt-in en Enterprise-tier.
Calls samenvatten of transcriberen (Otter, Fireflies, MS Copilot) is breed toegestaan, maar drie eisen:
- Expliciete opt-in aan het begin van het gesprek. "Ik gebruik een AI-notitietool, oké?"
- Enterprise-tier van de tool, niet de gratis versie
- Bewaartermijn in je verwerkingsregister vastgelegd (bijvoorbeeld: 90 dagen)
Wat absoluut niet: stiekem opnemen of transcriberen zonder de andere kant te informeren. Dat is geen AVG-issue alleen — dat is strafrechtelijk.
Scenario 6. Marketingcontent genereren met AI
Mag dit? Ja, zonder beperkingen.
Geen persoonsgegevens betrokken = geen AVG-vraagstuk. Blogposts, social-content, koppelteksten: vrij te genereren met elk model, ook publieke ChatGPT.com. Wel oppassen met:
- Auteursrecht (geen onbedoelde plagiaat)
- EU AI Act (zie aparte post: per augustus 2026 transparantie-verplichtingen)
- Merknaam-disclaimers (vermelden bij AI-gegenereerd waar relevant)
Wanneer heb je een DPIA nodig?
Een Data Protection Impact Assessment is verplicht in 4 situaties. Eén ervan triggeren betekent: DPIA opstellen voor je AI inzet.
| Situatie | DPIA verplicht? | Voorbeeld in MKB |
|---|---|---|
| Geautomatiseerde besluitvorming over personen | Ja | CV-screening, kredietbeoordeling |
| Grootschalige verwerking bijzondere categorieën | Ja | Medische data, religieuze gegevens |
| Systematische monitoring openbare ruimte | Ja | Slimme camera's met AI |
| Profiling met rechtsgevolgen | Ja | AI-prijsdiscriminatie B2C |
| Klantmail samenvatten | Nee | (zolang Enterprise + DPA) |
| Marketingcontent genereren | Nee | (geen persoonsgegevens) |
DPIA-aanzet template
Een DPIA hoeft geen 30-pagina document te zijn. De minimale 6 secties die de AP accepteert:
- Beschrijving verwerking — welke data, welk doel, welke AI-tool
- Noodzaak en proportionaliteit — waarom AI, niet handmatig
- Risico-analyse — welke risico's voor betrokkenen, kans en impact
- Maatregelen — DPA, encryptie, retentietermijnen, opt-out
- Resterend risico — wat blijft over na maatregelen
- Datum + verantwoordelijke — handtekening DPO of eigenaar
Hierin past een MKB-DPIA in 3-4 pagina's. Bewaar het in je verwerkingsregister, update jaarlijks of bij grote wijzigingen.
We hadden onze juridische adviseur betaald voor 3 dagen "DPIA-traject" — €4.500. Achteraf bleek de DPIA in een uur op 4 pagina's te kunnen. Volgende keer doen we dat zelf met een template en laten we de jurist alleen finaal toetsen.— DPO, MKB-zorgaanbieder 32 medewerkers
De vuistregel die alles vereenvoudigt
Hoe meer persoonsgegevens een proces raakt, hoe restrictiever je AI-keuze. Geen persoonsgegevens? Vrije keuze. Standaard zakelijke contactgegevens? Enterprise-tier. Bijzondere categorieën of geautomatiseerde besluitvorming? DPIA + opt-in + Enterprise + zelden voor MKB de moeite waard. Met deze trapsgewijze aanpak voorkom je 95% van de juridische ellende zonder een advocaat per use-case in te schakelen.