Waarom standaard ChatGPT problematisch is voor AVG-gevoelige bedrijven

Onderzoek toont aan dat 87% van medewerkers AI-tools gebruikt op het werk, en de meeste gebruiken ChatGPT. Maar is dat zomaar verenigbaar met de AVG? Het korte antwoord: niet zonder aanvullende contractuele en organisatorische waarborgen.

Wat zegt de GDPR over AI-tools?

De Algemene Verordening Gegevensbescherming (AVG/GDPR) stelt duidelijke eisen aan het gebruik van tools die persoonsgegevens verwerken. Als je een AI-tool gebruikt en daarin klantdata, personeelsgegevens of andere persoonsgegevens invoert, dan is de aanbieder van die tool een "verwerker" in de zin van de AVG.

Dat betekent dat je als organisatie verplicht bent om:

• Een verwerkersovereenkomst (DPA) te sluiten met de AI-aanbieder.
• Een rechtmatige grondslag te hebben voor de verwerking.
• Te kunnen aantonen dat data veilig wordt verwerkt.
• Data niet buiten de EER te laten verwerken zonder adequate waarborgen.

De problemen met ChatGPT en GDPR

ChatGPT in zijn consumenten- en standaard betaalde vorm heeft meerdere GDPR-problemen:

• Geen standaard EU-locality garantie: je moet goed toetsen waar verwerking plaatsvindt en welke waarborgen gelden voor doorgifte buiten de EER.
• Modeltraining op gebruikersdata: bij de consumentenversie kan OpenAI gesprekken gebruiken om zijn modellen te trainen. Opt-out is mogelijk maar niet standaard ingeschakeld.
• Geen DPA voor standaardaccounts: een verwerkersovereenkomst is alleen beschikbaar voor ChatGPT Enterprise-klanten, niet voor de consumenten- of Plus-versie.

Concrete incidenten

De risico's zijn niet theoretisch. Er zijn al concrete incidenten geweest:

• Samsung-broncode lek (2023): Samsung-medewerkers voerden vertrouwelijke broncode in bij ChatGPT, die daardoor mogelijk deel werd van trainingsdata.
• Italië boete van 15 miljoen euro (december 2024): De Italiaanse toezichthouder Garante legde OpenAI een boete op van 15 miljoen euro wegens GDPR-overtredingen rondom ChatGPT.
• EDPB-taskforce bevindingen: De Europese Data Protection Board concludeerde dat OpenAI onvoldoende transparant is over hoe trainingsdata wordt verzameld en verwerkt.

Wat zijn de risico's voor jouw organisatie?

Als toezichthouder zoals de Autoriteit Persoonsgegevens (AP) concludeert dat jouw organisatie onrechtmatig persoonsgegevens heeft verwerkt via ChatGPT, kunnen de gevolgen ernstig zijn:

• Boetes tot 20 miljoen euro of 4% van de wereldwijde jaaromzet (AVG).
• Onder de EU AI Act: aanvullende boetes tot 35 miljoen euro of 7% van omzet.
• Reputatieschade bij klanten en partners.
• Verplichte stopzetting van AI-gebruik totdat compliance is aangetoond.

Wat is het alternatief?

Een AI-oplossing voor privacybewuste organisaties heeft in elk geval de volgende controlepunten:

• De appflow gebruikt EU-first verwerking voor runtime, opslag, AI-inference, embeddings en vector search.
• Geen gebruik van jouw data voor modeltraining.
• Volledige verwerkersovereenkomst beschikbaar.
• Audit logs voor aantoonbaarheid.
• Transparantie over welk AI-model wordt gebruikt en waar het draait.

PrivaAI is gebouwd rond deze controlepunten: EU-first verwerking via Scaleway, audit logging, DPA-flow en geen modeltraining op klantcontent.