RocketCrew
AVG & AI: Praktische Gids voor het MKB
Terug naar insights
ComplianceWhitepaper

AVG & AI: Praktische Gids voor het MKB

Alles wat je als MKB-ondernemer moet weten over het gebruik van AI binnen de AVG-regels — zonder juridisch jargon, met praktische checklists.

RocketCrew Team·15 februari 2026

AVG & AI: Praktische Gids voor het MKB

Privacy en AI — twee onderwerpen die de meeste ondernemers het liefst overlaten aan juristen. Maar dat is een dure vergissing. De Autoriteit Persoonsgegevens (AP) heeft in 2025 voor het eerst boetes uitgedeeld aan MKB-bedrijven die AI inzetten zonder adequate privacywaarborgen. De hoogste boete: €150.000 voor een recruitmentbureau dat AI gebruikte voor kandidaatselectie zonder de juiste basis. In deze whitepaper maken we AVG-compliance bij AI-gebruik begrijpelijk en werkbaar. Geen juridisch jargon. Wel concrete actie.

Waarom AVG en AI op gespannen voet staan

De AVG is gebouwd op principes als dataminimalisatie, doelbinding en transparantie. AI-systemen zijn van nature datahongerig, multifunctioneel en complex. Die spanning is reëel, maar overbrugbaar — als je weet waar de risico's zitten.

De drie grootste risico's voor het MKB

1. Onrechtmatige verwerking van persoonsgegevens Elk AI-systeem dat persoonsgegevens verwerkt — en dat is vrijwel elk systeem dat met klant-, medewerker- of leveranciersdata werkt — valt onder de AVG. De basis voor verwerking moet kloppen. "We hadden het niet door" is geen geldige grondslag.

2. Gebrek aan transparantie Als je AI gebruikt om beslissingen te nemen over mensen (klanten, sollicitanten, medewerkers), moeten die mensen dat weten. En ze moeten kunnen begrijpen hoe die beslissing tot stand is gekomen. Artikel 22 van de AVG geeft mensen expliciet het recht om niet onderworpen te worden aan volledig geautomatiseerde besluitvorming.

3. Datalekkage via AI-tools Elke keer dat een medewerker klantdata invoert in ChatGPT, Copilot of een andere AI-tool, verlaat die data potentieel je organisatie. Zonder duidelijke richtlijnen is dit een datalek wachtend op een melding.

Het AVG-AI Framework: 6 stappen

Stap 1: Inventariseer je AI-gebruik

Je kunt niet beschermen wat je niet kent. Start met een inventarisatie.

Checklist inventarisatie:

  • Welke AI-tools worden er in je organisatie gebruikt? (Inclusief tools die medewerkers op eigen initiatief gebruiken)
  • Welke persoonsgegevens worden in deze tools ingevoerd?
  • Waar worden deze gegevens opgeslagen? (EU of daarbuiten?)
  • Wie heeft toegang tot de input en output van deze tools?
  • Zijn er verwerkersovereenkomsten afgesloten met de AI-leveranciers?

De ervaring leert dat bij 80% van de MKB-bedrijven medewerkers AI-tools gebruiken waarvan de directie niet op de hoogte is. Shadow-AI is het nieuwe shadow-IT.

Stap 2: Bepaal de verwerkingsgrondslag

Voor elke AI-toepassing die persoonsgegevens verwerkt, heb je een wettelijke grondslag nodig. De zes opties uit de AVG:

Grondslag Relevant voor AI? Toelichting
Toestemming Soms Moet specifiek, geïnformeerd en vrij zijn. Lastig bij complexe AI.
Uitvoering overeenkomst Ja Als AI nodig is om een dienst te leveren die de klant heeft afgenomen.
Wettelijke verplichting Zelden Alleen als de wet AI-verwerking vereist.
Vitaal belang Nee Alleen bij levensbedreigende situaties.
Publieke taak Nee Alleen voor overheidsinstanties.
Gerechtvaardigd belang Vaak De meest gebruikte basis, maar vereist een belangenafweging.

Voor de meeste MKB AI-toepassingen is gerechtvaardigd belang de juiste grondslag. Maar let op: je moet een gedocumenteerde belangenafweging maken. Dat hoeft geen 50 pagina's te zijn — een helder A4'tje per toepassing volstaat.

Stap 3: Sluit verwerkersovereenkomsten af

Elke AI-leverancier die persoonsgegevens voor jou verwerkt, is een verwerker in de zin van de AVG. Je bent verplicht een verwerkersovereenkomst (VO) af te sluiten.

Minimale eisen aan een VO met AI-leveranciers:

  • Beschrijving van de verwerking (welke data, welk doel)
  • Beveiligingsmaatregelen
  • Locatie van dataopslag (moet binnen de EER zijn, of er moet een adequaat beschermingsniveau gelden)
  • Afspraken over subverwerkers
  • Procedure bij datalekken
  • Recht op audit
  • Specifiek voor AI: afspraken over of en hoe ingevoerde data wordt gebruikt voor modeltraining

Dat laatste punt is cruciaal. Veel AI-tools gebruiken standaard alle input om hun model te verbeteren. Dat betekent dat klantdata van jouw bedrijf kan bijdragen aan antwoorden voor een concurrent. Controleer dit en schakel het uit waar mogelijk.

Stap 4: Implementeer een AI-gebruiksbeleid

Je team heeft duidelijke regels nodig. Niet als bureaucratisch obstakel, maar als praktische leidraad.

Minimaal AI-gebruiksbeleid (pas aan op je situatie):

  1. Goedgekeurde tools: Alleen de volgende AI-tools zijn goedgekeurd voor zakelijk gebruik: [lijst]. Gebruik van andere tools is niet toegestaan zonder toestemming van [verantwoordelijke].

  2. Verboden invoer: Voer nooit de volgende gegevens in een AI-tool in:

    • BSN-nummers of ID-gegevens
    • Medische gegevens
    • Financiële gegevens van individuele personen
    • Wachtwoorden of toegangscodes
    • Niet-geanonimiseerde klantdata

  3. Verplichte anonimisering: Verwijder namen, adressen en andere direct identificeerbare gegevens voordat je data in een AI-tool invoert. Gebruik initialen of fictionele namen.

  4. Menselijke controle: AI-output die betrekking heeft op individuele personen (klanten, medewerkers) moet altijd worden gecontroleerd door een mens voordat er actie op wordt ondernomen.

  5. Meldplicht: Als je vermoedt dat persoonsgegevens onbedoeld zijn gedeeld via een AI-tool, meld dit direct bij [verantwoordelijke].

Stap 5: Voer een DPIA uit voor hoog-risico toepassingen

Een Data Protection Impact Assessment (DPIA) is verplicht wanneer je AI inzet voor:

  • Geautomatiseerde besluitvorming met rechtsgevolgen
  • Grootschalige verwerking van bijzondere persoonsgegevens
  • Stelselmatige monitoring van personen
  • Profilering van klanten of medewerkers

Een DPIA hoeft voor het MKB geen maandenlang project te zijn. De kern is:

  1. Beschrijf de verwerking en het doel
  2. Beoordeel de noodzaak en proportionaliteit
  3. Identificeer de risico's voor betrokkenen
  4. Bepaal maatregelen om die risico's te beperken

De AP biedt een gratis DPIA-model aan dat je als basis kunt gebruiken. Reken op 4-8 uur werk per toepassing.

Stap 6: Informeer betrokkenen

Transparantie is een kernprincipe van de AVG. Als je AI gebruikt in je klantprocessen, moet je dat communiceren.

Praktische implementatie:

  • Voeg een AI-paragraaf toe aan je privacyverklaring
  • Informeer klanten actief wanneer ze met een AI-systeem communiceren (bijv. chatbot)
  • Geef medewerkers inzicht in hoe AI wordt gebruikt in HR-processen
  • Bied een opt-out mogelijkheid waar dat redelijk is

Een goed voorbeeld: "Wij gebruiken AI-tools om uw klantvragen sneller te beantwoorden. Uw gegevens worden hierbij verwerkt door [leverancier], gevestigd in [land]. U kunt altijd verzoeken om contact met een menselijke medewerker."

Veelgestelde vragen

Mag ik klantdata in ChatGPT invoeren?

Niet zonder meer. ChatGPT Enterprise en Team-versies bieden betere privacywaarborgen (geen training op je data), maar je hebt nog steeds een verwerkersovereenkomst nodig en je moet beoordelen of de data buiten de EER wordt verwerkt.

Moet ik een Functionaris Gegevensbescherming (FG) aanstellen?

Alleen als je hoofdactiviteit bestaat uit grootschalige verwerking van bijzondere persoonsgegevens of monitoring van personen. Voor de meeste MKB-bedrijven is dit niet verplicht, maar een privacyverantwoordelijke aanwijzen is wel verstandig.

Wat als een medewerker per ongeluk klantdata in een AI-tool heeft ingevoerd?

Beoordeel of dit een datalek is op basis van de aard van de gegevens en het risico voor betrokkenen. In de meeste gevallen is dit een intern incident dat je moet registreren. Bij hoog risico voor betrokkenen moet je melden bij de AP binnen 72 uur.

Geldt de AI Act ook voor mij als MKB-bedrijf?

Ja. De AI Act geldt voor alle organisaties die AI-systemen gebruiken of aanbieden in de EU, ongeacht grootte. De verplichtingen hangen af van het risiconiveau van je AI-toepassing, niet van de grootte van je bedrijf.

Actieplan: binnen 30 dagen compliant

Week Actie Tijdsinvestering
1 Inventariseer alle AI-tools in gebruik 4 uur
2 Controleer verwerkersovereenkomsten en datalocaties 6 uur
3 Stel een AI-gebruiksbeleid op en deel dit met je team 4 uur
4 Update je privacyverklaring en voer DPIA uit indien nodig 8 uur

Totale investering: 22 uur en mogelijk €1.500 - €4.000 als je een privacyspecialist inschakelt voor de DPIA.

Download deze whitepaper als PDF inclusief het complete AI-gebruiksbeleid-template, een DPIA-checklist en een model-verwerkersovereenkomst voor AI-leveranciers.

Twijfel je of je AI-gebruik AVG-proof is? RocketCrew biedt een compacte AI-privacyscan aan. Binnen een dagdeel weet je waar je staat en wat je moet doen. Praktisch, betaalbaar en zonder poespas.

Klaar om AI in te zetten?

Plan een gratis demo. Wij lossen live een concreet probleem uit jouw bedrijf op.

Plan je gratis demo

Gerelateerde insights

Sector

AI per Sector: Waar Liggen de Kansen?

Een sectorspecifiek overzicht van de meest impactvolle AI-toepassingen voor het MKB — van bouw tot retail, van zorg tot zakelijke dienstverlening.

Strategie

AI Readiness Scan: Is jouw bedrijf klaar voor AI?

Ontdek met deze praktische readiness scan of jouw MKB-bedrijf klaar is voor AI-implementatie — en wat je moet doen als dat nog niet zo is.

Trends

AI Trends 2026: Wat het MKB Moet Weten

De vijf AI-trends die in 2026 het verschil gaan maken voor het MKB — en hoe je er nu al op kunt inspelen zonder je te vertillen.