Mag je klantdata gebruiken met een AI agent?

Ja, als je het goed inricht. De AVG verbiedt AI agents niet. Je hebt vijf dingen nodig: een geldige reden om data te verwerken, een bijgewerkte privacyverklaring, privacycontracten met alle partijen die data verwerken, beperkte toegang voor de agent, en duidelijke bewaartermijnen.

Moet ik elke klant om toestemming vragen?

Meestal niet. Voor e-mail, facturatie en saleswerk heb je al een geldige reden via je contract met de klant of je logische bedrijfsbelang. Expliciete toestemming is pas nodig als je met gevoelige gegevens werkt, zoals medische data.

Is een eigen server automatisch AVG-proof?

Nee. Een eigen server is veiliger omdat klantdata je bedrijf niet verlaat, maar je moet nog steeds de basisregels volgen: geldige reden, privacyverklaring, privacycontracten, bewaartermijnen. En als de AI agent een externe AI-dienst aanroept, gelden ook daar regels.

Wat is een verwerkersovereenkomst?

Een privacycontract dat je wettelijk verplicht bent af te sluiten met elke partij die namens jou klantdata verwerkt. Denk aan de bouwer van je AI agent, je hostingpartij, en de AI-dienst (zoals Anthropic of OpenAI). Het legt vast wat zij wel en niet met jouw data mogen doen.

Welke sectoren hebben strengere regels?

Advocaten, accountants en zorgaanbieders hebben bovenop de AVG aanvullende verplichtingen. Advocaten door het verschoningsrecht, accountants door beroepsgeheimhouding, en de zorg door het medisch beroepsgeheim en aanvullende beveiligingseisen. In deze sectoren is het extra belangrijk om een specialist in te schakelen.

AVG en AI agents: mag je klantdata gebruiken?

Je wil een AI agent die e-mails sorteert, klanten opvolgt, of facturen verwerkt. Maar al die taken draaien op klantdata. Namen, contactgegevens, misschien financiële informatie. Dan denk je: mag dit eigenlijk wel? Kort antwoord: ja, als je het goed inricht. De AVG (de Europese privacywet) verbiedt AI agents niet. Wat het regelt is hoe je met persoonsgegevens omgaat. In dit artikel leggen we in gewone taal uit wat je moet regelen, met verwijzingen naar de officiële bronnen zodat je het zelf kunt naslaan.

Vooraf

Let op: Dit artikel is informatief en geen juridisch advies. We hebben de officiële bronnen bij elke stap gelinkt, zodat je het zelf kunt controleren. Voor jouw specifieke situatie is het verstandig een privacyjurist te raadplegen.

Wie is waarvoor verantwoordelijk?

De eerste vraag is: wie is er juridisch verantwoordelijk voor de klantdata die door de AI agent stroomt?

In de meeste gevallen ben jij dat zelf. Als ondernemer bepaal jij waarvoor je klantdata gebruikt en hoe. De AVG noemt dit de 'verwerkingsverantwoordelijke'. De partij die de AI agent voor je bouwt of beheert (zoals Elecho), is de 'verwerker'. Die handelt op jouw instructies. Vergelijk het met een boekhouder: jij bent verantwoordelijk voor je financiën, de boekhouder voert het uit namens jou.^[1]

Er is één belangrijk aandachtspunt. Als een AI-leverancier jouw klantdata ook voor eigen doeleinden gebruikt, bijvoorbeeld om hun AI-model te trainen, dan zijn zij niet langer alleen uitvoerder. Dan worden zij medeverantwoordelijk, en dat vraagt om andere afspraken. Dit is bijvoorbeeld relevant bij tools als ChatGPT of andere cloud-AI-diensten.^[2]

Daarom maakt het uit waar je AI agent draait en wat de leverancier met je data doet. Meer daarover verderop in dit artikel.

De vier spelregels voor AI agents en klantdata

1. Je hebt een geldige reden nodig

De AVG zegt: je mag alleen persoonsgegevens verwerken als je daar een geldige reden voor hebt (in juridische taal: een 'grondslag', zie Artikel 6 AVG). Klinkt ingewikkeld, maar voor de meeste MKB-processen heb je die reden al:

Je hebt een contract met de klant: een AI die facturen opvolgt of bestellingen verwerkt mag dat gewoon, want het hoort bij de dienst die je levert. Je hebt een logisch bedrijfsbelang: denk aan leads opvolgen, prospects benaderen, of interne administratie bijhouden. Zolang het redelijk is en je klant het kan verwachten, mag het. Het is wettelijk verplicht: alles wat je van de wet moet bewaren (belastingadministratie, loonadministratie) mag je uiteraard verwerken.

Voor standaard e-mail, facturatie en saleswerk hoef je dus niet bij elke klant apart toestemming te vragen. De reden is er al.

Uitzondering: gevoelige gegevens. Werk je met medische data, gegevens over gezondheid, of andere gevoelige informatie? Dan gelden strengere eisen en heb je vaak wél expliciete toestemming nodig. Bekijk Artikel 9 AVG voor de details.^[3]

2. Gebruik data alleen waarvoor je het hebt verzameld

Als je iemands e-mailadres hebt voor facturatie, mag je dat niet zomaar gebruiken voor marketingcampagnes. De AVG noemt dit 'doelbinding' (Artikel 5 AVG): data mag alleen gebruikt worden voor het oorspronkelijke doel, of iets dat daar logisch bij past.

Wat dit betekent voor je AI agent: geef de agent alleen toegang tot wat hij nodig heeft. Als hij e-mails sorteert, hoeft hij niet ook je hele klantendatabase te kunnen doorzoeken.

3. Geef de AI niet meer toegang dan nodig

Dit is misschien wel de makkelijkste regel om te begrijpen: de agent mag alleen bij de data die hij echt nodig heeft voor zijn taak. De AVG noemt dit 'dataminimalisatie' (Artikel 25 AVG).^[4]

Voorbeeld: een AI Office Manager die je inbox beheert, hoeft niet in je boekhouding te kunnen. Een AI HR Medewerker die sollicitaties voorsorteert, hoeft niet in je boekhouding te kunnen. Stel per rol in wat de agent wel en niet mag.

4. Bewaar data niet langer dan nodig

De AVG zegt dat je persoonsgegevens moet verwijderen als je ze niet meer nodig hebt (Artikel 5 AVG). Tegelijkertijd zijn er wettelijke bewaartermijnen die je juist verplichten om bepaalde data wél te bewaren: belastinggegevens 7 jaar, personeelsdossiers 2 jaar na uitdiensttreding, medische dossiers 20 jaar.

Wat je moet doen: stel per type data in hoe lang je agent het bewaart, en zorg dat dit klopt met de wettelijke termijnen. Een AI die alle inkomende mail voor altijd archiveert zonder beleid is een probleem. Niet onoplosbaar, maar regel het bij de inrichting.

Het privacycontract: altijd verplicht

Zodra je een externe partij inschakelt die klantdata voor jou verwerkt, ben je verplicht een verwerkersovereenkomst af te sluiten. Dat is een privacycontract dat vastlegt wat die partij wel en niet met jouw data mag doen (Artikel 28 AVG). Dit geldt voor iedereen in de keten: de partij die je AI agent bouwt, de hostingpartij, en de AI-dienst (zoals Anthropic, OpenAI of Google) als die wordt gebruikt.^[5]

In zo'n contract hoort onder andere te staan:

Wat ze mogen doen met jouw data (en wat niet)
Geheimhouding ze mogen er niet over praten met derden
Beveiliging welke maatregelen nemen ze om data te beschermen?
Onderaannemers schakelen ze andere partijen in? Zo ja, welke?
Meewerken aan klantverzoeken als een klant z'n data wil inzien of verwijderen
Data teruggeven of verwijderen als de samenwerking stopt
Controlerecht jij mag controleren of ze zich aan de afspraken houden

Let op: als een AI-leverancier jouw data ook voor eigen doelen gebruikt (zoals modeltraining), dan zijn zij medeverantwoordelijk en heb je een ander type overeenkomst nodig. Laat dit checken door een jurist als je twijfelt.

Eigen server: veiliger, maar niet automatisch compliant

Als je AI agent draait op je eigen server, in je eigen omgeving, heb je één groot voordeel: je klantdata verlaat je bedrijf niet. Geen gegevens die naar Amerikaanse servers gaan. Geen afhankelijkheid van een platform dat morgen z'n voorwaarden kan wijzigen.

Maar 'eigen server' is niet hetzelfde als 'AVG-proof'. De volgende regels gelden altijd, ongeacht waar je server staat:^[6]

Data flow vergelijking: extern platform versus eigen server

Geldige reden Je hebt nog steeds een geldige reden nodig om klantdata te verwerken (zie spelregel 1).
Privacyverklaring bijwerken Vermeld op je website dat je AI agents gebruikt en waarvoor (Artikel 13 en 14 AVG).
Klantrechten respecteren Klanten kunnen hun data opvragen, laten corrigeren of verwijderen. Dat geldt ook voor data die door een AI agent is verwerkt.
Privacycontract met AI-dienst Als de agent een externe AI-dienst (zoals Anthropic of OpenAI) aanroept, heb je ook daarvoor een verwerkersovereenkomst nodig.
Internationale regels Als die AI-dienst buiten Europa zit, gelden aanvullende regels voor het doorsturen van data naar het buitenland (Hoofdstuk V AVG).

Eigen server verlaagt het risico flink en elimineert een aantal problemen. Maar het is een technische keuze, niet een juridisch vrijbrief.

Strengere regels per sector

Sommige sectoren hebben bovenop de AVG nóg strengere regels. Hieronder de drie belangrijkste. Als je in een van deze sectoren werkt, is het extra belangrijk om dit goed uit te zoeken, bij voorkeur met een specialist.

Advocatenkantoren

Advocaten hebben een wettelijke geheimhoudingsplicht: alles wat een cliënt hen vertelt, is vertrouwelijk (Advocatenwet). Daarbovenop geldt het verschoningsrecht. Cliënten moeten erop kunnen vertrouwen dat hun communicatie privé blijft.^[7]

Een AI die de inbox van een advocatenkantoor sorteert, ziet dus per definitie vertrouwelijke informatie. Dat kan, maar vraagt een hele zorgvuldige inrichting: minimale toegang, geen opslag buiten je eigen systemen, en cliënten vooraf informeren.

Accountantskantoren

Accountants hebben ook een geheimhoudingsplicht (vastgelegd in de beroepsregels van de NBA), maar anders dan advocaten hebben ze geen verschoningsrecht. De belastingdienst of justitie kan dus wél inzage eisen.^[8]

Voor een AI die met belastingaangiften, jaarrekeningen of cliëntdossiers werkt: zorg voor een solide privacycontract en een aantoonbaar veilige opzet.

Zorgaanbieders

In de zorg is de lat het hoogst. Je hebt te maken met het medisch beroepsgeheim (artsen en verpleegkundigen mogen niets delen zonder toestemming), de behandelovereenkomst (patiënten hebben recht op inzage en geheimhouding), en aanvullende beveiligingseisen voor elektronische gegevensuitwisseling.^[9]

Medische gegevens zijn 'bijzondere persoonsgegevens' onder de AVG. Een AI agent die met patiëntdata werkt heeft naast de standaardregels ook expliciete toestemming of een specifieke wettelijke uitzondering nodig. Ga hier niet op eigen houtje mee aan de slag. Schakel een specialist in.

Wat je moet regelen voor je begint

Onderstaande lijst is geen complete juridische checklist. Dat is wat een privacyjurist voor je doet. Maar dit zijn de stappen die je in elk geval moet nemen. Gebruik de bronnen onderaan dit artikel om elk punt zelf verder uit te diepen.

AVG-checklist voor AI agents: stap-voor-stap compliance flow

Privacycontracten afsluiten Met elke partij die klantdata verwerkt: de bouwer van je AI agent, je hostingpartij, en de AI-dienst (Anthropic, OpenAI, Google). Vraag hier actief naar. Het is jouw verantwoordelijkheid.
Privacyverklaring bijwerken Vermeld op je website dat je AI inzet, waarvoor, en op basis van welke reden. Klanten hebben recht op deze informatie.
Toegang beperken Geef de AI agent alleen toegang tot de data die hij nodig heeft. Niet meer. Dit is de makkelijkste manier om risico te verlagen.
Bewaartermijnen instellen Bepaal per type data hoe lang de agent het mag bewaren. Zorg dat dit aansluit bij de wettelijke termijnen (7 jaar voor belastingdata, 2 jaar voor personeelsdossiers, etc.).
Logboek bijhouden Zorg dat je kunt terugzien wat de agent heeft gedaan. De Autoriteit Persoonsgegevens kan hierom vragen bij een controle of datalek (Artikel 30 AVG).^[10]
Privacy-impactanalyse overwegen Als je AI agent beslissingen neemt over klanten (wie wel/niet opvolgen, prioriteit bepalen), is een formele risicoanalyse (DPIA) waarschijnlijk verplicht. De Autoriteit Persoonsgegevens heeft een lijst gepubliceerd wanneer dit geldt.^[11]

Nieuwe regels: de EU AI Act

Naast de AVG is er nu ook de EU AI Act, een nieuwe Europese wet specifiek voor AI. Twee dingen zijn nu al relevant:

Sinds februari 2025 moeten medewerkers die met AI werken daar aantoonbaar in getraind zijn. Dat geldt ook voor jou als ondernemer (Artikel 4 AI Act).^[12] Vanaf augustus 2026 moeten klanten en contactpersonen geïnformeerd worden als ze met een AI te maken hebben, niet met een mens.

De Autoriteit Persoonsgegevens houdt hier in Nederland toezicht op en heeft AI als prioriteit benoemd voor 2026.^[13] Het is dus niet iets voor later. Het geldt nu al deels.

Laat de AI geen autonome beslissingen nemen

De AVG geeft mensen het recht om niet beoordeeld te worden door een machine als dat hen raakt. Denk aan het automatisch afwijzen van een aanvraag, het bepalen van iemands kredietwaardigheid, of het prioriteren wie wel of niet wordt teruggebeld (Artikel 22 AVG).^[14]

In de praktijk betekent dit: laat je AI agent voorstellen doen, niet beslissen. De agent kan een lijst opstellen van leads om op te volgen, maar een mens keurt het goed. De agent kan e-mails categoriseren, maar een mens bevestigt de actie bij belangrijke klantbeslissingen. Zo blijf je aan de goede kant van de wet.

Samenvatting: wat je moet onthouden

AI agents en de AVG zijn geen tegenstelling. Je mag klantdata gebruiken met een AI agent, zolang je deze vijf dingen regelt: een geldige reden om de data te verwerken, een bijgewerkte privacyverklaring op je website, privacycontracten met alle partijen die data verwerken, beperkte toegang (de agent ziet alleen wat nodig is), en bewaartermijnen (data wordt opgeruimd als het niet meer nodig is).

Werk je in de zorg, juridische dienstverlening of accountancy? Dan gelden er bovenop de AVG strengere sectorregels. En als je AI agent autonome beslissingen neemt over klanten: laat een privacyjurist meekijken of een formele risicoanalyse nodig is.

Wil je weten hoe we dit in de praktijk inrichten? Plan een gratis scope session. Dan kijken we samen welke data er door de agent stroomt en hoe we dat AVG-proof opzetten.

Bronnen en verder lezen

We moedigen je aan om onderstaande bronnen zelf te raadplegen. De AVG is openbaar en goed leesbaar. Je hoeft geen jurist te zijn om de basis te begrijpen.

[1] Wie is verantwoordelijk voor data? Definities in de AVG: gdpr-info.eu/art-4-gdpr
[2] Europees advies over AI en persoonsgegevens (EDPB): edpb.europa.eu
[3] Extra regels voor gevoelige gegevens (gezondheid, religie, etc.): gdpr-info.eu/art-9-gdpr
[4] Dataminimalisatie en privacy by design: gdpr-info.eu/art-25-gdpr
[5] Eisen aan het privacycontract (verwerkersovereenkomst): gdpr-info.eu/art-28-gdpr
[6] Autoriteit Persoonsgegevens over AI en datalekken: autoriteitpersoonsgegevens.nl
[7] Nederlandse Orde van Advocaten over AI: advocatenorde.nl
[8] Geheimhouding voor accountants (VGBA): nba.nl
[9] Privacyregels in de zorg (Wabvpz): avghelpdeskzorg.nl
[10] Logboek en verwerkingsregister: gdpr-info.eu/art-30-gdpr
[11] Wanneer is een privacy-impactanalyse verplicht? autoriteitpersoonsgegevens.nl
[12] EU AI Act, AI-geletterdheidsplicht: eur-lex.europa.eu
[13] Autoriteit Persoonsgegevens werkagenda AI-toezicht 2026: autoriteitpersoonsgegevens.nl
[14] Rechten bij geautomatiseerde besluitvorming: gdpr-info.eu/art-22-gdpr

Volgende stap voor jouw bedrijf

Als dit artikel aansluit op jouw situatie, helpen deze pagina's je om de juiste AI Medewerker te kiezen en sneller resultaat te boeken.