Starter
Gratis
Voor jezelf, om te proberen
- 3 meetings per maand
- 60 minuten per opname
- AI-samenvatting & actiepunten
- Gesprekstype-detectie
- NL-servers, zero retention
Essentiële cookies alleen. Geen tracking.
Kiezen voordat je tekent
“Gehost in de EU” is niet hetzelfde als AVG-proof. Een Europees datacenter zegt waar je data staat, maar niet wie hem juridisch kan opeisen. De echte ondergrens ligt dieper: zes punten die allemaal groen moeten zijn, en een keten zonder Amerikaanse modelaanbieder.
Eerst het hele antwoord in één regel, dan de zes punten los.
Wanneer is een AI-tool AVG-proof?
Een AI-tool is AVG-proof wanneer hij op zes punten standhoudt: er is een geldige grondslag, de persoonsgegevens blijven binnen de EU, er ligt een verwerkersovereenkomst (artikel 28 AVG), de leverancier traint zijn model niet op jouw data, bewaartermijn en subverwerkers zijn vastgelegd, en bij hoog privacyrisico is vooraf een DPIA gedaan. De grondslag toets je bij jezelf; de vijf andere punten leg je de leverancier voor, in de vragenlijst verderop uitgewerkt als zes assen.
“Binnen de EU” is daarbij de ondergrens, niet het eindpunt: valt het taalmodel of de cloud onder Amerikaans recht, dan helpt een EU-datacenter je niet, want die partij valt onder de CLOUD Act. De echte ondergrens is dus: geen Amerikaanse modelaanbieder of cloud in de keten.
Het hele antwoord
Dit is geen ja of nee per merk. Het is een afweging langs zes punten die allemaal groen moeten zijn voordat je tekent. Eén van die punten, de grondslag (artikel 6 AVG), kijk je bij jezelf na in plaats van bij de leverancier: jij bepaalt of je deze gegevens mag verwerken. De vijf andere leg je de leverancier voor; in de vragenlijst verderop staan ze als zes assen, omdat bewaartermijn en subverwerkers daar elk een eigen vraag krijgen.
Bij die zes punten struikelt bijna iedereen over hetzelfde eerste: ze denken dat een EU-datacenter het regelt.
De mythe
Een EU-datacenter regelt waar je data fysiek staat, niet onder welk recht de leverancier valt. Dat is het verraderlijke: de zwakke plek zit niet in de serverlocatie, maar in wie de keten bezit. Een Amerikaanse aanbieder kan onder de CLOUD Act gedwongen worden om data af te geven aan de Amerikaanse overheid, ook als die data in een Europees datacenter staat, zolang het bedrijf onder Amerikaanse jurisdictie valt. De vraag is dus niet “staat mijn data in de EU”, maar “wie kan mijn data juridisch opeisen, en zit er een Amerikaanse modelaanbieder of cloud in de keten”.
Een concreet scenario
Neem Mark, proces-eigenaar bij een gemeente. Hij selecteert een AI-tool om verslagen van overleggen te laten maken en loopt netjes de leverancierscheck af. Bij “waar wordt de data verwerkt” vinkt hij “EU-region” aan, ziet een vinkje verschijnen, en denkt: geregeld. Wat de check hem niet vertelt, is dat de tool de samenvatting laat maken door een taalmodel van een Amerikaanse aanbieder. De data staat in Frankfurt, maar het model erachter valt onder Amerikaans recht. Van de zes assen die je vooraf zou checken, dekt dat ene EU-region-vinkje er hooguit één half af. Mark heeft de lagere lat gehaald en de echte ondergrens gemist, zonder dat er ergens een rood lampje ging branden.
Gevraagd of hij kon garanderen dat data van Franse burgers nooit bij de Amerikaanse overheid belandt, antwoordde een directeur van Microsoft Frankrijk op 10 juni 2025 onder ede in de Franse Senaat, zoals gerapporteerd door de pers: “Non, je ne peux pas le garantir.” Nee, dat kon hij niet garanderen. Volgens Microsoft is het nog nooit gebeurd. Maar de garantie is er niet.
Een EU-datacenter verandert daar niets aan zolang het model erachter Amerikaans is. Wat de CLOUD Act precies inhoudt, staat los uitgewerkt (waarom EU-residency niet genoeg is).
De serverlocatie is dus één van de punten waarop een tool kan stranden. Er zijn er zes, en het loont ze allemaal langs te lopen voordat je iets aanschaft.
Het kader
Een AI-tool met strenge privacy-eisen koop je niet op de serverlocatie alleen. Je beoordeelt hem vooraf langs zes assen, en op elke as is er één vraag die je de leverancier stelt en één antwoord dat een rode vlag is. Het zijn de zes punten waarop een vertrouwelijk gesprek mis kan gaan: waar het wordt verwerkt, of er een contract ligt, of jouw data het model traint, hoe lang het blijft staan, wie er nog meer in de keten zit, en of je een DPIA kunt doen. Wie AI inkoopt voor gevoelige gesprekken, loopt deze zes vooraf langs.
De grondslag (artikel 6) hoort er ook bij, maar die toets je bij jezelf: jij bepaalt of je deze gegevens mag verwerken. De vragenlijst gaat daarom over de zes dingen die je wél buiten de deur vraagt: verwerkingslocatie, verwerkersovereenkomst, training, bewaartermijn, subverwerkers en DPIA. De grondslag houd je apart.
Waar wordt verwerkt, en wiens model of cloud zit eronder.
Ligt er een geldige DPA, en wat staat erin.
Gebruikt de leverancier jouw invoer om modellen te trainen.
Hoe lang blijft de data staan, en wordt die aantoonbaar gewist.
Welke derden zitten in de keten, en heb je daar zicht en zeggenschap over.
Is bij hoog privacyrisico vooraf in kaart gebracht wat er mis kan gaan (een DPIA).
Hieronder per as de vraag die je stelt en het antwoord dat een streep zet.
De vragenlijst
Per as stel je de leverancier één vraag en luister je naar één antwoord. Krijg je dat antwoord, dan is dat de rode vlag: de drempel waaronder de tool niet door de poort komt. Je hoeft de wet niet uit je hoofd te kennen om dit te vragen. Je hoeft alleen te weten welk antwoord een streep zet.
| De as | De vraag die je de leverancier stelt | Rode vlag (dan komt de tool er niet door) |
|---|---|---|
| 01
Verwerkingslocatie en keten |
Wordt de volledige verwerking, spraak-naar-tekst én het taalmodel, in de EU uitgevoerd, zonder Amerikaanse modelaanbieder of cloud in de keten? | Alleen "de data staat in een EU-regio", maar het model of de cloud is van een Amerikaanse partij. EU-residency zonder EU-keten is onvoldoende (CLOUD Act). |
| 02
Verwerkersovereenkomst |
Krijg ik standaard een verwerkersovereenkomst (artikel 28 AVG), en mag ik die vooraf inzien? | Geen DPA, of alleen bij een duurder abonnement, of "dat staat in de algemene voorwaarden". |
| 03
Training op jouw data |
Gebruikt u mijn invoer om uw modellen te trainen of te verbeteren, en staat dat standaard uit? | Training staat standaard aan en kan alleen via een instelling uit. Dat is typisch bij consumentenversies. |
| 04
Bewaartermijn |
Hoe lang bewaart u mijn data, en wordt de opname (audio) aantoonbaar gewist? | Onbepaald, of "zo lang als nodig" zonder termijn, of de data wordt standaard bewaard voor productverbetering. |
| 05
Subverwerkers |
Welke subverwerkers zitten in de keten, en word ik geïnformeerd voordat er een wijzigt? | Geen lijst van subverwerkers, of vrije toevoeging zonder melding of bezwaarrecht. |
| 06
DPIA |
Levert u de informatie aan die ik nodig heb voor een DPIA bij hoog privacyrisico? | De leverancier weet niet wat een DPIA is, of kan geen technische of organisatorische details geven. |
De vraag
Wordt de volledige verwerking, spraak-naar-tekst én het taalmodel, in de EU uitgevoerd, zonder Amerikaanse modelaanbieder of cloud in de keten?
Rode vlag
Alleen "de data staat in een EU-regio", maar het model of de cloud is van een Amerikaanse partij. EU-residency zonder EU-keten is onvoldoende (CLOUD Act).
De vraag
Krijg ik standaard een verwerkersovereenkomst (artikel 28 AVG), en mag ik die vooraf inzien?
Rode vlag
Geen DPA, of alleen bij een duurder abonnement, of "dat staat in de algemene voorwaarden".
De vraag
Gebruikt u mijn invoer om uw modellen te trainen of te verbeteren, en staat dat standaard uit?
Rode vlag
Training staat standaard aan en kan alleen via een instelling uit. Dat is typisch bij consumentenversies.
De vraag
Hoe lang bewaart u mijn data, en wordt de opname (audio) aantoonbaar gewist?
Rode vlag
Onbepaald, of "zo lang als nodig" zonder termijn, of de data wordt standaard bewaard voor productverbetering.
De vraag
Welke subverwerkers zitten in de keten, en word ik geïnformeerd voordat er een wijzigt?
Rode vlag
Geen lijst van subverwerkers, of vrije toevoeging zonder melding of bezwaarrecht.
De vraag
Levert u de informatie aan die ik nodig heb voor een DPIA bij hoog privacyrisico?
Rode vlag
De leverancier weet niet wat een DPIA is, of kan geen technische of organisatorische details geven.
Bij de verwerkersovereenkomst-as: wat er precies in zo'n contract hoort en welke artikel 28-onderdelen je aftekent, staat apart (wat er in een verwerkersovereenkomst hoort). Bij de training-as: het bekendste voorbeeld van een consumentenversie die standaard op je invoer kan trainen is ChatGPT (is ChatGPT AVG-proof?).
Eén rode vlag is geen veto, maar zes keer groen is de enige veilige uitkomst. Bij twijfel telt de strengste as het zwaarst.
Wie wil snappen waaróm een as ertoe doet, en niet alleen welke vraag erbij hoort, vindt hieronder per as het juridische haakje.
De verdieping
EU-residency is de ondergrens; geen Amerikaanse partij in de keten is het echte criterium.
De verwerkingslocatie raakt de regels voor doorgifte naar landen buiten de EU, en daar wringt de CLOUD Act. Een Amerikaanse aanbieder kan onder Amerikaans recht verplicht worden EU-data af te geven, ook als die data in Europa staat. Daarom is “binnen de EU” de ondergrens en “geen Amerikaanse partij in de keten” het echte criterium. De volledige uitleg van de CLOUD Act en de data-keten staat los (ai zonder data naar de VS).
Artikel 28 AVG verplicht een verwerkersovereenkomst zodra een leverancier persoonsgegevens voor jou verwerkt.
In de kern legt zo'n verwerkersovereenkomst vast dat de leverancier alleen op jouw instructie handelt, de gegevens passend beveiligt, subverwerkers alleen met toestemming inschakelt, en de data na afloop wist of teruggeeft. Alle onderdelen die je aftekent, staan op een eigen pagina (verwerkersovereenkomst); hier telt alleen of je er standaard een krijgt.
Trainen op jouw gesprekken is een nieuw doel (artikel 5 AVG); de gratis variant doet dat vaak, de zakelijke niet.
Het beginsel van doelbinding (artikel 5 AVG) zegt dat data niet zomaar voor een nieuw, onverenigbaar doel mag worden gebruikt, en het trainen van een model op jouw gesprekken is zo'n nieuw doel. Dat is meestal het scherpste verschil tussen een consumentenversie en een zakelijke versie van dezelfde tool: de gratis variant traint vaak standaard mee, de zakelijke niet. Het bekendste voorbeeld staat apart (is ChatGPT AVG-proof?).
Opslagbeperking (artikel 5 AVG) vraagt een vaste termijn en een opname die aantoonbaar wordt gewist.
Het beginsel van opslagbeperking (artikel 5 AVG) zegt dat je gegevens niet langer bewaart dan nodig. Bij een gesprekstool betekent dat: een duidelijke termijn, en een opname die aantoonbaar wordt gewist in plaats van eindeloos in een archief te blijven staan. Hoe langer data ergens blijft staan, hoe groter de kans dat het ooit ergens uitlekt; wat daarbij misgaat, staat los uitgewerkt (datalek bij AI-tools).
Een leverancier mag derden alleen met jouw toestemming inschakelen en moet je bij een wijziging informeren.
Artikel 28 AVG regelt ook de subverwerkers: een leverancier mag alleen andere partijen inschakelen met jouw toestemming, moet dezelfde verplichtingen aan hen doorleggen, en moet je informeren als er een wijzigt zodat je bezwaar kunt maken. Een tool zonder zicht op zijn eigen keten is een tool waarvan je niet weet waar je data echt terechtkomt. De contractuele diepte hiervan staat bij de verwerkersovereenkomst (verwerkersovereenkomst).
Bij hoog privacyrisico breng je vooraf in kaart wat er mis kan gaan; de DPIA blijft jouw verantwoordelijkheid.
Bij gesprekken met een hoog privacyrisico moet je vooraf in kaart brengen wat er mis kan gaan, een DPIA. Artikel 35 AVG verplicht dat, en wel voordat de verwerking begint. De Autoriteit Persoonsgegevens heeft een lijst van situaties waarin een DPIA altijd moet, en die lijst is niet uitputtend. De DPIA is jouw verantwoordelijkheid, niet die van de leverancier, maar een leverancier die niet weet wat een DPIA is of geen informatie aanlevert, maakt het je onnodig moeilijk.
Niet elke AI-tool vraagt overigens om alle zes de assen even streng. Het loont te weten wanneer dit kader lichter mag wegen.
Reikwijdte
Niet elke AI-tool vraagt om alle zes de assen even streng. Als er geen persoonsgegevens in gaan, een openbare tekst samenvatten of brainstormen zonder namen, dan is de AVG geen blokkade en weegt het kader licht. Voor laag-risico, niet-vertrouwelijk werk kan een Amerikaanse tool een prima keuze zijn. De zes assen zijn er voor de gesprekken waar het wél telt: klant, patiënt, dossier, bestuur, leerling.
Een eigen Europese stack heeft ook nadelen, en dat hoort bij een eerlijk kader. Minder integraties, geen wereldwijd ecosysteem, soms een kleinere functieset. De zes assen zijn een afweging, geen dogma; ze helpen je kiezen, ze schrijven niet één merk voor. Wat er misgaat als je deze afweging vooraf overslaat, en gevoelige data alsnog in de verkeerde tool belandt, staat los uitgewerkt (wat er misgaat als je dit vooraf niet checkt).
Dit kader gaat over het kiezen vooraf, niet over de vraag of één specifieke tool AVG-proof is (is ChatGPT AVG-proof?) en niet over een ranglijst van tools (een vergelijking van tools). Wil je een oordeel over één tool of een vergelijking tussen tools, dan zijn dat aparte vragen.
De zes assen krijgen pas een gezicht als je ze toepast op een echte tool en kijkt of die op elke as groen scoort. Notuly is zo opgezet, dus het is een bruikbaar voorbeeld om de zes assen één keer langs te lopen. Niet als enige antwoord, wel als een tool die de lat haalt.
Het voorbeeld
Notuly maakt verslagen van fysieke meetings: telefoon op tafel, opnemen, en een samenvatting met besluiten en actiepunten komt in de mail. Het interessante voor dit kader is niet wat het doet, maar hoe het op elke as uitpakt. Loop de zes assen langs en je ziet waarom het de lat haalt.
De verwerkingslocatie eerst, want daar struikelt het meest. De volledige AI-stap, spraak-naar-tekst én de samenvatting, draait op Notuly's eigen, zelf-gehoste modellen in Nederland, op servers in Amsterdam. Er zit geen Amerikaanse modelaanbieder of cloud in de keten, en je gesprek verlaat de EU niet. Daarmee is de eerste as groen op het punt waar een EU-region-vinkje tekortschiet.
De andere vijf sluiten daarop aan. Een verwerkersovereenkomst is standaard beschikbaar, dus de DPA-as is geen gedoe. Er wordt niet op klantdata getraind, en dat is vastgelegd in diezelfde verwerkersovereenkomst. De audio wordt binnen een minuut na verwerking gewist; er blijft geen doorzoekbaar geluidsarchief achter, wat de bewaartermijn-as invult. De subverwerkers blijven in de eigen keten, zonder Amerikaanse partijen. En voor de DPIA-as is de informatie beschikbaar die je nodig hebt bij een hoog privacyrisico.
De tekst houd je wel: standaard krijg je een samenvatting met besluiten en actiepunten, en je bepaalt zelf of je daar de volledige transcriptie bij meestuurt. Alleen het geluid verdwijnt, niet je verslag. Wat je zegt, blijft van jou.
Verwerkingslocatie en keten
Hele AI-stap op eigen modellen in Nederland (servers in Amsterdam); geen Amerikaanse modelaanbieder of cloud; verlaat de EU niet.
Verwerkersovereenkomst
Standaard beschikbaar.
Training op jouw data
Geen training op klantdata, vastgelegd in de verwerkersovereenkomst.
Bewaartermijn
Audio binnen een minuut na verwerking gewist; geen doorzoekbaar archief.
Subverwerkers
In de eigen keten gehouden; geen Amerikaanse partijen.
DPIA
Informatie voor een DPIA beschikbaar.
Productfeiten Notuly, gecontroleerd juni 2026.
Wie het besluit moet nemen of goedkeuren, heeft genoeg aan een kortere versie.
Voor de beslisser
Zonder EU-keten kan vertrouwelijke data via de CLOUD Act bij de Amerikaanse overheid opvraagbaar zijn, ook met de data in een EU-datacenter.
Geen Amerikaanse modelaanbieder of cloud in de keten, plus een geldige verwerkersovereenkomst. Die twee samen filteren de meeste risico-tools er al uit.
Nee. Een EU-datacenter zegt waar de data staat, niet onder welk recht de leverancier valt.
Ja, standaard, en je mag die vooraf inzien.
Nee, en dat is vastgelegd in de verwerkersovereenkomst.
In Nederland, op servers in Amsterdam; de data verlaat de EU niet.
Je begint gratis; de tarieven staan hieronder bij de prijzen. Geen exact bedrag hier in de tekst, want prijzen veranderen.
Jij, als inkoper of proces-eigenaar, controleert de zes assen bij de leverancier. Zodra er gevoelige gegevens of een waarschijnlijk hoog privacyrisico in het spel zijn, haak je de DPO aan; de grondslag (artikel 6) en de DPIA-eindverantwoordelijkheid liggen bij de organisatie en haar DPO, niet bij de leverancier.
De vragen die dan nog overblijven, komen bijna allemaal op een van deze neer.
Een AI-tool is AVG-proof als hij op zes punten standhoudt: een geldige grondslag, verwerking binnen de EU, een verwerkersovereenkomst (artikel 28 AVG), geen training op jouw data, een vastgelegde bewaartermijn en subverwerkers, en een DPIA bij hoog privacyrisico. De grondslag toets je bij jezelf. De andere vijf leg je de leverancier voor: verwerkingslocatie, verwerkersovereenkomst, training, bewaartermijn en subverwerkers, plus de DPIA. Eén rode vlag is een reden om door te vragen.
Op zes punten, en het zijn niet de punten die een tool zelf het hardst laat zien. Let op de hele keten (draait spraak-naar-tekst én het taalmodel in de EU, zonder Amerikaanse modelaanbieder of cloud), op een verwerkersovereenkomst die je vooraf mag inzien, op of er op je data wordt getraind, op de bewaartermijn, op de subverwerkers, en op of je een DPIA kunt onderbouwen. Dat is meteen je AVG-checklist voor de aanschaf: zes keer groen, niet alleen een EU-region-vinkje.
Nee, niet automatisch. Een EU-datacenter regelt waar de data fysiek staat, niet onder welk recht de leverancier valt. Zit er een Amerikaanse modelaanbieder of cloud in de keten, dan kan die data alsnog onder de CLOUD Act bij de Amerikaanse overheid opvraagbaar zijn.
Stel per as één vraag: wordt alles in de EU verwerkt zonder Amerikaanse partij in de keten, krijg ik standaard een verwerkersovereenkomst, traint u op mijn data, hoe lang bewaart u mijn data, welke subverwerkers zitten in de keten, en levert u DPIA-informatie. Op elke vraag is er één antwoord dat een rode vlag is. Samen vormen die zes vragen het kader dat je de leverancier voorlegt; de zevende toets, of jij een geldige grondslag hebt (artikel 6 AVG), beantwoord je zelf.
Een rode vlag is een antwoord waaronder de tool niet door de poort komt, zoals "de data staat in een EU-regio" terwijl het model van een Amerikaanse partij is, of "een verwerkersovereenkomst krijgt u alleen bij een duurder abonnement". Andere rode vlaggen: training staat standaard aan, er is geen vaste bewaartermijn, of er is geen lijst van subverwerkers. Eén rode vlag is geen veto, maar reden om door te vragen voordat je tekent.
Ja, zodra de leverancier persoonsgegevens voor jou verwerkt, verplicht artikel 28 AVG een verwerkersovereenkomst. Die legt onder meer vast dat de leverancier alleen op jouw instructie handelt, de gegevens beveiligt, subverwerkers alleen met toestemming inschakelt en de data na afloop wist. Wat er precies in hoort, staat op de pagina over de verwerkersovereenkomst.
Een DPIA (gegevensbeschermingseffectbeoordeling) is verplicht bij een waarschijnlijk hoog privacyrisico, en dan vóór de verwerking begint. De Autoriteit Persoonsgegevens heeft een lijst van situaties waarin een DPIA altijd moet, en die lijst is niet uitputtend. De DPIA is jouw verantwoordelijkheid, niet die van de leverancier.
Alleen als je daar een geldige grondslag voor hebt en het past binnen het doel waarvoor je de data verzamelde; modeltraining is vaak een nieuw, onverenigbaar doel (artikel 5 AVG, doelbinding). Bij consumentenversies staat training vaak standaard aan, bij zakelijke versies meestal uit. Vraag daarom altijd of training standaard uit staat en laat dat in de verwerkersovereenkomst vastleggen.
Niet automatisch; het gaat om de keten en het gebruik, niet om de vlag op het logo. Een Europese tool die de samenvatting alsnog door een Amerikaans model laat maken, valt op dezelfde CLOUD Act-drempel als een Amerikaanse tool. Veiliger is een tool die de hele keten in de EU houdt, geen Amerikaanse modelaanbieder gebruikt en niet op je data traint.
De minimale ondergrens is: geen Amerikaanse modelaanbieder of cloud in de keten, plus een geldige verwerkersovereenkomst die je vooraf mag inzien. Voldoet een tool daar niet aan, dan komt hij er voor vertrouwelijke gesprekken niet door, hoe goed de rest ook oogt. De andere assen (training, bewaartermijn, subverwerkers, DPIA) bepalen of hij ook echt groen scoort.
Dan weegt het kader lichter. Gaan er geen persoonsgegevens in, een openbare tekst samenvatten of brainstormen zonder namen, dan is de AVG geen blokkade en kan ook een Amerikaanse tool prima zijn. De zes assen zijn er voor de gesprekken waar vertrouwelijkheid telt: klant, patiënt, dossier, bestuur, leerling.
Voor wie het in één oogopslag wil: het kader past in een korte beslis-toets.
Beslis-kader
De ondergrens
Voor vertrouwelijke gesprekken weegt dit het zwaarst: draait de hele keten (spraak-naar-tekst én taalmodel) in de EU, zonder Amerikaanse modelaanbieder of cloud, en ligt er een verwerkersovereenkomst (artikel 28 AVG) die je vooraf mag inzien? Strandt een tool hier, dan helpt de rest weinig.
De drie zwaarste rode vlaggen
Alleen “EU-region” terwijl het model van een Amerikaanse partij is; geen verwerkersovereenkomst (of pas bij een duurder abonnement); training op jouw data die standaard aan staat.
De rest bepaalt de kleur
Voldoet een tool aan de ondergrens, dan checken bewaartermijn, subverwerkers en DPIA of hij ook echt op alle zes de assen groen scoort.
Lees ook
Waarom EU-residency niet genoeg is
De CLOUD Act en de data-keten, helemaal uitgewerkt.
Wat hoort in een verwerkersovereenkomst
De onderdelen van artikel 28 die je aftekent.
Is ChatGPT AVG-proof?
Een oordeel over één tool, met de training-as uitgelicht.
Wat er misgaat bij een datalek
Wat er gebeurt als je dit vooraf niet checkt.
Een vergelijking van tools
Een ranglijst, voor wie tools naast elkaar wil leggen.
Veilig notuleren
De bredere uitleg over wat een app met je gesprek doet.
Wil je zien hoe “zes keer groen” in de praktijk werkt: leg de telefoon op tafel bij je volgende overleg en laat het schrijfwerk over aan de AI, terwijl je gesprek in Nederland blijft. De audio verdwijnt, je verslag houd je. Wat je zegt, blijft van jou.
Bronnen
Algemene informatie over het beoordelen van AI-tools onder de AVG, geen juridisch advies. Bronnen geraadpleegd juni 2026.
Dit is algemene informatie over het beoordelen van AI-tools onder de AVG, geen juridisch advies. Laat een DPO of jurist de keuze voor jouw situatie toetsen. Laatst bijgewerkt: juni 2026.