Starter
Gratis
Voor jezelf, om te proberen
- 3 meetings per maand
- 60 minuten per opname
- AI-samenvatting & actiepunten
- Gesprekstype-detectie
- NL-servers, zero retention
Essentiële cookies alleen. Geen tracking.
ChatGPT & de AVG
Voor een blog of een brainstorm: prima. Voor een klantdossier in de gratis versie: meestal niet. Handig is niet hetzelfde als veilig.
Op basis van de AVG, de Autoriteit Persoonsgegevens, de EDPB-taskforce en OpenAI's eigen beleid. Algemene uitleg, geen juridisch advies.
Kort antwoord
Wat het betekent
AVG-proof betekent dat je persoonsgegevens verwerkt volgens de Algemene Verordening Gegevensbescherming: met een grondslag, met de juiste afspraken, en zonder dat de gegevens ergens belanden waar je geen controle meer over hebt.
Stel: Mark werkt op een advieskantoor. Vrijdagmiddag, vier uur, hij plakt een klantnotitie met namen en een paar privédetails in de gratis ChatGPT en vraagt om een nette samenvatting. In een paar tellen klaar. Handig. Tot een collega vraagt: mag dat eigenlijk wel, met de AVG?
Mark heeft geen idee. En het eerlijke antwoord is niet zwart-wit: zijn versie en die klantnotitie maken samen het verschil tussen mag en liever niet.
Het kader
De AVG verandert niet omdat er "AI" op de doos staat. Zodra er persoonsgegevens in gaan, gelden dezelfde regels als altijd.
Persoonsgegevens zijn alle gegevens over een herkenbaar persoon: een naam, een e-mailadres, een dossier, een gezondheidsdetail. Stop je die ergens in, dan vraagt de AVG vier dingen. Of je die partij nu ChatGPT noemt, GDPR-software of gewoon "een AI-tool": het zijn dezelfde vier eisen.
Een geldige reden om de gegevens te verwerken.
Je verwerkt niet meer dan nodig is voor je doel.
Met de partij die de gegevens namens jou verwerkt.
Je houdt zicht op waar de gegevens heen gaan.
Waar het wringt
ChatGPT wringt vooral op twee punten: bij de gratis consumentenversie, en bij gevoelige inhoud. Drie dingen verdienen aandacht.
In de consumentenversies (Free, Plus en Pro) kan OpenAI je gesprekken standaard gebruiken om zijn modellen te verbeteren, tenzij je dat zelf uitzet via de instelling "Improve the model for everyone". Bij de zakelijke versies (Enterprise, Business en de API) staat dat standaard uit (zie Bronnen).
Voor de gratis consumentenversie sluit OpenAI er geen. Verwerk je daar persoonsgegevens, dan mis je precies de afspraak die de AVG vereist. Voor Business, Enterprise en de API is die overeenkomst er wel. Wat er in een verwerkersovereenkomst hoort te staan, lees je apart.
Verwijderde chats worden meestal binnen 30 dagen gewist, maar de verwerking loopt via een Amerikaans bedrijf. Wat dat betekent voor datalocatie en Amerikaans recht is een verhaal op zich, dat lees je op onze pagina over AI zonder data naar de VS.
De toezichthouder is hier duidelijk over. De Autoriteit Persoonsgegevens waarschuwt dat persoonsgegevens in een AI-chatbot plakken zelf al een datalek kan zijn, en kreeg hier de afgelopen jaren meldingen over (zie Bronnen). Hoe zo'n datalek precies ontstaat en wanneer je het moet melden, lees je op onze pagina over een datalek door AI-tools. En de ChatGPT-taskforce van de Europese privacytoezichthouders legde in mei 2024 vast dat de verantwoordelijkheid voor AVG-naleving bij OpenAI ligt en niet op de gebruiker mag worden afgeschoven (zie Bronnen).
De uitweg
Je kunt AI prima AVG-proof gebruiken. Het vraagt alleen een paar keuzes vooraf.
Zet geen persoonsgegevens in een gratis consumenten-chatbot. Haal namen en details eruit, of maak ze onherkenbaar, voordat je iets plakt.
Gebruik dan een zakelijke versie met een verwerkersovereenkomst en zet de training uit.
Een tool die in de EU verwerkt, niet op je data traint en een verwerkersovereenkomst standaard meelevert. Dat laatste hoeft geen Amerikaanse tool te zijn: er bestaan Europese alternatieven, van een Nederlands taalmodel als GPT-NL tot tools die specifiek voor een taak zijn gebouwd.
Wat klopt en wat niet
Over ChatGPT en de AVG doen veel halve waarheden de ronde. Hieronder de populairste, naast wat er feitelijk klopt.
"ChatGPT is gewoon verboden voor werk."
Klopt niet
Het hangt af van de versie en wat je erin zet. Zonder persoonsgegevens, of met een zakelijke versie plus verwerkersovereenkomst, kan het prima.
"De betaalde versie (Plus) is daarom wel veilig genoeg."
Klopt niet
Plus is nog steeds de consumentenversie: training staat er standaard aan en er is geen verwerkersovereenkomst. Betalen is niet hetzelfde als zakelijk.
"OpenAI traint sowieso op alles wat je intypt."
Klopt deels
Bij de consumentenversies meestal wel, tenzij je het uitzet. Bij Enterprise, Business en de API staat training standaard uit. Het verschilt per versie.
"Mijn data is veilig zolang die in een EU-regio staat."
Klopt niet
Een EU-regio regelt waar je data staat, niet onder welk recht het bedrijf valt. Waarom dat uitmaakt, lees je op onze pagina over AI zonder data naar de VS.
"Een AI mag van de AVG sowieso geen persoonsgegevens verwerken."
Klopt niet
Het mag, met een grondslag en de juiste afspraken. De AVG verbiedt AI niet, hij stelt voorwaarden.
"Als ik de chat verwijder, is mijn data weg."
Klopt deels
Verwijderde chats gaan er meestal binnen 30 dagen uit, maar wat al in een trainingsset zat haal je er niet meer uit, en het plakken zelf telt al als mogelijk datalek.
Onder al die mythes zit één patroon: het probleem is zelden "AI" op zichzelf.
Een snelle check
Loop deze vijf vragen langs voordat je iets in een AI-tool plakt. Vijf keer ja, en je zit waarschijnlijk goed. Een keer nee, en er is werk aan de winkel.
Zitten er persoonsgegevens in wat ik invoer (een naam, een dossier, een gezondheidsdetail)? Zo ja, lees door.
Gebruik ik een zakelijke versie, geen gratis consumentenaccount?
Heb ik een verwerkersovereenkomst met de aanbieder?
Staat de training op mijn invoer uit?
Weet ik waar mijn data wordt verwerkt en hoe lang die bewaard blijft?
Dit is de korte versie. Hoe je een tool stap voor stap beoordeelt op verwerker, techniek en bewaartermijn, lees je op onze pagina over veilig notuleren. Wil je vooraf weten waarop je let, dan helpt onze uitleg over een AVG-proof AI-tool kiezen.
Wat de meeste mensen missen
Dezelfde naam, dezelfde interface, maar de gratis consumentenversie en de zakelijke versie behandelen je data tegenovergesteld: bij de een staat training standaard aan en is er geen verwerkersovereenkomst, bij de ander staat training uit en is die overeenkomst er wel.
Daarom heeft de vraag "is ChatGPT AVG-proof" geen ja of nee als antwoord. De echte vraag is: welke ChatGPT, en waarvoor.
Eerlijk is eerlijk
Voor heel veel werk is ChatGPT een uitstekende keuze, en we zijn daar eerlijk over.
Een blogtekst herschrijven, een openbaar rapport samenvatten, code uitleggen, een mailtje netter formuleren, brainstormen zonder gevoelige inhoud: daar is de AVG geen punt, simpelweg omdat er geen persoonsgegevens in gaan. En de zakelijke ChatGPT (Enterprise) is technisch sterk en goed beveiligd, met een verwerkersovereenkomst, instelbare bewaartermijnen en EU-dataregio's.
Het wringt op één plek: vertrouwelijke gesprekken en persoonsgegevens in de gratis versie. Daar past gewoon ander gereedschap.
Het alternatief
Voor een gevoelig gesprek wil je je druk maken om het gesprek, niet om de techniek eronder. Dan helpt een tool die de privacy-keuzes al voor je heeft gemaakt. Daarom hebben we Notuly zo gebouwd.
Zo ziet dat er op een dinsdag uit. Half drie, een gesprek aan tafel. De telefoon ligt ertussen, iemand drukt op opnemen, en het gesprek gaat gewoon door. Een uur later stopt de opname. Nog diezelfde middag staat de samenvatting met besluiten en actiepunten in ieders mail.
Wat je niet ziet, is de route eronder. De hele AI-stap, van spraak naar tekst tot de samenvatting, draait op onze eigen modellen op servers in Amsterdam. Geen OpenAI, geen Microsoft, geen Google in de keten. We trainen niet op je gesprekken, de audio wordt binnen een minuut na verwerking gewist, en de verwerkersovereenkomst zit er standaard bij. Geen instelling die je zelf goed moet zetten. Wat je zegt, blijft van jou.
Meer over hoe wij met je data omgaan.
Spraak naar tekst en samenvatting op onze eigen modellen. Geen Amerikaanse partij in de keten.
De opname wordt binnen een minuut na verwerking permanent gewist. Geen doorzoekbaar archief.
Op elk plan, precies het document dat de AVG van je vraagt.
Voor wie beslist
In de gratis consumentenversie: liever niet. In een zakelijke versie met verwerkersovereenkomst en training uit: dat kan.
Bij persoonsgegevens wel. De toezichthouder noemt het plakken zelf al een mogelijk datalek.
Ja, standaard, op elk plan.
In Amsterdam, op onze eigen, zelfgehoste modellen. Geen Amerikaanse partij in de keten.
Je begint gratis. De actuele tarieven vind je hieronder bij de prijzen.
Niet zonder meer. De gratis consumentenversie is voor persoonsgegevens meestal niet AVG-proof, omdat training standaard aanstaat en er geen verwerkersovereenkomst is. De zakelijke versies (Enterprise, Business, API) kunnen met de juiste instellingen en een verwerkersovereenkomst wel AVG-proof zijn.
In de gratis consumentenversie kun je dat beter niet doen. Je mist een verwerkersovereenkomst en je invoer kan voor training worden gebruikt, wat de toezichthouder als een mogelijk datalek ziet. Met een zakelijke versie plus verwerkersovereenkomst, of na anonimiseren, mag het wel.
Verwijderde chats worden bij OpenAI doorgaans binnen 30 dagen gewist. De verwerking loopt via een Amerikaans bedrijf; zakelijke klanten kunnen EU-dataregio's en eigen bewaartermijnen instellen. Wat de datalocatie betekent voor Amerikaans recht, lees je op de pagina over AI zonder data naar de VS.
Een AVG-proof alternatief verwerkt in de EU, traint niet op je data en levert een verwerkersovereenkomst standaard mee. Voorbeelden lopen van een Nederlands taalmodel als GPT-NL tot tools die voor een taak zijn gebouwd. Notuly is zo'n tool voor het vastleggen van gesprekken.
Ja, als je het netjes doet. Mag je het gesprek opnemen, verwerk je het bij een partij met een verwerkersovereenkomst, en blijft de data onder controle, dan kan een AI-samenvatting prima AVG-proof zijn.
Zero retention betekent dat je data niet wordt bewaard nadat de taak klaar is. Bij Notuly wordt de audio binnen een minuut na verwerking gewist en is er geen doorzoekbaar archief. Op de API van OpenAI is een zero-retention-optie beschikbaar voor in aanmerking komende zakelijke klanten.
Bij de consumentenversies kan dat standaard, tenzij je het uitzet via de instelling Improve the model for everyone. Bij Enterprise, Business en de API staat training standaard uit. Het uitzetten geldt voor nieuwe gesprekken, niet met terugwerkende kracht.
Als je er persoonsgegevens in verwerkt, ja. De AVG vereist een verwerkersovereenkomst met de partij die namens jou verwerkt. Voor de gratis consumentenversie is die er niet; voor Business, Enterprise en de API wel.
Dat kan het zijn. De Autoriteit Persoonsgegevens waarschuwt dat het invoeren van persoonsgegevens in een AI-chatbot een datalek kan opleveren, zeker bij gratis versies waar onduidelijk is wat er met de data gebeurt. Bij twijfel: niet doen, of eerst anonimiseren.
Lees ook
AI zonder data naar de VS
Waarom datalocatie en Amerikaans recht ertoe doen.
Veilig notuleren
Hoe je een tool zelf controleert op verwerker en techniek.
Mag ik een gesprek opnemen?
Wanneer opnemen mag, en wat je met de opname mag.
Privacy & Security
Verwerkersovereenkomst, servers en bewaartermijn.
Hoe het werkt
Opnemen, verwerken in Amsterdam, ontvangen in je mail.
Notuleren voor gemeenten
AVG-proof vergaderen bij de overheid.
Telefoon op tafel, een gesprek in het Nederlands, en een samenvatting die in Amsterdam wordt gemaakt en de EU niet verlaat. Probeer Notuly.
Bronnen
Gebaseerd op publieke, gezaghebbende bronnen, geraadpleegd juni 2026. Wet- en bedrijfsbeleid kunnen veranderen; check de bron voor de actuele stand. OpenAI en de Autoriteit Persoonsgegevens blokkeren geautomatiseerd ophalen; de links hieronder zijn de canonieke pagina's, te openen in je browser.
Laatst bijgewerkt: juni 2026