Hoe je een chatbot runt zonder de AVG te schenden.
AI-chatbots verwerken per definitie persoonsgegevens: namen, e-mailadressen, ordernummers, soms gezondheids- of financiële informatie. Onder de AVG maakt dat je chatbot een gegevensverwerkingsactiviteit. De meeste leveranciers zeggen dat ze 'AVG-compliant' zijn maar verwerken data in de VS en kunnen je niet vertellen waar hun sub-verwerkers zijn. Dit is wat er echt toe doet.
Een AVG-conforme chatbot heeft EU-dataresidentie nodig, een verwerkersovereenkomst, expliciete toestemmingsverzameling, dataminimalisatie en een duidelijke sub-verwerkerslijst. Als je leverancier deze niet schriftelijk kan leveren, is die niet compliant.
- ✓EU-dataresidentie betekent dat de data fysiek in Europa blijft. SCC's alleen elimineren het transferrisico niet.
- ✓Elke chatbotleverancier is een dataverwerker. Je hebt een verwerkersovereenkomst nodig die verwerkingsdoelen, bewaartermijnen en sub-verwerkers specificeert.
- ✓Toestemmingsbanners voor de chatbot-widget zijn vaak wettelijk verplicht, vooral als de bot het gesprek start.
- ✓Dataminimalisatie: de chatbot mag alleen informatie verzamelen die nodig is om de vraag te beantwoorden. Geen verborgen profilering.
Wat de AVG van chatbots eist
De AVG is van toepassing op elke geautomatiseerde verwerking van persoonsgegevens van EU-inwoners. Wanneer een klant zijn naam, e-mail of ordernummer in je chatbot typt, is dat persoonlijke data. De chatbotleverancier wordt je dataverwerker en je hebt een wettelijke grondslag nodig voor verwerking (doorgaans gerechtvaardigd belang of toestemming), een verwerkersovereenkomst en transparantie over hoe de data wordt gebruikt.
EU-dataresidentie vs Standard Contractual Clauses
Veel in de VS gevestigde chatbotleveranciers claimen AVG-compliance via Standard Contractual Clauses (SCC's). Hoewel SCC's een juridisch mechanisme zijn voor grensoverschrijdende overdracht, elimineren ze het risico niet. Het Schrems II-arrest heeft vastgesteld dat SCC's alleen mogelijk niet voldoende bescherming bieden wanneer Amerikaanse surveillancewetten van toepassing zijn. EU-dataresidentie — waarbij de data fysiek in Europa blijft — is het schonere pad. Keloa host alle data in Amsterdam, zonder grensoverschrijdende overdracht.
De verwerkersovereenkomst-checklist
De verwerkersovereenkomst van je chatbotleverancier moet specificeren: welke data wordt verwerkt, voor welk doel, waar het wordt opgeslagen, hoe lang het wordt bewaard, wie de sub-verwerkers zijn, hoe datalekmelding werkt en wat er met de data gebeurt als je opzegt. Als de leverancier geen verwerkersovereenkomst kan produceren of vaag is over sub-verwerkers, is dat een rode vlag. Keloa biedt een verwerkersovereenkomst, transparante sub-verwerkerslijst en data-export op verzoek.
Toestemming en de chatbot-widget
Als je chatbot cookies of lokale opslag gebruikt om gesprekken over sessies te volgen, heb je waarschijnlijk toestemming nodig onder de ePrivacy-richtlijn. Als de chatbot proactief gesprekken start (pop-ups), stellen sommige toezichthouders dat dit expliciete opt-in vereist. Best practice: laat de gebruiker initiëren, minimaliseer tracking en integreer met je cookie-toestemmingstool.
Wat je je chatbotleverancier moet vragen
Voordat je tekent: Waar wordt data opgeslagen? (Land, niet alleen 'cloud'.) Wie zijn je sub-verwerkers? Kan ik een verwerkersovereenkomst krijgen? Hoe lang wordt data bewaard? Wat gebeurt er met mijn data als ik opzeg? Gebruik je klantdata om je AI-modellen te trainen? Kan ik alle data exporteren? Een leverancier die al deze vragen duidelijk beantwoordt, is je tijd waard.
topics.gdpr-chatbot.faq.h2
Is een AI-chatbot standaard AVG-compliant?
Nee. AVG-compliance hangt af van hoe de chatbot met data omgaat: waar het wordt opgeslagen, hoe het wordt verwerkt, welke toestemmingsmechanismen er zijn en of je een verwerkersovereenkomst hebt met de leverancier. De technologie zelf is neutraal; de implementatie bepaalt de compliance.
Heb ik toestemming nodig voordat iemand mijn chatbot gebruikt?
Dat hangt ervan af. Als de chatbot alleen data verwerkt om de vraag van de gebruiker te beantwoorden (gerechtvaardigd belang), heb je mogelijk geen expliciete toestemming nodig voor het gesprek zelf. Maar als je cookies gebruikt om de gebruiker over sessies te volgen of data deelt met derden, is toestemming doorgaans vereist.
Kan ik een in de VS gevestigde chatbot gebruiken en toch AVG-compliant zijn?
Technisch gezien ja, met Standard Contractual Clauses en aanvullende maatregelen. Praktisch maakt het Schrems II-arrest dit juridisch risicovol. De eenvoudigste weg naar compliance is een chatbot gebruiken die alle data in de EU host. Dat elimineert grensoverschrijdende transferzorgen volledig.
Wat is de boete voor het runnen van een niet-conforme chatbot?
AVG-boetes kunnen oplopen tot €20 miljoen of 4% van de jaarlijkse wereldwijde omzet, afhankelijk van welke hoger is. In de praktijk ligt de meeste chatbot-gerelateerde handhaving in het bereik van €50.000 tot €500.000, doorgaans voor onvoldoende toestemming of ongeautoriseerde datatransfers. De reputatieschade kan hoger zijn dan de boete.
Is Keloa AVG-compliant?
Ja. Keloa is een EU-bedrijf, gehost in Amsterdam, met alleen EU-dataverwerking. We bieden een verwerkersovereenkomst, een transparante sub-verwerkerslijst en data-export op verzoek. Geen data verlaat de EU. Geen klantdata wordt gebruikt voor AI-modeltraining.