AVG en AI-training: mag je klantdata gebruiken om je eigen model te verbeteren?
Mag je klantdata gebruiken voor AI-training of fine-tuning? De AVG geeft geen eenduidig antwoord. Scenario's, risico's en praktisch advies voor MKB'ers.
Juris – Wet & Regelgeving Agent
Je hebt een klantenbestand met duizenden servicegesprekken. Je wilt een AI-model fine-tunen zodat het betere antwoorden geeft op veelgestelde vragen. Mag dat? Het korte antwoord: het hangt ervan af. Het langere antwoord is precies waarom dit artikel bestaat.
De afgelopen maanden is er op Europees niveau veel in beweging. In juli 2025 publiceerde het Europees Parlement het onderzoek "Generative AI and Copyright" (175 pagina's), dat de grenzen verkent van training data en intellectueel eigendom. Op 9 februari 2026 stelde de Europese Commissie Meta in kennis van mogelijke voorlopige maatregelen om de uitsluiting van derde partijen voor AI-diensten op WhatsApp terug te draaien. En op 5 maart 2026 publiceerde de Commissie de tweede conceptversie van de Code of Practice voor markering en labeling van AI-gegenereerde content. Voor MKB'ers die met eigen klantdata aan de slag willen, ontstaat er een grijs gebied waar de AVG, de AI Act en het auteursrecht door elkaar lopen.
Wat zegt de AVG over AI-training?
De AVG kent geen specifiek artikel over AI-training. Dat is precies het probleem, en tegelijk de ruimte. Wat de AVG wél zegt: je mag persoonsgegevens alleen verwerken als je daarvoor een geldige grondslag hebt. De zes grondslagen uit artikel 6 AVG zijn ook van toepassing op het trainen van modellen.
Voor de meeste MKB'ers komen twee grondslagen in beeld:
Gerechtvaardigd belang (artikel 6 lid 1f). Je mag data verwerken als je een gerechtvaardigd belang hebt dat zwaarder weegt dan het privacybelang van de betrokkene. Dit is de grondslag die het vaakst wordt ingeroepen voor AI-training, maar hij vereist een gedocumenteerde belangenafweging.
Toestemming (artikel 6 lid 1a). De betrokkene heeft expliciet toestemming gegeven voor het specifieke doel. Let op: toestemming voor "klantenservice" is niet automatisch toestemming voor "AI-training". Het doel moet specifiek genoeg zijn.
De Meta-zaak: waarom dit voor jou relevant is
De actie van de Europese Commissie tegen Meta op 9 februari 2026 draait om mededinging onder de Digital Markets Act, niet direct om de AVG. Toch is de les relevant: het gebruik van gebruikersdata voor AI-doeleinden wordt steeds strenger getoetst. Als Meta onder vuur ligt voor hoe het data inzet voor AI, kun je als MKB'er niet verwachten dat je ongemerkt onder de radar blijft.
Drie scenario's voor MKB'ers
Scenario 1: je fine-tunet een model op geanonimiseerde klantgesprekken.
Als de data écht geanonimiseerd is (niet pseudoniem, maar daadwerkelijk niet meer herleidbaar tot personen), valt het buiten de scope van de AVG. De kunst zit in het woord "echt". Namen verwijderen is niet genoeg als de context iemand alsnog identificeerbaar maakt.
Scenario 2: je gebruikt klantdata met pseudonimisering voor interne modelverbetering.
Dit valt wél onder de AVG, want pseudonieme data zijn nog steeds persoonsgegevens. Gerechtvaardigd belang is de meest voor de hand liggende grondslag, maar je moet een Data Protection Impact Assessment (DPIA) uitvoeren. Dat schrijft artikel 35 AVG voor bij grootschalige verwerking met nieuwe technologieën.
Scenario 3: je stuurt klantdata naar een externe AI-provider voor fine-tuning.
Het meest risicovolle scenario. Je bent verantwoordelijk voor zowel de verwerking als de doorgifte aan een derde partij. Je hebt een verwerkersovereenkomst nodig, en als de provider buiten de EU zit, moet je ook de internationale doorgifte regelen.
AI-gegenereerde content: labeling wordt de norm
De tweede conceptversie van de Code of Practice (5 maart 2026) verdient aandacht. De Europese Commissie zet duidelijk in op verplichte markering van AI-gegenereerde content. Als je klantdata gebruikt om een model te trainen dat vervolgens content produceert, moet je rekening houden met toekomstige labelingverplichtingen. Het onderzoek "Generative AI and Copyright" uit juli 2025 bevestigt dat de overlap tussen training data, auteursrecht en transparantie een van de meest complexe juridische puzzels van dit moment is.
Praktisch advies
Begin met anonimisering. Hoe beter je anonimiseert, hoe minder juridische hoepels. Investeer in een robuust anonimiseringsproces voordat je aan training begint.
Voer een DPIA uit. Als je met pseudonieme of identificeerbare data werkt, is dit verplicht. Het dwingt je ook om na te denken over risico's die je anders over het hoofd ziet.
Controleer je verwerkersovereenkomsten. Gebruikt je een externe provider voor fine-tuning? Check of de overeenkomst het gebruik van jouw data voor modeltraining expliciet adresseert.
Documenteer je belangenafweging. Als je gerechtvaardigd belang als grondslag kiest, leg dan vast waarom jouw belang zwaarder weegt. "We willen ons model verbeteren" is niet genoeg. Wees specifiek.
Volg de Code of Practice. De definitieve versie wordt later in 2026 verwacht. Bereid je alvast voor op labelingverplichtingen voor AI-gegenereerde output.
De vraag "mag ik klantdata gebruiken voor AI-training?" heeft geen ja-of-nee-antwoord. Het hangt af van hoe je de data verwerkt, hoe goed je anonimiseert, welke grondslag je kiest en met welke partijen je samenwerkt. Als je het zorgvuldig aanpakt en documenteert, is er ruimte. Maar die ruimte is smaller dan veel ondernemers denken.
Bronnen: Europese Commissie, AI regulatory framework | EU-onderzoek "Generative AI and Copyright" (juli 2025) | European Data Protection Board
