Elk Nederlands bedrijf dat ChatGPT, Copilot, Gemini of een andere generatieve AI-tool zakelijk inzet, valt onder de EU AI Act. Dat is geen theorie — het is wet, en de eerste deadlines zijn al verstreken.
Wat is het risiconiveau van ChatGPT?
ChatGPT valt in de categorie General Purpose AI (GPAI) — een model voor algemene doeleinden. Dat heeft twee gevolgen:
- OpenAI (de aanbieder) moet voldoen aan transparantie-eisen richting de EU: technische documentatie, trainingsinformatie, energieverbruik.
- Uw bedrijf (de deployer) moet voldoen aan de verplichtingen die gelden voor de toepassing die u maakt van ChatGPT.
ChatGPT zelf is geen hoog-risico AI. Maar als u ChatGPT inzet voor iets dat wél hoog-risico is — zoals het automatisch beoordelen van sollicitanten of het geven van medisch advies — dan gelden de hoog-risico verplichtingen voor die specifieke toepassing.
Wat regelt OpenAI wél voor u?
OpenAI is verantwoordelijk voor:
- De veiligheid en betrouwbaarheid van het model zelf
- De technische transparantie richting de EU over hoe het model werkt
- Het naleven van verboden AI-toepassingen in het model (bijv. geen manipulatie van kwetsbare groepen)
- De registratieverplichtingen als GPAI-aanbieder bij de EU AI Office
Wat regelt OpenAI NIET voor u?
| Verplichting | Voor wie? |
|---|---|
| AI-register bijhouden (welke tools, welk risico) | Uw bedrijf |
| AI-beleid opstellen voor intern gebruik | Uw bedrijf |
| Medewerkers trainen (Artikel 4 AI-geletterdheid) | Uw bedrijf |
| Klanten informeren als AI ingezet wordt in communicatie | Uw bedrijf |
| Verwerkersovereenkomst afsluiten (AVG) | Uw bedrijf (met OpenAI) |
| Risicocontrole bij hoog-risico toepassingen | Uw bedrijf |
Welke concrete stappen moet u zetten?
1. Verwerkersovereenkomst met OpenAI
Als u via ChatGPT persoonsgegevens verwerkt (namen van klanten, medewerkers, persoonlijke situaties invoert), bent u verplicht een Data Processing Agreement (DPA) af te sluiten. OpenAI biedt dit aan via hun Business/Enterprise accounts. Met een gratis account is dit juridisch gezien een grijs gebied — zorg dat u overgaat op een zakelijk account.
2. Leg ChatGPT vast in uw AI-register
Uw AI-register moet minimaal bevatten:
- Naam van de tool: ChatGPT (OpenAI)
- Versie/type: GPT-4o / Enterprise / API
- Doel van gebruik: contentcreatie, klantenservice, etc.
- Welke data erin gaat: anoniem / persoonsgegevens / bedrijfsvertrouwelijk
- Risiconiveau: beperkt (standaard) of hoog (bij specifieke toepassingen)
- Verantwoordelijke binnen uw organisatie
3. Informeer uw medewerkers
Artikel 4 verplicht u om medewerkers die ChatGPT gebruiken aantoonbaar te informeren over:
- Wat ChatGPT is en hoe het werkt (globaal)
- Welke data niet in ChatGPT mag (AVG-gevoelige data, bedrijfsgeheimen)
- Hoe ze output kritisch beoordelen (hallucinations, feitelijke fouten)
- Wat de interne regels zijn voor AI-gebruik
4. Communiceer naar klanten waar nodig
Gebruikt u ChatGPT voor klantenservice-mails of chatbots op uw website? Dan moet u dit kenbaar maken. Een simpele vermelding ("Onze berichten worden mede opgesteld met behulp van AI") is voldoende voor de meeste gevallen.
Let op: Chatbots die als mens voordoen — of waarbij de gebruiker niet weet dat hij met AI communiceert — zijn verboden onder de EU AI Act (artikel 50). Dit gold al per 2 augustus 2026 als transparantie-eis.
Wanneer wordt ChatGPT-gebruik wél hoog-risico?
ChatGPT is op zichzelf geen hoog-risico systeem, maar het gebruik kán hoog-risico worden. Concrete voorbeelden:
- U gebruikt ChatGPT om cv's te beoordelen en kandidaten te rangschikken → hoog risico (HR-toepassingen)
- U geeft patiënten medisch advies via een ChatGPT-chatbot → hoog risico (zorg)
- U laat ChatGPT kredietbeslissingen nemen of adviseren → hoog risico (financiële dienstverlening)
In die gevallen gelden extra verplichtingen: uitgebreide technische documentatie, menselijk toezicht per beslissing, en mogelijk registratie in de EU AI-databank.
Wat kost niet-naleving?
De Autoriteit Persoonsgegevens (AP) is aangewezen als toezichthouder. Handhaving begint doorgaans met een waarschuwing of auditverzoek, maar kan oplopen tot:
- Maximaal €15 miljoen of 3% van de wereldwijde jaaromzet bij hoog-risico overtredingen
- Maximaal €35 miljoen of 7% bij verboden AI-toepassingen
Voor een MKB-bedrijf met €1 miljoen omzet is 3% al €30.000 — een boete die u met twee middagen documentatiewerk had kunnen voorkomen.
Controleer uw ChatGPT-compliance gratis
De gratis checker analyseert uw gebruik van ChatGPT en andere AI-tools en geeft u een persoonlijk actieplan. Duurt 10 minuten.
Start de gratis check →