Is ChatGPT-gebruik in uw bedrijf legaal onder de EU AI Act?

Elk Nederlands bedrijf dat ChatGPT, Copilot, Gemini of een andere generatieve AI-tool zakelijk inzet, valt onder de EU AI Act - in de volksmond ook wel de AI wet genoemd. Dat is geen theorie, het is wet, en de eerste deadlines van de AI wet zijn al verstreken.

Wat is het risiconiveau van ChatGPT?

ChatGPT valt in de categorie General Purpose AI (GPAI), een model voor algemene doeleinden. Dat heeft twee gevolgen:

1. OpenAI (de aanbieder) moet voldoen aan transparantie-eisen richting de EU: technische documentatie, trainingsinformatie, energieverbruik.
2. Uw bedrijf (de deployer) moet voldoen aan de verplichtingen die gelden voor de toepassing die u maakt van ChatGPT.

ChatGPT zelf is geen hoog-risico AI. Maar als u ChatGPT inzet voor iets dat wél hoog-risico is, zoals het automatisch beoordelen van sollicitanten of het geven van medisch advies, dan gelden de hoog-risico verplichtingen voor die specifieke toepassing.

Wat regelt OpenAI wél voor u?

OpenAI is verantwoordelijk voor:

• De veiligheid en betrouwbaarheid van het model zelf
• De technische transparantie richting de EU over hoe het model werkt
• Het naleven van verboden AI-toepassingen in het model (bijv. geen manipulatie van kwetsbare groepen)
• De registratieverplichtingen als GPAI-aanbieder bij de EU AI Office

Wat regelt OpenAI NIET voor u?

Welke concrete stappen moet u zetten?

1. Verwerkersovereenkomst met OpenAI

Als u via ChatGPT persoonsgegevens verwerkt (namen van klanten, medewerkers, persoonlijke situaties invoert), bent u verplicht een Data Processing Agreement (DPA) af te sluiten. OpenAI biedt dit aan via hun Business/Enterprise accounts. Met een gratis account is dit juridisch gezien een grijs gebied, zorg dat u overgaat op een zakelijk account.

2. Leg ChatGPT vast in uw AI-register

Uw AI-register moet minimaal bevatten:

• Naam van de tool: ChatGPT (OpenAI)
• Versie/type: GPT-4o / Enterprise / API
• Doel van gebruik: contentcreatie, klantenservice, etc.
• Welke data erin gaat: anoniem / persoonsgegevens / bedrijfsvertrouwelijk
• Risiconiveau: beperkt (standaard) of hoog (bij specifieke toepassingen)
• Verantwoordelijke binnen uw organisatie

3. Informeer uw medewerkers

Artikel 4 verplicht u om medewerkers die ChatGPT gebruiken aantoonbaar te informeren over:

• Wat ChatGPT is en hoe het werkt (globaal)
• Welke data niet in ChatGPT mag (AVG-gevoelige data, bedrijfsgeheimen)
• Hoe ze output kritisch beoordelen (hallucinations, feitelijke fouten)
• Wat de interne regels zijn voor AI-gebruik

4. Communiceer naar klanten waar nodig

Gebruikt u ChatGPT voor klantenservice-mails of chatbots op uw website? Dan moet u dit kenbaar maken. Een simpele vermelding ("Onze berichten worden mede opgesteld met behulp van AI") is voldoende voor de meeste gevallen.

Wanneer wordt ChatGPT-gebruik wél hoog-risico?

ChatGPT is op zichzelf geen hoog-risico systeem, maar het gebruik kán hoog-risico worden. Concrete voorbeelden:

• U gebruikt ChatGPT om cv's te beoordelen en kandidaten te rangschikken: hoog risico (HR-toepassingen)
• U geeft patiënten medisch advies via een ChatGPT-chatbot: hoog risico (zorg)
• U laat ChatGPT kredietbeslissingen nemen of adviseren: hoog risico (financiële dienstverlening)

In die gevallen gelden extra verplichtingen: uitgebreide technische documentatie, menselijk toezicht per beslissing, en mogelijk registratie in de EU AI-databank.

Wat kost niet-naleving?

De Autoriteit Persoonsgegevens (AP) is aangewezen als toezichthouder. Handhaving begint doorgaans met een waarschuwing of auditverzoek, maar kan oplopen tot:

• Maximaal €15 miljoen of 3% van de wereldwijde jaaromzet bij hoog-risico overtredingen
• Maximaal €35 miljoen of 7% bij verboden AI-toepassingen

Voor een MKB-bedrijf met €1 miljoen omzet is 3% al €30.000, een boete die u met twee middagen documentatiewerk had kunnen voorkomen.