Eind 2024 verraste het Chinese AI-lab DeepSeek de wereld met modellen die de prestaties van GPT-4 benaderen tegen een fractie van de ontwikkelkosten. De open-weights modellen — DeepSeek-R1 en DeepSeek-V3 — zijn vrij te downloaden en zelf te hosten. Tegelijk biedt DeepSeek een clouddienst via deepseek.com. Voor Nederlandse bedrijven zijn dit twee fundamenteel verschillende situaties als het gaat om AVG-compliance en de EU AI Act.
Wat is DeepSeek en waarom is het populair?
DeepSeek is een reeks grote taalmodellen ontwikkeld door het Chinese bedrijf High-Flyer. De modellen zijn populair om twee redenen: ten eerste presteren ze op of nabij het niveau van de beste westerse modellen op benchmarks voor redeneren, coderen en taalverwerking. Ten tweede zijn de gewichten openbaar beschikbaar, wat betekent dat bedrijven het model kunnen downloaden en op eigen infrastructuur draaien — zonder afhankelijkheid van een externe API.
Voor kostenbesparende bedrijven klinkt dat aantrekkelijk. Maar de vraag is: wat zijn de juridische gevolgen van gebruik?
Het AVG-risico van DeepSeek.com
Wie DeepSeek gebruikt via de website of API van deepseek.com, stuurt data naar servers in China. De Algemene Verordening Gegevensbescherming (AVG) stelt in artikelen 44 tot en met 49 strenge eisen aan doorgifte van persoonsgegevens naar landen buiten de Europese Economische Ruimte.
China heeft geen adequaatheidsbesluit van de Europese Commissie. Dat betekent dat doorgifte alleen mag plaatsvinden via aanvullende waarborgen, zoals standaardcontractbepalingen (SCCs). Maar er is een fundamenteler probleem: de Chinese Wet op Nationale Inlichtingendiensten verplicht Chinese bedrijven mee te werken aan overheidsverzoeken om toegang tot data. Dat ondermijnt de bescherming die SCCs bieden.
Als uw medewerkers persoonsgegevens invoeren in deepseek.com — van klanten, collega's of anderen — zonder adequate AVG-grondslag, is er sprake van een onrechtmatige doorgifte. De Autoriteit Persoonsgegevens heeft dit type overtreding als prioriteit benoemd. Nederland, Italië en diverse andere EU-landen hebben al overheidsinstanties gewaarschuwd of gebruik verboden.
DeepSeek en de AI Act: GPAI-classificatie
Onder de AI Act valt DeepSeek als groot taalmodel onder de categorie General Purpose AI (GPAI), geregeld in artikelen 51 tot en met 55. De verplichtingen voor GPAI-aanbieders — zoals technische documentatie, auteursrechtenbeleid en transparantierapportage — rusten op DeepSeek als aanbieder, niet op u als gebruiker.
Als u echter het open-weights model zelf inzet voor een specifieke toepassing — bijvoorbeeld een klantenservicebot, een HR-beslissingsondersteunend systeem of een kredietanalytisch instrument — wordt u de deployer van dat systeem. Dan gelden de AI Act-verplichtingen die horen bij de risicocategorie van uw specifieke toepassing.
GPAI met systeemrisico: Als een GPAI-model meer dan 1025 FLOP aan rekenwerk vereiste voor de training, is er sprake van een "GPAI met systeemrisico" en gelden aanvullende verplichtingen voor de aanbieder. Voor DeepSeek-modellen is dit afhankelijk van de versie en de precieze trainingsdetails — maar dit is een verplichting voor DeepSeek als aanbieder, niet voor uw bedrijf.
Clouddienst versus zelf hosten: het cruciale verschil
Data verwerkt op servers in China. Geen adequaatheidsbesluit, Chinese wetgeving verplicht toegang voor de overheid. Gebruik zonder aanvullende maatregelen is in strijd met de AVG. Niet aanbevolen voor zakelijk gebruik met persoonsgegevens.
Het model draait op uw eigen servers of EU-cloudinfrastructuur. Data verlaat de EER niet. Het AVG-probleem valt weg. U bent deployer onder de AI Act en heeft verplichtingen afhankelijk van de toepassing. Dit is de aanbevolen route voor bedrijven die het model willen gebruiken.
Wanneer mag het wel, wanneer mag het niet?
De vuistregel is eenvoudig: de locatie van dataverwerking bepaalt het AVG-risico, de toepassing bepaalt het AI Act-risico.
- Gebruik via deepseek.com met persoonsgegevens: niet toegestaan zonder aantoonbare AVG-grondslag, die in de praktijk moeilijk te vestigen is.
- Gebruik via deepseek.com zonder persoonsgegevens (bijvoorbeeld voor het genereren van niet-persoonsgebonden tekst): minder AVG-problematisch, maar check uw interne beleid en contractuele verplichtingen.
- Zelf hosten op EU-servers voor laag-risico toepassingen: in principe toegestaan, mits u als deployer uw basisverplichtingen nakomt.
- Zelf hosten voor hoog-risico toepassingen (HR-selectie, kredietbeoordeling): toegestaan, maar u moet volledig voldoen aan de hoog-risico verplichtingen van de AI Act.
Weet u welke AI-tools risico's meebrengen?
De gratis ActCheck-checker analyseert uw AI-gebruik en laat zien welke tools AVG- of AI Act-risico's meebrengen — inclusief adviezen over alternatieve inzet.
Start de gratis check