GDPR en chatbots: waar moet je op letten?

Waarom is dit een AVG-vraagstuk?

Zodra een bezoeker iets typt in je chatbot ("wanneer komt mijn bestelling?") en ze geven hun naam of e-mail mee, verwerk jij persoonsgegevens. Dat maakt jou verwerkingsverantwoordelijke. Als de chatbot draait via een extern platform (zoals het onze), is die leverancier verwerker.

Beide rollen hebben verplichtingen. Hier is de checklist.

1. Verwerkingsregister (jij)

Hou intern een overzicht bij van welke persoonsgegevens je verwerkt, waarvoor, op welke grondslag, en wie er toegang heeft. Voor een chatbot is dat meestal:

• Doel: klantcontact en support
• Categorie: contactgegevens, gesprekshistorie
• Grondslag: uitvoering van overeenkomst (bij klanten) of gerechtvaardigd belang (bij prospects)
• Bewaartermijn: X maanden (per tenant instelbaar bij ons)
• Ontvangers: jouw support-team + je chatbot-leverancier

2. Privacybeleid uitbreiden (jij)

Je privacybeleid moet vermelden:

• Dat je een chatbot gebruikt en welke gegevens die verwerkt
• Wie de leverancier is (bv. "Chatbot Platform by TMS Media")
• Eventuele doorgiftes buiten de EU (wij: alleen onze AI-provider voor AI-antwoorden, geen data-gebruik voor training)
• Hoe lang de gegevens bewaard worden

3. Verwerkersovereenkomst / DPA (jij + leverancier)

AVG artikel 28 verplicht een schriftelijke verwerkersovereenkomst (Data Processing Agreement) tussen jou en je chatbot-leverancier. Wij bieden er één standaard, op basis van de EU-modelbepalingen. Vraag 'm op via onze contactpagina.

4. Cookie-banner (soms)

Onze widget zet geen cookies, alleen localStorage met een willekeurige sessie-ID. Volgens de huidige interpretatie van de ePrivacy-richtlijn valt dat niet onder de toestemmingsplicht, zolang de opslag strikt noodzakelijk is voor de dienst. Je cookie-banner hoeft daar dus geen apart vinkje voor te hebben.

Andere chatbot-leveranciers zetten wél cookies (bijvoorbeeld voor tracking-doeleinden). Check dat bij je huidige tool — dan hoort er een opt-in voor in je cookie-banner.

5. Doorgifte buiten de EU

Dit is waar het ingewikkeld wordt. Als je chatbot een AI gebruikt, gaat die vraag naar een LLM — en de meeste commerciële LLM-providers draaien op servers in de VS. Dat is een doorgifte naar een derde land.

Grote AI-providers bieden Data Processing Agreements met Standard Contractual Clauses (SCC's) die deze doorgifte legitimeren onder AVG art. 46. Wij hebben die ondertekend; jouw doorgifte aan onze AI-provider loopt dus via onze sub-DPA.

Nog strikter? Onze live-only modus draait zonder AI — dan gaat geen enkel bericht naar de VS en blijft alles 100% EU.

6. Bewaartermijnen

Hou gegevens niet langer dan nodig. Voor chat-logs is 6-24 maanden gangbaar, afhankelijk van je support-flow. In ons dashboard stel je per tenant een retention-policy in; oudere gesprekken worden automatisch gewist.

7. Rechten van betrokkenen

Bezoekers hebben recht op inzage, correctie, verwijdering, en dataportabiliteit. Zorg dat je een proces hebt om dat binnen 30 dagen te afhandelen. Vraag ze altijd om bewijs-van-identiteit voor het verzoek uitvoeren — wil je niet dat iemand anders de gegevens van de vrager claimt.

8. Datalekken melden

Binnen 72 uur na ontdekking moet je een datalek melden bij de Autoriteit Persoonsgegevens (en vaak ook bij de betrokkenen). Wij melden incidenten aan jou binnen 24 uur — dan hou je zelf nog tijd over voor je eigen meldingsplicht.

Samengevat

1. Werk je verwerkingsregister bij
2. Update je privacybeleid
3. Teken de DPA met je chatbot-leverancier
4. Check je cookie-banner
5. Controleer dat doorgifte buiten EU gecovered is
6. Stel bewaartermijnen in
7. Zorg voor een proces voor betrokkenen-rechten

Met een EU-gehoste tool zoals de onze is dat in een uurtje geregeld. Zie ook onze privacypagina en security-beleid.