Je hebt een chatvenster op je website gezet, bezoekers stellen er vragen en jij reageert snel. Maar staat die chat eigenlijk wel in je privacyverklaring? En staat het er dan ook correct in? Voor veel website-eigenaren is de chatfunctie of chatbot het blinde vlekje in hun AVG-aanpak: er is netjes een cookiemelding en een privacyverklaring geregeld, maar de chat draait als een stille dataverzamelaar op de achtergrond. Dit stappenplan loodst je van dat chatvenster naar een compliant privacyverklaring, zonder dat je een juridische opleiding nodig hebt.

Stap 0: Controleer eerst wát je chat-tool eigenlijk doet

Voordat je ook maar één zin schrijft, moet je weten met welk type tool je werkt. Dat klinkt logisch, maar de praktijk is grilliger dan je denkt. Er zijn drie hoofdtypen:

  • Live chat: een medewerker typt mee in realtime. Denk aan Crisp of Tawk.to.
  • Scriptbot: een beslisboom met vaste antwoorden, geen AI aan te pas. Veel FAQ-widgets werken zo.
  • Generatieve AI-chatbot: een koppeling met een taalmodel (zoals een eigen GPT-4-integratie of een tool als Tidio AI). Dit type verwerkt gegevens fundamenteel anders.

De uitkomst van deze check bepaalt alles wat volgt. Een scriptbot die alleen tekst toont zonder invoerveld verwerkt nauwelijks persoonsgegevens. Een generatieve AI-chatbot doet dat wél, en soms ook buiten de EER. Weet je het niet zeker? Kijk in de technische documentatie van je tool of neem contact op met de provider.

Stap 1: Breng de gegevensstroom in kaart

Een chatvenster lijkt onschuldig, maar de gegevensstroom is breder dan je verwacht. Schrijf voor jezelf op welke persoonsgegevens worden verzameld en op welk moment. Typische categorieën:

  • Naam en e-mailadres (als bezoekers die invullen voor aanvang of opvolging)
  • IP-adres (bijna altijd, ook zonder dat de bezoeker iets invult)
  • Chatlog, dus de volledige tekst van het gesprek
  • Apparaat- en browserdata, soms inclusief locatie
  • Bij AI-chatbots: de inhoud van berichten die mogelijk als trainingsdata worden gebruikt

Een webshop-eigenaar in Utrecht die Intercom gebruikt, ziet in het dashboard meteen de naam, het e-mailadres én de paginageschiedenis van een bezoeker. Dat zijn drie categorieën tegelijk, nog vóór iemand een woord heeft getypt. Noteer ze allemaal. Je hebt dit overzicht nodig in de stappen hierna.

Stap 2: Bepaal de verwerkingsgrondslag per gegevenssoort

Dit is waar het voor veel eigenaren misgaat. Ze kiezen klakkeloos voor “gerechtvaardigd belang” als grondslag, maar de AVG vereist dat je dan een balanstest uitvoert: jouw belang versus het belang van de bezoeker. Bij een chatlog die uitgebreid wordt geanalyseerd voor commerciële doeleinden is die balans lang niet altijd in jouw voordeel.

Een praktische vuistregel: gebruik uitvoering van de overeenkomst als grondslag wanneer de chat direct nodig is om een aankoop of dienst te leveren. Gebruik toestemming als je chatlogs wilt gebruiken voor marketingdoeleinden of AI-training. Kies gerechtvaardigd belang alleen voor basale beveiligingslogging, en documenteer dan je balanstest.

Stap 3: Identificeer alle derde partijen in de keten

Jij bent de verwerkingsverantwoordelijke, maar achter jouw chatprovider zit vaak een keten. Intercom werkt met Amazon Web Services als infrastructuurprovider. Tidio AI koppelt aan externe taalmodellen. Een zelfgebouwde chatbot via de OpenAI API stuurt berichten door naar servers in de Verenigde Staten.

Controleer of jouw provider:

  • buiten de EER verwerkt (en zo ja, op welke juridische basis, zoals Standard Contractual Clauses)
  • subverwerkers inschakelt die jij niet direct kent
  • gegevens deelt voor eigen doeleinden, zoals productontwikkeling

Dit zijn verplichte vermeldingen in je privacyverklaring volgens de AVG-checklist voor websites. “Wij delen gegevens met onze chatprovider” is onvoldoende. Je moet de naam noemen én de locatie van verwerking.

Stap 4: Stel de bewaartermijnen vast

Bewaartermijnen voor chats zijn minder eenvoudig dan voor bijvoorbeeld factuurdata. Maak onderscheid tussen:

  • Chatlogs in het dashboard van de provider: vaak instelbaar, stel dit actief in op maximaal 12 maanden tenzij je een aantoonbaar langere noodzaak hebt.
  • Geëxporteerde transcripten die je in je eigen CRM of e-mailprogramma bewaart: die vallen onder jouw verantwoordelijkheid en termijn.
  • Trainingsdata bij generatieve AI: vraag expliciet aan de provider of jouw chatinhoud wordt gebruikt voor modeltraining en zo ja, hoe lang. Sommige providers bieden een opt-out. Gebruik die.

Stap 5: Schrijf de verwerkingsparagraaf

Een chatbot privacyverklaring AVG-paragraaf bevat minimaal: het doel, de grondslag, de ontvangers, de bewaartermijn en een verwijzing naar de rechten van de betrokkene. Hieronder een uitgeschreven voorbeeldtekst die je kunt aanpassen:

“Op onze website maken wij gebruik van een live chat- en AI-chatbotfunctie, aangeboden via [naam provider]. Wanneer je een gesprek start, verwerken wij de inhoud van je berichten, je IP-adres en, als je dit invult, je naam en e-mailadres. Wij doen dit om je vragen te beantwoorden en onze klantenservice te verbeteren (grondslag: gerechtvaardigd belang / uitvoering van de overeenkomst). [Naam provider] verwerkt deze gegevens als verwerker namens ons. De gegevens worden opgeslagen op servers binnen de EER / in de VS op basis van Standard Contractual Clauses. Wij bewaren chatlogs maximaal 12 maanden. Je kunt een kopie opvragen of verwijdering verzoeken via [contactgegevens].”

Vul de haken in met jouw specifieke situatie. Gebruik nooit vage formuleringen als “zo lang als nodig”. Dat is niet AVG-conform.

Stap 6: Verwerk de cookiemelding en toestemmingsbanner

Veel chattools plaatsen cookies of trackers op het moment dat het venster laadt, dus nog vóórdat een bezoeker op “start gesprek” klikt. Tidio plaatst standaard tracking cookies. Intercom ook. Als jouw chatwidget dit doet, valt het onder de cookiewet: je hebt actieve toestemming nodig vóór het plaatsen van die cookies.

Praktisch advies: zet de chat pas actief na toestemming in je cookiebanner, of kies een provider die pas cookies plaatst na een klik op het chatvenster. Vermeld de chatcookies ook in je cookieverklaring, los van de privacyverklaring.

Stap 7: Sluit een verwerkersovereenkomst af

Als jouw chatprovider persoonsgegevens verwerkt namens jou, ben je verplicht een verwerkersovereenkomst (VOK) te hebben. De meeste grote providers bieden deze aan als onderdeel van hun Data Processing Agreement (DPA), die je doorgaans moet accepteren in je accountinstellingen. Controleer of de overeenkomst in elk geval regelt:

  • Wat de verwerker wel en niet mag doen met de data
  • Welke subverwerkers worden ingeschakeld
  • Hoe beveiligingsincidenten worden gemeld
  • Hoe je gegevens kunt laten verwijderen of exporteren bij opzegging
  • Waar de gegevens worden opgeslagen en op welke juridische basis bij doorgifte buiten de EER
  • Hoe audits of inspecties zijn geregeld

Heb je een kleine aanbieder die geen standaard DPA aanbiedt? Dan is dat een serieus signaal om de tool te heroverwegen.

Stap 8: Houd de verklaring actueel

Een privacyverklaring is geen eenmalig document. Bij een chatfunctie zijn er specifieke triggers die een herziening verplichten:

  • Je provider schakelt over op een nieuwere AI-versie met andere dataverwerkingsafspraken
  • De provider wijzigt zijn subverwerkers (dit staat vaak klein in de changelog)
  • Je bewaartermijn verandert doordat je overschakelt op een ander abonnement
  • Je voegt een extra chatkanaal toe, zoals WhatsApp of een ingebedde koppeling

Zet een herinnering in je agenda voor elk kwartaal om de DPA van je chatprovider opnieuw te checken. Veel providers communiceren wijzigingen per e-mail, maar die belanden gemakkelijk in de ongelezen map.

Een chatfunctie toevoegen aan je website is snel geregeld. De privacyverklaring daarvoor correct inrichten kost wat meer moeite, maar het is goed te doen als je het stap voor stap aanpakt. Begin bij wat je tool echt doet, breng de gegevensstroom in kaart, kies de juiste grondslag en vergeet de verwerkersovereenkomst niet. Heb je alles op een rij, dan kun je met het stappenplan voor een privacyverklaring direct een AVG-conforme privacyverklaring opstellen, inclusief de juiste formulering voor je chatfunctie of chatbot.