Samenvatting: Het privacy-landschap van 2026
Impact van rechtszaken: Een bevel van de federale rechtbank in oktober 2025 herstelde de standaard verwijderingsrechten voor de meeste gebruikers, maar in januari 2026 bevestigde een rechter dat 20 miljoen bewaarde logs nog steeds moeten worden overhandigd aan eisers uit de nieuwssector.
Risico’s van agents: De “ChatGPT agent”-modus bewaart gegevens, inclusief screenshots van je browser, gedurende 90 dagen; aanzienlijk langer dan standaard chats.
Nieuwe tooling: In april 2026 bracht OpenAI de Privacy Filter uit, een open-weight, on-device model waarmee organisaties PII uit tekst kunnen verwijderen voordat deze ooit een cloud-gebaseerde AI-dienst bereikt.
Regulering: Sinds augustus 2025 legt de EU AI Act strikte transparantieverplichtingen op aan general-purpose AI.
ChatGPT is nog steeds de belangrijkste speler op het gebied van AI. Begin 2026 kwamen de versies GPT-5.3 en GPT-5.4 uit. Ook is er nu de “ChatGPT agent”. Dit betekent dat de AI niet meer alleen netjes antwoord geeft, maar echt voor jou aan het werk gaat. De agent navigeert zelfstandig over het internet
Omdat de AI nu zoveel zelfstandig doet, maken meer mensen zich zorgen over hun data privacy. Uit eerdere onderzoeken van Statista bleek al dat de helft van de mensen bang was dat hun persoonlijke gegevens werden verzameld. In 2026 zijn die zorgen alleen maar groter geworden. Het gaat nu niet meer alleen om het verzamelen van namen of e-mailadressen. Mensen maken zich nu vooral druk om nieuwe wetten en het feit dat computers ons automatisch in de gaten kunnen houden.
In deze gids leggen we precies uit hoe OpenAI vandaag de dag met jouw gegevens omgaat.
Wat is ChatGPT?
ChatGPT is een Large Language Model (LLM) en, in toenemende mate, een autonome agent. Het genereert tekst, schrijft code en voert taken uit op basis van jouw input. Ontwikkeld door OpenAI, Op dit moment werkt het systeem op de versies GPT-5.3 en GPT-5.4, waarbij je kunt kiezen uit de standen “Instant”, “Thinking” en “Pro” om de AI op de juiste manier te laten nadenken. De techniek achter ChatGPT verandert snel. Zo werd de versie GPT-5.1 uit november 2025 in maart 2026 alweer vervangen. Ook de versies GPT-5.2 en de speciale GPT-5.3 Codex stoppen binnenkort; deze gaan op 5 juni 2026 stopgezet worden.
Wat deze nieuwe ChatGPT echt anders maakt, is de speciale agent-modus. In augustus 2025 werd het programma “Operator” onderdeel van ChatGPT, waardoor de AI nu zelfstandig over het internet kan surfen. De AI kan nu namens jou op knoppen klikken en acties uitvoeren op websites. Dit is heel handig, maar het zorgt ook voor een hele nieuwe manier van kijken naar je privacy, omdat de AI nu veel meer zelfstandig doet met jouw gegevens.
Slaat ChatGPT mijn gegevens op?
Ja, ChatGPT slaat je gegevens op, maar de regels zijn in 2025 en begin 2026 drastisch veranderd als gevolg van federale rechtszaken.
1. Het standaardbeleid
Voor standaard chatinteracties slaat OpenAI je prompts, gespreksgeschiedenis en accountgegevens (e-mail, IP, locatie) op voor zijn dienstverlening en om de modellen te trainen. Normaal gesproken wordt een chat, als je deze verwijdert, binnen 30 dagen uit de systemen van OpenAI verwijderd.
2. Het effect van de New York Times-rechtszaak
De auteursrechtelijke rechtszaak The New York Times v. OpenAI heeft het “Recht om vergeten te worden” gedurende 2025 en tot in 2026 fundamenteel verstoord.
- Het bewaringsbevel (mei tot september 2025): In mei 2025 beval de Amerikaanse federale rechter Ona T. Wang OpenAI om alle ChatGPT-gesprekslogs onbepaalde tijd te bewaren voor juridische bewijsvoering (discovery). Tijdens deze periode werden je gegevens, zelfs als je op “Verwijderen” klikte, gearchiveerd in een afzonderlijke juridische bewaring (legal hold). Gesprekken afkomstig uit de Europese Economische Ruimte, Zwitserland en het Verenigd Koninkrijk waren uitgesloten van dit bevel.
- De wijziging in oktober: Op 9 oktober 2025 beëindigde rechter Wang de omvattende bewaringsplicht. De verplichting van OpenAI om alle output-gegevens voor de toekomst te bewaren eindigde effectief op 26 september 2025, waardoor het bedrijf zijn standaard 30-dagen verwijderingsbeleid voor nieuwe gegevens kon hervatten.
- Het bevel tot afgifte van januari 2026: Op 5 januari 2026 bevestigde de Amerikaanse districtsrechter Sidney H. Stein de uitspraak van een magistraat rechter die OpenAI dwong om 20 miljoen gede-identificeerde ChatGPT-logs te overhandigen aan de eisers uit de nieuwssector. Dit betekent dat terwijl nieuwe logs weer volgens het normale schema worden verwijderd, een enorme steekproef van eerder bewaarde gesprekken daadwerkelijk zal worden geanalyseerd door externe partijen in de geconsolideerde auteursrechtzaak.
- Het risico van “Zombie Data”: Gegevens die tussen april en september 2025 zijn vastgelegd, blijven bewaard onder het oorspronkelijke bevel. Bovendien vallen accounts en domeinen die specifiek door de New York Times als relevant voor de zaak zijn aangemerkt, nog steeds onder de lopende bewaring.
Belangrijkste conclusie: Hoewel standaard-verwijdering voor de meesten is teruggekeerd, hebben juridische bewaringsbevelen bewezen dat je “Recht om te verwijderen” op elk moment door de rechtbank kan worden opgeschort, en de uitspraak van januari 2026 laat zien dat bewaarde gegevens in handen van derden terecht kunnen komen.
De nieuwe privacy-grens: “ChatGPT agent”
In augustus 2025 integreerde OpenAI het voormalige standalone product “Operator” in de ChatGPT agent-modus. De integratie behield het strengere privacybeleid van zijn voorganger. Omdat ChatGPT agent acties kan ondernemen op het echte web (zoals het boeken van vluchten of het invullen van formulieren), vereist het intesieve monitoring op misbruik.
| Feature | Bewaartermijn | Wat wordt vastgelegd? |
|---|---|---|
| Standaard chat | 30 dagen (na verwijdering) | Tekst-prompts, bestandsuploads. |
| ChatGPT agent | 90 dagen (na verwijdering) | Tekst, Screenshots, Browsegeschiedenis. |
Het screenshot-risico: Om te kunnen functioneren, maakt ChatGPT agent continu screenshots van het browservenster dat het bestuurt. Als de agent naar een pagina navigeert die gevoelige PII (Personal Identifiable Information) of bedrijfseigen dashboards toont, worden die screenshots vastgelegd. Zelfs als je de sessie onmiddellijk verwijdert, worden deze screenshots gedurende 90 dagen bewaard voor veiligheidscontroles.
| Niveau | Feature | Privacyvoordeel |
|---|---|---|
| Basis | Temporary Chat | Geen geschiedenis, geen training. |
| Geavanceerd | Privacy Filter (Nieuw!) | Lokale PII-redactie voor verzending. |
| Soeverein | AWS/Azure EKM | Intrekbare encryptiesleutels. |
| Ultra | Zero Data Retention (ZDR) | Geen gegevens naar schijf geschreven (alleen API). |
OpenAI Privacy Filter: redactie voordat de prompt je apparaat verlaat
In april 2026 bracht OpenAI de Privacy Filter uit, een open-weight model ontworpen om persoonlijk identificeerbare informatie (PII) in tekst te detecteren en te maskeren voordat deze naar een cloud-gebaseerde AI-dienst wordt verzonden. Het is gepubliceerd onder de Apache 2.0-licentie op Hugging Face en GitHub, wat betekent dat organisaties het commercieel kunnen gebruiken, kunnen fine-tunen en in de eigen producten kunnen verwerken zonder royaltyverplichtingen.
Hoe werkt het privacy filter: Privacy Filter is een model met 1,5 miljard parameters met ongeveer 50 miljoen actieve parameters (gebouwd op een Mixture-of-Experts architectuur afgeleid van OpenAI’s gpt-oss familie). Het is klein genoeg om op een standaard laptop of zelfs direct in een browser te draaien. In plaats van tekst token-voor-token te genereren zoals een normale LLM, werkt het als een bidirectionele token-classifier: het leest de input in een enkele ‘forward pass’ en labelt elke token als een van de acht PII-categorieën of als achtergrond.
De acht categorieën die het kan detecteren en maskeren zijn:
- private_person (namen)
- private_address (huis- en andere privéadressen)
- private_email
- private_phone
- private_url
- private_date
- account_number (omvat creditcardnummers, bankrekeningen en soortgelijke identificatiemiddelen)
- secret (wachtwoorden, API-keys, tokens)
Waarom dit belangrijk is voor privacy: Ouderwetse systemen om privégegevens te herkennen werken met vaste patronen. Die vinden e-mailadressen wel, maar missen vaak de context. Ze begrijpen bijvoorbeeld niet wat je bedoelt met “gebruik dezelfde kaart als de vorige keer” en herkennen ook onduidelijke namen niet. Privacy Filter gebruikt context bewust taalbegrip, zodat het kan onderscheiden of “Alice” een privépersoon is of een personage uit de literatuur op basis van de omringende tekst. Op de PII-Masking-300k benchmark rapporteert OpenAI een F1-score van 96%, tot 97,43% op een gecorrigeerde versie van de dataset.
Het local-first voordeel: Omdat het model op het apparaat draait, hoeft ruwe tekst met PII nooit je apparaat te verlaten om te worden opgeschoond. Voor organisaties die werken met gevoelige informatie, zoals medische dossiers of financiële gegevens, is dit een grote stap vooruit. Ze hoeven hun ruwe data nu namelijk niet meer eerst naar een clouddienst te sturen om deze onherkenbaar te maken.
Belangrijke beperkingen: OpenAI zegt heel duidelijk dat het Privacy Filter een hulpmiddel is om gegevens te filteren, maar geen garantie biedt voor volledige anonimiteit of veiligheid. Soms ziet het filter bijzondere kenmerken over het hoofd, of verwijdert het juist te veel informatie uit korte teksten. Ook werkt het filter niet in elke taal even goed. Voor belangrijk werk, zoals in de zorg of de financiële sector, adviseert OpenAI daarom om altijd een mens te laten meekijken en het systeem extra goed af te stellen voor jouw specifieke vakgebied. Het moet worden behandeld als één laag in een privacy-by-design strategie, niet als een compliance-checkbox.
Voor Nederlandse organisaties is dit een nuttige stap in pijplijnen waar werknemers of systemen ongestructureerde tekst (e-mails, transcripten, support tickets) doorgeven aan ChatGPT of andere LLM’s. Het vervangt je AVG/GDPR-verplichtingen niet, maar het verhoogt de ondergrens van wat technisch haalbaar is voor on-premises PII-redactie.
Waarom is de privacy van ChatGPT-gegevens een zorg?
Buiten de “black box” van AI-training is privacy een regulatoir mijnenveld.
GDPR en de EU AI Act Europa blijft leidend in regelgeving. De EU AI Act werd gedurende 2025 volledig operationeel:
- Februari 2025: Verbodsbepalingen op AI met een “onaanvaardbaar risico” traden in werking.
- Augustus 2025: Regels voor General Purpose AI (GPAI) werden van kracht, wat OpenAI verplicht om gedetailleerde technische documentatie bij te houden en te voldoen aan de EU-auteursrechtwetgeving.
Het Nederlandse standpunt: De Nederlandse toezichthouder (Autoriteit Persoonsgegevens) blijft waakzaam. Na de boete van €290 miljoen die in 2024 aan Uber werd opgelegd voor onjuiste gegevensoverdrachten naar de VS, moeten Nederlandse organisaties zich bewust zijn van waar hun AI-gegevens zich bevinden. De AP heeft benadrukt dat AI-geletterdheid (Artikel 4 van de AI Act) nu een verplichte verplichting is voor bedrijven die deze tools inzetten.
Hoe maak je ChatGPT privacy vriendelijker?
1. Opt-out voor model-training (Persoonlijke accounts)
Als je een Free, Plus of Pro-abonnement hebt, worden je gegevens standaard gebruikt om de modellen van OpenAI te trainen. Dit kan je echter uitzetten:
- Ga naar Settings > Data Controls.
- Zet “Improve the model for everyone” uit. Let op: Dit omzeilt de bewaartermijn van 30 dagen (of 90 dagen voor ChatGPT agent) voor misbruikcontrole niet, maar het voorkomt dat jouw gegevens onderdeel worden van tijdelijk kennisbasis van de AI.
2. Gebruik “Tijdelijke chat”
Gebruik tijdelijke Chat voor gevoelige eenmalige taken. Deze chats worden niet opgeslagen in je geschiedenis en worden niet gebruikt voor training, hoewel het 30-dagen venster voor misbruikcontrole nog steeds van toepassing is.
3. Stap over naar Enterprise- of Business-abonnementen
Voor bedrijven is de veiligere optie het ChatGPT Enterprise- of Business-abonnement (het plan dat voorheen bekend stond als ChatGPT Team werd in augustus 2025 omgedoopt tot Business).
- Geen training: OpenAI stelt expliciet dat zij standaard niet trainen op zakelijke gegevens.
- Enterprise key management (EKM): Uitgerold in 2025, hiermee kunnen Enterprise- en Edu-workspaces hun eigen encryptiesleutels beheren via AWS, Google Cloud of Azure. Als je de sleutel intrekt, kan OpenAI je gegevens niet langer lezen, wat een technische waarborg biedt. EKM is momenteel beperkt tot Enterprise- en Edu-klanten met een toegewezen OpenAI-account vertegenwoordiger.
- Zero data retention (ZDR): In aanmerking komende Enterprise-klanten kunnen ZDR-API’s gebruiken waarbij geen gegevens naar schijf/logs worden geschreven, hoewel dit sommige geavanceerde functies kan beperken.
4. Laat het privacyfilter eerst op je eigen apparaat draaien voordat je tekst naar ChatGPT verstuurt
Voor ontwikkelaars en ondernemingen kan de OpenAI Privacy Filter worden ingevoegd als een voorverwerkingslaag vóór elke ChatGPT API-call of workflow. Omdat het lokaal draait, kun je logs, supporttickets of gebruikersinputs opschonen voordat de gegevens de servers van OpenAI ooit bereiken. Dit is met name waardevol voor Nederlandse organisaties die onderworpen zijn aan strikte AVG/GDPR-principes voor dataminimalisatie, hoewel het gecombineerd moet worden met beleidsevaluatie en menselijk toezicht in plaats van te worden behandeld als een op zichzelf staande compliance-oplossing.
5. Deep Research & cloud-connectoren
De Deep Research-tool maakt verbinding met Google Drive en Microsoft OneDrive. Hoewel de inhoud van je bestanden in Enterprise-plannen niet wordt gebruikt voor training, worden de interactielogs (metadata van wat je hebt geraadpleegd en wanneer) wel gegenereerd. Hanteer altijd het “Least Privilege”-principe bij het verlenen van toegang aan de AI tot je cloudopslag.
Aanbevelingen voor ChatGPT-dataprivacy 2026
- Vermijd PII in ChatGPT agent: Laat de agent geen schermen zien met bankgegevens of inloggegevens, aangezien screenshots 3 maanden worden bewaard.
- Monitor rechtszaken: Begrijp dat “verwijderde” gegevens nog steeds opvraagbaar kunnen zijn in rechtszaken zoals NYT v. OpenAI. Vanaf januari 2026 worden 20 miljoen bewaarde logs overhandigd aan eisers.
- Overweeg data-residentie: Gebruik OpenAI’s opties voor EU-dataresidentie om GDPR-overdrachtsrisico’s te beperken. Gesprekken uit de EER, Zwitserland en het VK waren uitgesloten van het NYT-bewaringsbevel.
- Voeg een lokale PII-redactielaag toe: Draai waar mogelijk Privacy Filter (of een gelijkwaardige on-device tool) over ongestructureerde inputs voordat ze een cloud AI-dienst bereiken, vooral voor support-, HR- en financiële workflows.
- Blijf op de hoogte van recente ontwikkelingen: Zorg ervoor dat jij en je team getraind zijn om ChatGPT veilig en beveiligd te gebruiken. Als je hierbij ondersteuning wilt, kun je onze ChatGPT Workshop bekijken.
| Niveau | Feature | Privacyvoordeel |
|---|---|---|
| Basis | Temporary Chat | Geen geschiedenis, geen training. |
| Geavanceerd | Privacy Filter (Nieuw!) | Lokale PII-redactie voor verzending. |
| Soeverein | AWS/Azure EKM | Intrekbare encryptiesleutels. |
| Ultra | Zero Data Retention (ZDR) | Geen gegevens naar schijf geschreven (alleen API). |
Hulp nodig bij het navigeren door het AI-privacy-landschap van 2026?
DataNorth biedt gespecialiseerde ChatGPT Assessments om ervoor te zorgen dat je organisatie voldoet aan de verplichtingen van de EU AI Act, terwijl je de kracht van de nieuwste GPT-5-modellen benut.
Veelgestelde vragen (FAQ)
Ik heb mijn ChatGPT-geschiedenis in juli 2025 verwijderd. Is deze echt voorgoed weg?
Waarschijnlijk niet. Hoewel OpenAI in oktober 2025 de standaard verwijderingsrechten herstelde, vielen gegevens die tussen april 2025 en september 2025 zijn gegenereerd of verwijderd onder een federaal bewaringsbevel in de rechtszaak New York Times v. OpenAI. Deze “Zombie Data” is gearchiveerd in een afzonderlijke juridische bewaring. In januari 2026 bevestigde een federale rechter dat 20 miljoen geanonimiseerde logs uit deze bewaarde set aan eisers moeten worden verstrekt voor analyse, wat betekent dat die gegevens niet alleen in opslag liggen, maar actief worden beoordeeld door externe partijen.
Ziet de ChatGPT agent-modus mijn scherm als ik deze niet gebruik?
De agent “ziet” alleen het specifieke browsertabblad dat hij bestuurt, maar hij maakt continu screenshots van dat tabblad om te kunnen functioneren. Cruciaal is dat deze screenshots 90 dagen worden bewaard voor misbruik controle. Dit is drie keer langer dan bij standaard tekstchats. Als je een gevoelig bankafschrift open hebt staan in hetzelfde tabblad dat de agent gebruikt, worden die visuele gegevens geregistreerd en drie maanden bewaard.
Kan OpenAI mijn Enterprise-gegevens lezen als de overheid dit eist?
Niet eenvoudig, als je gebruikmaakt van Enterprise Key Management (EKM). EKM, uitgerold in 2025, stelt je organisatie in staat om de encryptiesleutels voor je gegevens te beheren via AWS, Google Cloud of Azure. Als je deze sleutels intrekt, worden de gegevens op de servers van OpenAI onleesbare cryptografische ruis, zelfs voor de eigen technici van OpenAI. Let op dat EKM alleen beschikbaar is voor Enterprise- en Edu-workspaces, en OpenAI zelf raadt regelmatige intrekking van sleutels niet aan als operationele praktijk.
Wat is de OpenAI Privacy Filter en heb ik deze nodig?
Privacy Filter is een open-weight model met 1,5 miljard parameters, uitgebracht door OpenAI in april 2026, dat PII (namen, adressen, e-mails, telefoonnummers, URL’s, data, rekeningnummers en geheimen zoals API-keys) direct op je eigen apparaat detecteert en redigeert voordat tekst naar een cloud AI-dienst wordt verzonden. Het is gelicentieerd onder Apache 2.0, dus commercieel gebruik en fine-tuning zijn toegestaan. Je “hebt het nodig” als je organisatie regelmatig ongestructureerde tekst naar ChatGPT of andere cloud LLM’s stuurt en de persoonlijke gegevens die je netwerk verlaten wilt minimaliseren. Het is op zichzelf geen compliance-certificering en moet worden gecombineerd met beleid en menselijke controle voor domeinen met hoge belangen.
Als ik de ‘Deep Research’-tool op mijn Google Drive gebruik, traint deze dan op mijn bestanden?
Voor Enterprise- en Business-gebruikers wordt de inhoud van je bestanden niet gebruikt voor training. Er worden echter wel interactielogs (metadata) gegenereerd. OpenAI houdt bij welke bestanden wanneer zijn geraadpleegd om te controleren op misbruik. Hoewel je bedrijfsgeheimen privé blijven, wordt het “papieren spoor” van je onderzoek nog steeds gelogd.
Kan ik ChatGPT vragen om een specifiek feit over mij te ‘vergeten’?
Technisch gezien niet. Zoals benadrukt door de Autoriteit Persoonsgegevens (AP), kunnen LLM’s niet gemakkelijk een specifiek feit “vergeten” zonder een volledige hertraining van het model. Dit creëert een conflict met het “Recht op rectificatie” van de GDPR. Als ChatGPT onjuiste informatie over jou geeft, is je enige betrouwbare optie het verwijderen van de volledige gesprekgeschiedenis of het opt-outen van training voor toekomstige gegevens. Je kunt niet chirurgisch in het geheugen van het model snijden.
