Overslaan naar hoofdinhoud
OpenAI

Updated: 1 december 2025

OpenAI Addendum Gegevensverwerking

PDF downloaden(opent in een nieuw venster)

Van kracht vanaf: 1 januari 2026

(Bekijk eerder addendum gegevensverwerking)

Dit OpenAI Addendum Gegevensverwerking ('DPA') vormt een aanvulling op de OpenAI Dienstverleningsovereenkomst ('Overeenkomst') en maakt daar integraal deel van uit. De DPA regelt het gebruik van de Diensten en gaat in op de Ingangsdatum. De partijen bij dit DPA zijn de hierboven genoemde klant ('Klant') en OpenAI OpCo, LLC (namens zichzelf en haar Gelieerde Ondernemingen), tenzij de Klant gevestigd is in de Europese Economische Ruimte of Zwitserland. In dat geval wordt de DPA aangegaan met OpenAI Ireland Ltd. (namens zichzelf en haar Gelieerde Ondernemingen) ('OpenAI'). Termen met een hoofdletter die niet in het DPA worden gedefinieerd, hebben de betekenis zoals bepaald in de Overeenkomst. In deze Overeenkomst worden OpenAI en de Klant elk aangeduid als een 'Partij' en gezamenlijk als de 'Partijen'. De Klant verklaart dat hij wettelijk in staat is om deze Overeenkomst aan te gaan en, indien hij de Overeenkomst aangaat voor een entiteit, dat hij de wettelijke bevoegdheid heeft om die entiteit te binden. Door te klikken op 'Ik ga akkoord', het Bestelformulier te accepteren of de Diensten te gebruiken, gaat de Klant akkoord met deze Overeenkomst.

1. Details.

  • 1.1 Toepassingsgebieden en rollen. In het kader van de dienstverlening aan de Klant op grond van de Overeenkomst kan OpenAI namens de Klant Klantgegevens verwerken. OpenAI treedt hierbij op als Gegevensverwerker namens de Klant en dit DPA is leidend voor die Verwerking.
  • 1.2 Details van de verwerking. OpenAI verwerkt Klantgegevens uitsluitend om de Diensten aan de Klant te leveren, conform de afspraken in de Overeenkomst en dit DPA. De details over de aard en duur van de verwerking, de soorten Klantgegevens en de categorieën van Betrokkenen staan in Bijlage 1 (Details van de Verwerking) van dit DPA. OpenAI en de klant stemmen er beiden mee in om te voldoen aan hun respectievelijke verplichtingen op grond van de toepasselijke wetgeving in verband met de diensten.

2. Verplichtingen van OpenAI.

  • 2.1 Klantinstructies. De Partijen komen overeen dat dit DPA, de Overeenkomst (inclusief het Bestelformulier) en alle instructies die de Klant geeft via de configuratietools die OpenAI binnen de diensten beschikbaar stelt, gelden als de gedocumenteerde instructies van de Klant voor de verwerking van Klantgegevens ('Klantinstructies'). OpenAI verwerkt Klantgegevens uitsluitend in overeenstemming met de Klantinstructies, tenzij dit vereist is op grond van toepasselijke wetgeving die op OpenAI van toepassing is. In dat geval stelt OpenAI de Klant voorafgaand aan de verwerking op de hoogte van deze verplichting, tenzij dit wettelijk verboden is.
  • 2.2 Kennisgevingen aan de Klant. OpenAI stelt de Klant onmiddellijk schriftelijk op de hoogte als een Klantinstructie volgens OpenAI in strijd is met de Wetgeving inzake gegevensbescherming. Voor zover wettelijk toegestaan, informeert OpenAI de Klant als zij een wettelijk bindend verzoek ontvangt van een rechtshandhavingsinstantie om Klantgegevens vrij te geven.
  • 2.3 Vertrouwelijkheid. OpenAI waarborgt dat alle personen die door OpenAI gemachtigd zijn om Klantgegevens te verwerken, zich tot geheimhouding hebben verplicht of gebonden zijn aan een passende wettelijke geheimhoudingsplicht.
  • 2.4 Verzoeken van Betrokkenen. Voor zover wettelijk toegestaan, informeert OpenAI de Klant als zij een verzoek ontvangt om rechten van betrokkenen uit te oefenen op grond van de Wetgeving inzake gegevensbescherming ('Verzoek van Betrokkene') met betrekking tot Klantgegevens. OpenAI reageert niet op dergelijke verzoeken zonder voorafgaande schriftelijke toestemming van de Klant. Wel machtigt de Klant OpenAI om Verzoeken van Betrokkenen door te sturen, zodat de Klant rechtstreeks kan reageren. Gezien de aard van de verwerking helpt OpenAI de Klant, voor zover mogelijk, met passende technische en organisatorische maatregelen om te reageren op Verzoeken van Betrokkenen.
  • 2.5 Beveiliging. OpenAI implementeert en handhaaft redelijke en passende organisatorische en technische beveiligingsmaatregelen ter bescherming van Klantgegevens, zoals vastgelegd in de Overeenkomst.
  • 2.6 Ondersteuning aan de Klant. Rekening houdend met de aard van de verwerking en de informatie waarover zij beschikt, verleent OpenAI redelijke bijstand aan de Klant om deze te helpen voldoen aan zijn verplichtingen krachtens de Wetgeving inzake gegevensbescherming. Dit omvat, voor zover van toepassing, bijstand bij het uitvoeren van gegevensbeschermingseffectbeoordelingen met betrekking tot de verwerking van Klantgegevens door OpenAI en, indien vereist door de Wetgeving inzake gegevensbescherming, bij de raadpleging van de bevoegde toezichthoudende autoriteit door de Klant.
  • 2.7 Inbreuken op Persoonsgegevens. OpenAI stelt de Klant zonder onnodige vertraging op de hoogte zodra zij kennisneemt van een Inbreuk op Persoonsgegevens. OpenAI biedt redelijke ondersteuning aan de Klant om te voldoen aan de verplichtingen op grond van de Wetgeving inzake gegevensbescherming rondom dergelijke inbreuken.
  • 2.8 Controle op naleving. Op redelijk schriftelijk verzoek van de Klant en voor zover vereist door de Wetgeving inzake gegevensbescherming, zal OpenAI: (i) niet vaker dan eenmaal per jaar de Klant voorzien van OpenAI's privacy- en beveiligingsbeleid en andere informatie die nodig is om de naleving van OpenAI's verplichtingen op grond van dit DPA aan te tonen; en (ii) mits de Partijen een passende geheimhoudingsovereenkomst hebben gesloten, audits of inspecties door of namens de Klant toestaan en daaraan bijdragen, volledig op kosten van de Klant.  Een dergelijke audit of inspectie moet: (A) worden uitgevoerd op een manier die de bedrijfsactiviteiten van OpenAI zo min mogelijk verstoort; (B) noodzakelijk zijn om te bevestigen dat OpenAI Klantgegevens verwerkt in overeenstemming met dit DPA; en (C) niet vaker dan eenmaal per jaar plaatsvinden. Voor zover toegestaan door de Wetgeving inzake gegevensbescherming, mag OpenAI in plaats daarvan een samenvatting van de Auditrapporten die relevant zijn voor de naleving van dit DPA aan de Klant beschikbaar stellen. Dergelijke resultaten en documentatie, inclusief de resultaten van audits of inspecties, gelden als Vertrouwelijke Informatie van OpenAI.
  • 2.9 Inschakeling van Subverwerkers. De Klant geeft OpenAI hierbij algemene toestemming om de Subverwerkers, vermeld op de Lijst van Subverwerkers, in te schakelen voor de verwerking van Klantgegevens in het kader van de Diensten. OpenAI stelt de Klant op de hoogte van wijzigingen in de Lijst van Subverwerkers via een blogpost, een melding binnen de Diensten of andere redelijke middelen. Indien de Klant zich hiervoor heeft aangemeld op de pagina van de Lijst van Subverwerkers, gebeurt deze kennisgeving per e-mail. De Klant kan binnen 30 dagen na ontvangst van de kennisgeving bezwaar maken tegen het gebruik van een nieuwe Subverwerker. Dit kan via de instructies bij de Lijst van Subverwerkers of door contact op te nemen met privacy@openai.com. I In dat geval zoekt OpenAI samen met de Klant naar een oplossing en biedt zij commercieel redelijke alternatieven aan. Indien er naar het redelijke oordeel van OpenAI geen commercieel haalbaar alternatief is, of als de bezwaren niet binnen 30 dagen na ontvangst naar tevredenheid van beide Partijen zijn opgelost, heeft elk van de Partijen het recht om de Overeenkomst of de betreffende Bestelformulieren te beëindigen voor zover dit de Diensten betreft die niet zonder de nieuwe Subverwerker geleverd kunnen worden. In geval van een dergelijke beëindiging heeft de Klant recht op terugbetaling van eventuele vooruitbetaalde vergoedingen voor de resterende periode na beëindiging.
  • 2.10 Verplichtingen van Subverwerkers. OpenAI legt elke Subverwerker contractueel verplichtingen op die vergelijkbaar zijn met de verplichtingen van OpenAI krachtens dit DPA. Behoudens de aansprakelijkheidsbeperkingen in de Overeenkomst, blijft OpenAI krachtens dit DPA aansprakelijk voor het handelen en nalaten van haar Subverwerkers alsof zij deze handelingen of nalatigheden zelf had verricht.
  • 2.11 Teruggave of verwijdering van gegevens. Na afloop of beëindiging van de Overeenkomst zal OpenAI, op instructie van de Klant, de Klantgegevens retourneren of verwijderen (inclusief kopieën), tenzij het bewaren van Klantgegevens vereist is op grond van toepasselijke wetgeving. In dat geval zal OpenAI de gegevens isoleren en beschermen tegen verdere verwerking, behalve voor zover wettelijk vereist.

3. Verplichtingen van de Klant.

  • 3.1 Kennisgevingen en machtigingen. De Klant verklaart en garandeert dat hij alle benodigde kennisgevingen heeft gedaan en gedurende de Looptijd over alle vereiste rechten en toestemmingen beschikt, zoals vereist door de Wetgeving inzake gegevensbescherming, om de Klantgegevens aan OpenAI te verstrekken en de verwerking daarvan krachtens deze Overeenkomst (inclusief dit DPA) toe te staan.
  • 3.2 Samenwerking. c. De Klant verleent in redelijkheid medewerking om OpenAI te helpen bij het nakomen van diens verplichtingen onder de toepasselijke Wetgeving inzake gegevensbescherming.
  • 3.3 Configuraties. Onverminderd de beveiligingsverplichtingen van OpenAI in Sectie 2.5 van dit DPA, erkent de Klant zelf verantwoordelijk te zijn voor bepaalde configuraties en ontwerpbeslissingen voor de Diensten en voor de implementatie daarvan (zoals betaaltermijnen en verwijdering) in overeenstemming met de toepasselijke Wetgeving inzake gegevensbescherming.

4. Internationale gegevensdoorgiften.

  • 4.1 Gegevens uit de EER en Zwitserland. Klantgegevens die door OpenAI op grond van dit DPA worden verwerkt, kunnen vallen binnen het toepassingsgebied van de Wetgeving inzake gegevensbescherming van de Europese Economische Ruimte of Zwitserland ('Gegevens uit de EER en Zwitserland'). Ongeacht de toepasselijke contracterende Partij van OpenAI op grond van dit DPA, geeft de Klant hierbij OpenAI Ireland Limited de opdracht om eventuele Gegevens uit de EER en Zwitserland conform dit DPA te verwerken. Als OpenAI Ireland Limited Gegevens uit de EER en Zwitserland doorgeeft aan andere Gelieerde Ondernemingen van OpenAI of derden buiten de Europese Economische Ruimte of Zwitserland om de Diensten te leveren, vindt deze doorgifte plaats op basis van overeenkomsten met modelcontractbepalingen (SCC's), die passende waarborgen bieden voor de bescherming van Klantgegevens, of op basis van een adequaatheidsbesluit van de Europese Commissie overeenkomstig Artikel 45 van de AVG.
  • 4.2 VK-gegevens. Klantgegevens die door OpenAI op grond van deze Verwerkersovereenkomst worden verwerkt, kunnen vallen onder de reikwijdte van de Wetgeving inzake gegevensbescherming van het Verenigd Koninkrijk ('VK-gegevens'). Ongeacht wie de contractpartij van OpenAI is onder deze Verwerkersovereenkomst, geeft de Klant hierbij opdracht aan OpenAI OpCo, LLC om VK-gegevens te verwerken in overeenstemming met deze Verwerkersovereenkomst en de Modelcontractbepalingen (SCC's), zoals gewijzigd door het VK-addendum. Deze worden geacht te zijn aangegaan (en door middel van deze verwijzing in deze Verwerkersovereenkomst te zijn opgenomen) en te zijn ingevuld zoals beschreven in Bijlage 1.

5. Aanvullende vereisten.

Voor zover Amerikaanse privacywetgeving van toepassing is:

  • 5.1 OpenAI stemt ermee in om (a) de Klant geen geldelijke of andere op geld waardeerbare tegenprestatie te verstrekken in ruil voor Klantgegevens van de Klant. De Partijen erkennen en komen overeen dat de Klant geen Klantgegevens aan OpenAI heeft 'verkocht' (zoals gedefinieerd in de Amerikaanse privacywetgeving); (b) Persoonsgegevens niet te 'verkopen' (zoals gedefinieerd in de Amerikaanse privacywetgeving) of te 'delen' (zoals gedefinieerd in de CCPA); (c) voor zover de Klant aan OpenAI toestemming of opdracht geeft om Klantgegevens die onder de Amerikaanse privacywetgeving vallen te verwerken in een gede-identificeerde vorm als onderdeel van de Diensten, zal OpenAI: (i) redelijke maatregelen treffen om te voorkomen dat dergelijke gede-identificeerde gegevens worden gebruikt om informatie af te leiden over, of anderszins gekoppeld te worden aan, een specifieke natuurlijke persoon of huishouden; (ii) zich er publiekelijk toe verbinden om dergelijke gede-identificeerde gegevens in die vorm te bewaren en te gebruiken en niet te proberen de informatie te heridentificeren, tenzij dit is toegestaan op grond van de Amerikaanse privacywetgeving; en (iii) alvorens gede-identificeerde gegevens te delen met een andere partij, met inbegrip van Subverwerkers, dergelijke ontvangers contractueel verplichten te voldoen aan de vereisten van deze bepaling (c)(i)-(iii); en (d) wanneer de Klantgegevens onder de CCPA vallen: (i) Klantgegevens niet bewaren, gebruiken, verstrekken of anderszins verwerken, behalve voor zover noodzakelijk voor de zakelijke doeleinden die in de Overeenkomst zijn vastgelegd, met inbegrip van, maar niet beperkt tot, hetgeen is uiteengezet in Bijlage 1 bij deze Verwerkersovereenkomst; (ii) Klantgegevens niet bewaren, gebruiken, verstrekken of anderszins verwerken op een wijze die buiten de directe zakelijke relatie tussen OpenAI en de Klant valt; (iii) geen Klantgegevens combineren met Persoonsgegevens die OpenAI ontvangt van of namens een andere derde partij, of die OpenAI verzamelt via eigen interacties met individuen, met dien verstande dat OpenAI Klantgegevens op een dergelijke wijze mag combineren voor een doel dat is toegestaan op grond van de CCPA indien de Klant daartoe opdracht geeft of indien dit anderszins is toegestaan op grond van de CCPA; (iv) de Klant onverwijld in kennis stellen indien OpenAI vaststelt dat zij niet langer aan haar verplichtingen op grond van de CCPA kan voldoen; en (v) indien de Klant redelijkerwijs van mening is dat de Verwerking van Klantgegevens door OpenAI niet in overeenstemming is met de vereisten van de CCPA, en na redelijke kennisgeving daarvan door de Klant aan OpenAI, zullen de Partijen te goeder trouw samenwerken om de kwestie op te lossen. Indien de Klant na deze samenwerking redelijkerwijs vaststelt dat de kwestie niet kan worden opgelost, zal OpenAI de Verwerking van de betreffende Klantgegevens staken op schriftelijk verzoek van de Klant.
  • 5.2 De Klant stemt ermee in om geen enkele handeling te verrichten die ertoe zou leiden dat(i) de verstrekking van klantgegevens aan OpenAI wordt aangemerkt als een 'verkoop' op grond van de Amerikaanse privacywetgeving of een 'share' op grond van de CCPA (of gelijkwaardige begrippen op grond van de Amerikaanse privacywetgeving); of(ii) OpenAI niet langer kwalificeert als 'service provider' op grond van de CCPA of 'verwerker' op grond van de Amerikaanse privacywetgeving.

6. Definities.

'Klantgegevens' betekent Persoonsgegevens die door OpenAI namens de Klant worden verwerkt om de Diensten te leveren

'Verwerkingsverantwoordelijke' heeft de betekenis die aan de term 'verwerkingsverantwoordelijke' (of een andere soortgelijke term) is toegekend op grond van de Wetgeving inzake gegevensbescherming.

'Verwerker 'heeft de betekenis die aan de term 'verwerker' (of een andere soortgelijke term) is toegekend op grond van de Wetgeving inzake gegevensbescherming.

'Wetgeving voor gegevensbescherming' betekent wetten inzake gegevensprivacy en gegevensbescherming die van toepassing zijn op de verwerking van Klantgegevens door OpenAI in verband met de Diensten. 

'Betrokkene' heeft de betekenis die aan de term 'betrokkene' (of een andere soortgelijke term) is toegekend op grond van de Wetgeving inzake gegevensbescherming.

'AVG' betekent Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016

'Persoonsgegevens' heeft de betekenis die aan de term 'persoonsgegevens' of 'persoonlijke informatie' (of een andere soortgelijke term) is toegekend op grond van de Wetgeving inzake gegevensbescherming.

'Inbreuk op persoonsgegevens' betekent een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot Klantgegevens die zijn opgeslagen, doorgegeven of anderszins verwerkt door OpenAI, diens Subverwerkers of andere derden die namens OpenAI handelen, hetzij per ongeluk, hetzij op onrechtmatige wijze.

'Verwerking' heeft de betekenis die aan de term 'verwerking' (of een andere soortgelijke term) is toegekend op grond van de Wetgeving inzake gegevensbescherming.

'SCCs' betekent de standaardcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen, aangenomen door de Europese Commissie op 4 juni 2021 (zoals van tijd tot tijd gewijzigd, bijgewerkt of vervangen).

'Subverwerkers' betekent de subverwerkers die door OpenAI zijn ingeschakeld om Klantgegevens te verwerken in verband met de Diensten en die zijn vermeld in de Lijst met Subverwerkers.

'Lijst met subverwerkers' betekent de lijst die beschikbaar is op het volgende adres: https://platform.openai.com/subprocessors(opent in een nieuw venster).

'VK-addendum' betekent het VK-addendum bij de EU SCC's, uitgegeven door de Information Commissioner op grond van sectie 119A(1) van de Data Protection Act 2018.

'Amerikaanse privacywetgeving' betekent de subset van Wetgeving inzake gegevensbescherming die van toepassing is op inwoners van de Verenigde Staten, waaronder de California Consumer Privacy Act ('CCPA')

Bijlage 1

Details van de verwerking

1. Aard en doel:

De uitvoering van de Diensten op grond van de Overeenkomst.

2. Duur:

De Looptijd en de tijd die daarna nodig is voor de Partijen om hun toepasselijke verplichtingen na afloop van de Looptijd na te komen, waaronder gegevensverwijdering.

3. Categorieën van klantgegevens:

De Klant kan Persoonsgegevens indienen bij de Diensten. De categorieën hiervan zijn afhankelijk van het gebruik van de Diensten door de Klant, wat naar eigen goeddunken door de Klant wordt bepaald en beheerd, en kunnen onder meer bestaan uit namen, contactgegevens, demografische gegevens of enige andere informatie die door de Eindgebruikers van de Klant in de vorm van ongestructureerde data wordt verstrekt.

4. Categorieën van betrokkenen:

De betrokkenen kunnen onder andere bestaan uit werknemers, klanten, leveranciers en in het algemeen Eindgebruikers van de Klant.

5. Doorgegeven gevoelige gegevens (indien van toepassing):

Gevoelige gegevens die worden overgedragen (indien van toepassing) en toegepaste beperkingen of beveiligingsmaatregelen waarbij volledig rekening wordt gehouden met de aard van de gegevens en de risico's die daarbij horen, zoals bijvoorbeeld een strikte beperking van het doel, toegangsbeperkingen (waaronder alleen toegang voor personeel dat een gespecialiseerde training heeft gevolgd), het bijhouden van een toegangsoverzicht tot de gegevens, beperkingen voor verdere overdracht of aanvullende beveiligingsmaatregelen.

Er worden geen gevoelige gegevens overgedragen, tenzij de gebruiker ze onverwacht opneemt in de vorm van ongestructureerde gegevens

6. Frequentie:

De frequentie van het overdragen (bijv. of de gegevens eenmalig of continu worden overgedragen).

Op doorlopende basis, afhankelijk van het gebruik van de Diensten door de Klant

7. Doorgifte aan subverwerkers:

Conform Artikel 2.9 van het DPA zullen Subverwerkers Klantgegevens verwerken voor zover nodig om de Diensten uit te voeren. Een dergelijke verwerking geldt voor de duur van de Overeenkomst, tenzij schriftelijk anders overeengekomen.

8. Informatie over de SCC's voor de doorgifte van VK-gegevens volgens Sectie 4.2:

  • 8.1 Module twee (Verwerkingsverantwoordelijke naar Verwerker) van de SCC's is van toepassing wanneer de Klant een Verwerkingsverantwoordelijke is en OpenAI de Klantgegevens verwerkt als Verwerker. Module drie (Verwerker naar Subverwerker) van de SCC's is van toepassing wanneer de Klant een Verwerker is en OpenAI Klantgegevens verwerkt als Subverwerker.
  • 8.2 Voor elke module van de SCC's geldt het volgende, waar van toepassing: (i) De optionele dockingclausule in Clausule 7 is niet van toepassing; (ii) In Clausule 9 is Optie 2 (algemene schriftelijke toestemming) van toepassing, en de minimale termijn voor voorafgaande kennisgeving van wijzigingen in subverwerkers is zoals uiteengezet in Sectie 2.9 van het DPA; (iii) In Clausule 11 is de optionele tekst niet van toepassing; (iv) Alle vierkante haken in Clausule 13 worden hierbij verwijderd; (v) In Clausule 17 (Optie 1) worden de SCC's beheerst door het recht van Engeland en Wales; (vi) In Clausule 18(b) worden geschillen beslecht voor de rechtbanken van Engeland en Wales; (vii) Deze Bijlage 1 bevat de informatie vereist in Annex I en Annex III van de SCC's; (viii) Sectie 2.5 (Beveiliging) van het DPA bevat de informatie vereist in Annex II van de SCC's, (ix) de bevoegde toezichthoudende autoriteit is de Information Commissioner's Office ('ICO').
  • 8.3 Gegevensexporteur(s): de Klant op grond van de Overeenkomst; Gegevensimporteur(s): OpenAI OpCo, LLC, 1455 3rd Street, San Francisco, CA 94158, Functionaris Gegevensbescherming, privacy@openai.com.

Overeenkomst voor gegevensverwerking uitvoeren(opent in een nieuw venster)