Ga naar hoofdinhoud
WAIMAKERS
Over onsCarrièresContact
|
Plan een gesprek
Terug naar overzicht

Grok (xAI)

xAI

Not CompliantEU: Not AvailableOpt-out Available30-day deletion window (consumer); custom (Business/Enterprise)US Only

Statusbadges zijn voorwaardelijk: valideer het exacte abonnement, DPA, subprocessors, bewaartermijn, dataresidentie en feature-instellingen voordat u de tool gebruikt met persoonsgegevens of vertrouwelijke data.

Prijs / Contractroute

USD pricing; verify current business/API terms

Enterprise Functies

Business/API documentation exists, but EU procurement posture remains high risk

Laatst bijgewerkt

June 23, 2026

Grok (xAI) - GDPR & Gegevensprivacy Overzicht (EU)

Versie: juni 2026 - opgesteld door WAIMAKERS B.V.

🚨 Samenvatting: NIET AANBEVOLEN voor EU-Klanten

Grok is een AI-chatbot en API ontwikkeld door xAI (X.AI LLC), een Amerikaans bedrijf opgericht door Elon Musk. Grok is beschikbaar via meerdere kanalen: het X-platform (voorheen Twitter), standalone web-/mobiele apps (grok.com) en een API voor ontwikkelaars.

🚨 KRITIEK: Grok staat momenteel onder een ACTIEF GDPR-onderzoek van de Ierse Data Protection Commission (DPC) en heeft ernstige complianceproblemen voor Europese klanten:

  • 🚨 5+ ACTIEVE ONDERZOEKEN per juni 2026: (1) Ierse DPC trainingsonderzoek (gestart apr. 2025), (2) Ierse DPC deepfake-onderzoek (geopend 16-17 feb. 2026), (3) Europese Commissie DSA-procedure (januari 2026), (4) VK ICO formeel onderzoek (aangekondigd 3 feb. 2026) - mogelijke boete van GBP 17,5 miljoen of 4% jaaromzet, (5) VK Ofcom-onderzoek (gestart 12 jan. 2026) - mogelijke platformblokkering of boete van miljoenen pond[1][2][3]
  • 🚨 Aanvullende nationale onderzoeken: Spanje, Frankrijk, India, Indonesië, Maleisië, Canada, Brazilië en Californië onderzoeken ook xAI/Grok-praktijken
  • 🚨 EC opende een nieuw Grok DSA-onderzoek (aangekondigd 26 januari 2026); een afzonderlijke EC-bewaringsorder (17 januari 2025) verplicht X interne documenten over zijn aanbevelingsalgoritmen te bewaren tot en met 31 december 2025; Franse autoriteiten doorzochten X's Paris-locatie op 3 februari 2026 in een strafrechtelijk onderzoek dat in januari 2025 was geopend
  • 🚨 Deepfake-beeldschandaal (dec. 2025–feb. 2026): Grok's beeldbewerkingsfunctie (Grok Imagine) werd gelanceerd in aug. 2025, en grootschalig misbruik om echte foto's te "ontkleden" dook op eind dec. 2025; het Centre for Countering Digital Hate documenteerde circa 3 miljoen geseksualiseerde afbeeldingen in 11 dagen; dit leidde tot een kennisgeving uit India (3 jan.), uitbreiding van het Franse strafrechtelijk onderzoek naar Grok (begin jan.), bewaringsorder EC (8 jan.), tijdelijke blokkering Indonesië (10 jan.), beperking door X van bewerking van echte personen (14 jan.), VK ICO-onderzoek (3 feb.), Iers DPC grootschalig GDPR-onderzoek (16-17 feb.)
  • 🚨 September 2024: Ierse DPC daagde X voor de High Court; X stemde ermee in permanent te stoppen met het verwerken van EU/EEA-openbare berichten van het X-platform voor Grok-training[4][5]
  • 🚨 xAI fuseerde met X Corp (maart 2025, ~$110 miljard waardering): Alle X-gebruikersgegevens vallen nu onder het gegevensregime van xAI
  • ❌ Uitsluitend VS-infrastructuur: Alle gegevens verwerkt in Memphis, Tennessee (geen EU-gegevensvestiging)[6][7]
  • ❌ Amerikaans bedrijf: X.AI LLC gevestigd in Nevada, VS (niet onderworpen aan EU-jurisdictie)[8]
  • ⚠️ Training standaard = OPT-IN: Gebruikers moeten actief opt-out kiezen om training te voorkomen (tegengesteld aan GDPR-conforme aanpak)[9]
  • ⚠️ Memory-functie NIET beschikbaar in EU/VK: Grok's nieuwe memory-functie (april 2025) expliciet geblokkeerd in Europa[10][11]
  • ⚠️ Enterprise Vault gelanceerd: Geïsoleerd datavlak met door klanten beheerde versleuteling - maar uitsluitend VS-gehost; lost EU-jurisdictieproblemen niet op
  • ⚠️ Oracle Cloud-partnerschap (juni 2025) voor Enterprise, maar geen EU-specifieke implementatie bevestigd[12]

Aanbeveling: GEBRUIK GROK NIET voor de verwerking van EU-persoonsgegevens of GDPR-gereguleerde informatie. Het actieve onderzoek, de uitsluitend VS-infrastructuur en de geschiedenis van niet-naleving maken Grok ongeschikt voor Europees zakelijk gebruik.

Vergelijking van Grok-Aanbiedingen (EU-focus)

Abonnement Training op gegevens? EU-gegevensvestiging Onderzoeksstatus Compliance Prijs (USD)
Free (X-platform) ❌ Verboden: X stopte permanent met training op EU-berichten (gerechtelijk bevel sept. 2024) ❌ Uitsluitend VS (Memphis) 🚨 Onder onderzoek GDPR: Niet-conform $0
X Premium/Premium+ ❌ Verboden: X stopte permanent met training op EU-berichten ❌ Uitsluitend VS 🚨 Onder onderzoek GDPR: Niet-conform $8-40/maand
SuperGrok (consument) ⚠️ Ja (tenzij opt-out) ❌ Uitsluitend VS 🚨 5+ actieve onderzoeken GDPR: Niet-conform $30/maand
SuperGrok Heavy ⚠️ Ja (tenzij opt-out) ❌ Uitsluitend VS 🚨 5+ actieve onderzoeken GDPR: Niet-conform $300/maand
X Premium ⚠️ Verboden voor EU-berichten (gerechtelijk bevel) ❌ Uitsluitend VS 🚨 5+ actieve onderzoeken GDPR: Niet-conform $8/maand
X Premium+ ⚠️ Verboden voor EU-berichten (gerechtelijk bevel) ❌ Uitsluitend VS 🚨 5+ actieve onderzoeken GDPR: Niet-conform $40/maand
Grok Business ⚠️ Beweert "geen training" - ONVERIFIEERBAAR tijdens actieve onderzoeken ❌ Uitsluitend VS 🚨 5+ actieve onderzoeken SOC 2 Type II; GDPR: Niet-conform $30/seat/maand (dec. 2025)
API (Enterprise) ⚠️ Beweert "geen training op klantgegevens" - ONVERIFIEERBAAR ❌ Uitsluitend VS 🚨 5+ actieve onderzoeken DPA beschikbaar, SOC 2 Type II; GDPR: Niet-conform Pay-per-token (~$3/M)

Aandachtspunten voor Europa

🚨 5+ Actieve Onderzoeken (per juni 2026):

  1. Ierse DPC - Grok-trainingsonderzoek (gestart apr. 2025): Onderzoek naar rechtmatigheid en transparantie van de verwerking van EU/EEA-persoonsgegevens voor AI-training. Status: Lopend.[2][13]
  2. Ierse DPC - Deepfake-onderzoek (geopend 16-17 feb. 2026): Grootschalig GDPR-onderzoek naar Grok's deepfake-generatiemogelijkheden en naleving van toepasselijke regels, uitgelokt door het beeldschandaal van december 2025.
  3. Europese Commissie - DSA-procedure (aangekondigd 26 januari 2026): EC opende een nieuw Digital Services Act-onderzoek naar de manier waarop Grok's functionaliteiten in de EU in X werden uitgerold (persbericht IP/26/203). Daarnaast verplicht de eerdere DSA-bewaringsorder van de EC (17 januari 2025) X om interne documenten over wijzigingen in het ontwerp en de werking van zijn aanbevelingsalgoritmen te bewaren voor de periode 17 januari 2025 tot en met 31 december 2025.
  4. VK ICO-onderzoek (aangekondigd 3 feb. 2026): Formeel onderzoek naar XIUC en X.AI LLC over Grok deepfake-beeldgeneratie; mogelijke boete van GBP 17,5 miljoen of 4% van de jaarlijkse wereldwijde omzet.
  5. VK Ofcom-onderzoek (gestart 12 jan. 2026): Regulerend onderzoek naar Grok op het X-platform; mogelijke sancties omvatten een platformblokkering of boete van miljoenen pond.

Aanvullende nationale onderzoeken: Spanje, Frankrijk, India, Indonesië, Maleisië, Canada, Brazilië en Californië onderzoeken ook xAI/Grok-praktijken. Het Franse strafrechtelijk onderzoek werd in januari 2025 geopend door de Parijse cybercrime-eenheid (naar aanleiding van twee meldingen ontvangen op 12 januari 2025) en later uitgebreid naar Grok-deepfakes/negationistische inhoud; Franse autoriteiten doorzochten X's Franse locatie op 3 februari 2026.

xAI-fusie met X Corp (maart 2025):

  • xAI en X Corp fuseerden formeel bij een gecombineerde waardering van circa $110 miljard
  • Alle X-gebruikersgegevens vallen nu onder het gegevensregime van xAI, wat de trainingsgegevensbasis van xAI aanzienlijk vergroot
  • Deze fusie is direct relevant voor de reikwijdte van de lopende GDPR-onderzoeken

Gerechtelijk Bevel September 2024:

  • Ierse DPC verkreeg een High Court-injunctie (8 augustus 2024) om X te verplichten de verwerking van EU-gegevens te staken[4]
  • X stemde permanent in met het staken van het gebruik van openbare EU/EEA-berichten van het X-platform voor Grok-training[4][14]
  • Dit verbod geldt UITSLUITEND voor X-platformberichten, NIET voor andere Grok-diensten (grok.com, API)[5]

Infrastructuur: 100% VS-gebaseerd:

  • Colossus-datacenter in Memphis, Tennessee (aanvankelijk ~200.000 NVIDIA GPU's voor Grok 3; sindsdien uitgebreid tot ongeveer 555.000 gemengde NVIDIA GPU's per begin 2026)[6][15]
  • Oracle Cloud-partnerschap aangekondigd juni 2025, maar geen EU-specifieke implementatie[12][16]
  • GEEN EU-gegevensvestiging op xAI's eigen first-party diensten (grok.com, X, xAI API). Let op: Grok-modellen zijn afzonderlijk beschikbaar met EU-gegevensvestiging via Microsoft Azure AI Foundry (EU-regio's / Azure EU Data Zone), wat een door Microsoft gehost en door Microsoft beheerd implementatiepad is, geen first-party infrastructuur van xAI

Trainingsbeleid:

  • Consument (grok.com, X Premium): Standaard = training INGESCHAKELD; gebruikers moeten handmatig opt-out kiezen[9]
  • X-platform EU-gebruikers: Training VERBODEN (permanent gerechtelijk bevel)[4]
  • Enterprise API: xAI beweert "geen training op klantgegevens"[8]
  • Werkelijkheid: Opt-out-verantwoordelijkheid bij gebruikers = GDPR-niet-conform

Memory-functie geblokkeerd in EU: Grok's nieuwe memory-functie (gelanceerd april 2025) is NIET beschikbaar in de EU of het VK[10][11] - waarschijnlijk vanwege GDPR-bezwaren

Enterprise Vault:

  • Geïsoleerd datavlak met door klanten beheerde versleuteling
  • Vermarkt als verbeterde gegevensbeveiliging voor Enterprise-klanten
  • Kritieke beperking: Nog steeds uitsluitend VS-gehost; lost EU-jurisdictieproblemen, actieve onderzoeken of het gebrek aan EU-gegevensvestiging niet op

Prijsstelling: Alle prijzen in USD (geen EUR-prijsstelling):[17][18]

  • Free: $0 (10 zoekopdrachten per 2 uur)
  • SuperGrok: $30/maand
  • SuperGrok Heavy: $300/maand
  • X Premium: $8/maand (beperkte Grok-toegang)
  • X Premium+: $40/maand (hogere Grok-limieten)
  • Grok Business: $30/seat/maand (gelanceerd december 2025)
  • Grok Enterprise: Aangepaste prijsstelling
  • API: ~$3-5 per miljoen tokens, afhankelijk van het model

Is Grok GDPR-Conform?

Kort antwoord: NEE. Grok is NIET GDPR-conform en staat momenteel onder een actief regelgevend onderzoek door de Ierse Data Protection Commission.

Waarom Grok GDPR-Compliance Niet Haalt

1. Meerdere Actieve Regelgevende Onderzoeken

  • Ierse DPC: 2 actieve onderzoeken (training, gestart apr. 2025; deepfakes, geopend 16-17 feb. 2026)[2][1]
  • Europese Commissie: nieuw DSA-onderzoek naar de uitrol van Grok in X geopend januari 2026 (IP/26/203); afzonderlijke eerdere bewaringsorder (17 jan. 2025) over aanbevelingssysteemrecords; Franse autoriteiten doorzochten X Paris-kantoren
  • VK ICO: Formeel onderzoek (3 feb. 2026) naar XIUC en X.AI LLC; mogelijke boete GBP 17,5 miljoen of 4% jaaromzet
  • VK Ofcom: Onderzoek gestart 12 jan. 2026; mogelijke platformblokkering of boete van miljoenen pond
  • Spanje, Frankrijk (inclusief strafrechtelijk onderzoek geopend jan. 2025, uitgebreid naar Grok begin 2026), India, Indonesië, Maleisië, Canada, Brazilië, Californië: Aanvullende nationale onderzoeken lopend
  • Eerder gerechtelijk bevel (sept. 2024) vereiste permanent verbod op training met EU X-berichten[4]

2. Geen EU-Gegevensvestiging

  • Alle gegevens verwerkt in de VS (Memphis, Tennessee)[6]
  • Geen mogelijkheid om verwerking te beperken tot de EU
  • Oracle Cloud-partnerschap biedt GEEN EU-specifieke implementatie[12]

3. Training Standaard Opt-In

  • Consumentendiensten hebben standaard training INGESCHAKELD[9]
  • Schendt GDPR-vereiste voor opt-IN-toestemming voor niet-essentiële verwerking
  • Verantwoordelijkheid bij gebruikers om trainingsinstelling te ontdekken en uit te schakelen

4. Amerikaans Bedrijf, Amerikaanse Jurisdictie

  • X.AI LLC gevestigd in Nevada, VS[8]
  • Onderworpen aan VS-wetgeving (CLOUD Act, FISA 702)
  • Geen praktisch handhavingsmechanisme voor EU-betrokkenen

5. Beperkte Transparantie

  • Retentieperioden niet duidelijk gedocumenteerd
  • Sub-verwerkers worden openbaar vermeld (https://x.ai/legal/subprocessor-list) en zijn overwegend in de VS gevestigd
  • Openbaar beveiligings-/privacyportaal bestaat (x.ai/security, x.ai/privacy-portal), maar het volledige SOC 2-rapport en gedetailleerde compliance-documentatie blijven achter een salescontact

Wat Grok Wel Heeft (Onvoldoende voor GDPR)

  • ✅ DPA beschikbaar voor Enterprise-klanten (huidige versie van kracht per 9 juni 2025)[19]
  • ✅ Europe Privacy Policy Addendum (april 2025)[20]
  • ✅ SOC 2 Type II vermeld voor Grok Business/Enterprise (volledig rapport niet openbaar te downloaden)[21]
  • ⚠️ Opt-out-mechanisme bestaat (maar inadequaat onder GDPR)
  • ⚠️ Geen ISO 27001-certificering vermeld

Consument Grok (grok.com, X Premium)

Wat het is: ChatGPT-stijl conversationele AI toegankelijk via:

  • Grok.com-website
  • Grok mobiele apps (iOS/Android)
  • X-platform (Premium/Premium+-abonnees)

Trainingsbeleid: Standaard gebruikt xAI uw invoer, uitvoer en gebruiksgegevens om Grok-modellen te verbeteren. U kunt opt-out kiezen in de instellingen.[9]

⚠️ X-platform EU-uitzondering: Vanwege het gerechtelijk bevel van september 2024 heeft X permanent gestopt met het verwerken van EU/EEA-openbare berichten voor Grok-training.[4] Dit geldt UITSLUITEND voor het X-platform, niet voor grok.com of mobiele apps.

Memory-functie: Gelanceerd in april 2025, kan Grok eerdere gesprekken onthouden om reacties te personaliseren. NIET beschikbaar in de EU of het VK.[10][11]

Gegevenslocatie: Memphis, Tennessee, VS (Colossus-datacenter)[6]

Retentie: Accountgegevens worden bewaard zolang het account actief is; verwijderde gesprekken en Private Chat-gesprekken worden binnen 30 dagen uit de systemen van xAI verwijderd (behoudens uitzonderingen voor veiligheid/beveiliging/wettelijke verplichtingen), maar xAI noemt geen vaste bewaartermijn voor behouden actieve-accountgegevens.[9]

Opt-out-procedure:

  • Grok.com/mobiele apps: Instellingen → Gegevens & Privacy → Training uitschakelen
  • X-platform: Instellingen → Privacy & Veiligheid → Grok → Vink "Sta training toe" uit

Prijsstelling:[17]

  • Free: $0 (10 zoekopdrachten per 2 uur)
  • SuperGrok: $30/maand
  • SuperGrok Heavy: $300/maand
  • X Premium: $8/maand (beperkte Grok-toegang)
  • X Premium+: $40/maand (hogere Grok-limieten)

Wanneer te gebruiken: Uitsluitend voor persoonlijk experimenteren met niet-gevoelige, niet-EU-gegevens.

Wanneer NIET te gebruiken: Alle EU-persoonsgegevens, klantgegevens, GDPR-gereguleerde informatie, zakelijk gebruik.

Grok Business & Enterprise

Wat het is: Commerciële aanbiedingen voor teams en organisaties:

  • Grok Business: $30/seat/maand, ontworpen voor kleine tot middelgrote teams[21]
  • Grok Enterprise: Aangepaste prijsstelling, enterprise-grade controles[21]
  • API: Ontwikkelaarstoegang voor aangepaste integraties[8]

Trainingsbeleid: xAI beweert "geen training op uw gegevens" voor Business/Enterprise.[21][8]

⚠️ Verificatieprobleem: Deze bewering is moeilijk te verifiëren gezien:

  • Actief GDPR-onderzoek naar trainingspraktijken
  • Geschiedenis van niet-naleving (gerechtelijk bevel sept. 2024)
  • Geen openbare auditrapporten of verificatie door derden

Gegevenslocatie: Uitsluitend VS (Memphis + Oracle Cloud)[6][12]

Compliance:[21]

  • SOC 2 Type II (rapport niet openbaar beschikbaar)
  • GDPR & CCPA-compliance (eigen verklaring, staat onder onderzoek)
  • Gegevensversleuteling in rust en in transit
  • Geen ISO 27001-certificering vermeld

DPA: Beschikbaar voor Enterprise-klanten (laatst bijgewerkt op 9 juni 2025)[19]

  • Bevat Standard Contractual Clauses voor EU-gegevensoverdrachten
  • Definieert xAI als "verwerker" voor klantgegevens
  • Echter: DPA lost de problemen met VS-jurisdictie of infrastructuur NIET op

Connectors: Integratie met Google Drive, SharePoint, GitHub, Dropbox (eigen verklaring)[21]

Wanneer te gebruiken: ❌ NIET aanbevolen voor EU-klanten vanwege actief onderzoek en uitsluitend VS-infrastructuur.

Wanneer NIET te gebruiken: Elk GDPR-gereguleerd gebruik, EU-persoonsgegevens, sterk gereguleerde sectoren (financiële dienstverlening, gezondheidszorg, overheid).

API-Toegang

Wat het is: Ontwikkelaars-API voor het integreren van Grok-modellen in applicaties.[8]

Beschikbare modellen (per okt. 2025):[22]

  • Grok 4, Grok 4 Fast
  • Grok 3, Grok 3 Fast
  • Prijsstelling: per token, gesplitst input/output, varieert per model (bijv. Grok 4 ~$3 input / $15 output per miljoen tokens)

Trainingsbeleid: xAI stelt dat klantgegevens ingediend via API "niet worden gebruikt voor het trainen of verbeteren van modellen."[8]

Retentie: xAI's ontwikkelaarsdocumentatie stelt dat API-verzoeken en -reacties tijdelijk 30 dagen worden bewaard voor het auditen van mogelijk misbruik/oneigenlijk gebruik en daarna automatisch worden verwijderd; een enterprise Zero Data Retention (ZDR)-optie bewaart helemaal geen API-verzoek-/reactiegegevens.[8]

Gegevenslocatie: VS (Memphis, Tennessee + Oracle Cloud)[6][12]

Voorwaarden: Enterprise-gebruiksvoorwaarden + DPA[23][19]

Wanneer te gebruiken: ❌ NIET aanbevolen voor EU-klanten vanwege uitsluitend VS-infrastructuur en actief GDPR-onderzoek.

Gegevensverwerkingsstroom

Consument Grok (grok.com, mobiele apps)

Gebruiker dient prompt in
  ↓
xAI-servers (Memphis, Tennessee, VS)
  ├─ Verwerkt door Grok-model (Grok 3/4)
  ├─ Reactie gegenereerd
  └─ Gegevens opgeslagen:
      ├─ Gespreksgeschiedenis (onbepaald, totdat gebruiker verwijdert)
      ├─ Memory (indien ingeschakeld; NIET beschikbaar in EU/VK)
      └─ Trainingsgegevens (standaard INGESCHAKELD; gebruiker kan opt-out kiezen)

Gegevens verlaten de VS nooit
Geen EU-gegevensvestigingsoptie

X-Platform (EU-gebruikers)

EU-gebruiker plaatst bericht op X
  ↓
X-servers
  ├─ Openbare berichten opgeslagen op X-platform
  └─ 🚨 VERBODEN voor Grok-training (gerechtelijk bevel sept. 2024)
      ↓
      Gegevens NIET gedeeld met xAI voor Grok-training
      (Permanent gerechtelijk bevel)

Let op: Verbod geldt UITSLUITEND voor X-platformberichten,
NIET voor direct gebruik van [Grok.com/API](http://Grok.com/API)

Enterprise API

API-verzoek vanuit klantapplicatie
  ↓
xAI-servers (Memphis + Oracle Cloud, uitsluitend VS)
  ├─ Verwerkt door geselecteerd Grok-model
  ├─ Reactie teruggestuurd naar klant
  └─ Gegevensverwerking:
      ├─ Bewering: "Niet gebruikt voor training"
      ├─ Retentie: 30 dagen, daarna automatisch verwijderd (0 met enterprise ZDR)
      └─ Locatie: Uitsluitend VS (geen EU-optie)

⚠️ Ondanks DPA en geen-training-bewering
zijn gegevens nog steeds onderworpen aan:
  - VS-jurisdictie (CLOUD Act)
  - Actief GDPR-onderzoek
  - Uitsluitend VS-infrastructuur

Aanbevelingen (GDPR-first)

❌ NIET gebruiken voor EU-klanten

  • Elke Grok-aanbieding (consument, business, enterprise, API) voor EU-persoonsgegevens
  • Elk GDPR-gereguleerd gebruik (HR-gegevens, klantgegevens, patiëntgegevens, financiële gegevens)
  • Overheid of sterk gereguleerde sectoren in de EU

🚨 Actieve risico's

  • Regelgevingsrisico: Actief GDPR-onderzoek; potentiële boetes voor klanten die Grok gebruiken
  • Juridisch risico: DPA en SCCs onvoldoende gezien VS-jurisdictie en onderzoek
  • Reputatierisico: Associatie met platform onder regelgevend toezicht
  • Gegevenssoevereiniteitsrisico: Geen EU-infrastructuur of -gegevensvestiging

✅ Alternatieve oplossingen voor EU-klanten

  • EU-gebaseerde aanbieders: Mistral AI (Frans), Aleph Alpha (Duits)
  • EU-gegevensvestigingsopties: OpenAI (Azure EU), Anthropic Claude (GCP EU-regio's), Google Gemini (EU-regio's)
  • Self-hosted: Llama 3, Mistral open modellen op EU-infrastructuur

EU-Implementatiechecklist (Praktisch)

⚠️ AANBEVELING: GA NIET door met Grok-implementatie voor EU-toepassingen.

Als uw organisatie Grok overweegt ondanks de waarschuwingen:

1. Juridische Beoordeling (VERPLICHT)

  • ✅ Raadpleeg EU-gegevensbeschermingsjuristen
  • ✅ Voer een Data Protection Impact Assessment (DPIA) uit
  • ✅ Documenteer rechtsgrondslag voor VS-gegevensoverdrachten
  • ✅ Beoordeel het risico op regelgevingsmaatregelen gezien het actieve onderzoek
  • ✅ Bereid u voor op mogelijke vragen van de DPC

2. Due Diligence

  • ✅ Vraag het SOC 2-rapport op en beoordeel het (niet openbaar beschikbaar)
  • ✅ Beoordeel DPA en Enterprise-voorwaarden grondig
  • ✅ Verifieer "geen training"-bewering bij xAI (vraag contractuele garanties)
  • ✅ Vraag retentiebeleidsdocumentatie op (niet in openbare FAQ's)
  • ✅ Begrijp de beperkingen van Standard Contractual Clauses gezien de VS-locatie

3. Dataminimalisatie

  • ✅ Verwijder alle EU-persoonsgegevens vóór indiening bij Grok
  • ✅ Gebruik pseudonimiserings-/anonimiseringstechnieken
  • ✅ Implementeer een gegevensfilterlaag om PII te blokkeren
  • ✅ Beheer auditlogs van alle gegevens die naar Grok worden gestuurd

4. Beheer van Betrokkenenrechten

  • ✅ Documenteer hoe GDPR-inzageverzoeken worden behandeld
  • ✅ Stel een proces in voor verzoeken tot gegevensverwijdering
  • ✅ Verduidelijk de verantwoordelijkheden van verwerkingsverantwoordelijke versus verwerker
  • ✅ Bereid u voor op verzoeken tot bezwaar

5. Monitoring

  • ✅ Volg de ontwikkelingen van het GDPR-onderzoek
  • ✅ Houd nieuwe gerechtelijke bevelen of regelgevingsmaatregelen bij
  • ✅ Beoordeel xAI-privacybeleidupdates (frequente wijzigingen)
  • ✅ Beoordeel per kwartaal of voortgezet gebruik gerechtvaardigd is

6. Transparantie

  • ✅ Vermeld Grok-gebruik in privacyverklaringen
  • ✅ Informeer betrokkenen over VS-gegevensoverdrachten
  • ✅ Bied een opt-out-mechanisme voor Grok-verwerking
  • ✅ Documenteer in verwerkingsregisters (Artikel 30)

Inkoopvragen & Antwoorden

V: Is xAI een VS- of EU-bedrijf?

A: Amerikaans bedrijf. X.AI LLC is opgericht in Nevada, VS.[8] Het bedrijf is niet onderworpen aan EU-jurisdictie en heeft zijn hoofdkantoor in de Verenigde Staten.

V: Waar worden Grok-gegevens opgeslagen en verwerkt?

A: 100% VS. De primaire infrastructuur is het Colossus-datacenter in Memphis, Tennessee (200.000 NVIDIA H100 GPU's).[6][7] Oracle Cloud-partnerschap aangekondigd in juni 2025, maar geen EU-specifieke implementatie bevestigd.[12] Er is GEEN EU-gegevensvestigingsoptie.

V: Wat is de status van de GDPR-onderzoeken?

A: Snel escaleert - 5+ actieve onderzoeken per maart 2026:

  1. Ierse DPC trainingsonderzoek (gestart apr. 2025) - onderzoek naar rechtmatigheid van EU-gegevenstraining[2]
  2. Ierse DPC deepfake-onderzoek (geopend 16-17 feb. 2026) - grootschalig GDPR-onderzoek naar Grok's deepfake-beeldgeneratie
  3. Europese Commissie DSA-procedure (nieuw Grok-onderzoek aangekondigd 26 januari 2026, IP/26/203) - een afzonderlijke EC-bewaringsorder (17 januari 2025) verplicht X interne documenten over zijn aanbevelingsalgoritmen te bewaren tot en met 31 december 2025; Franse autoriteiten doorzochten X's Paris-locatie op 3 februari 2026
  4. VK ICO formeel onderzoek (aangekondigd 3 feb. 2026) - betreft XIUC en X.AI LLC; mogelijke boete GBP 17,5 miljoen of 4% jaarlijkse wereldwijde omzet
  5. VK Ofcom-onderzoek (gestart 12 jan. 2026) - mogelijke platformblokkering of boete van miljoenen pond

Aanvullende onderzoeken door Spanje, Frankrijk (inclusief strafrechtelijk onderzoek geopend jan. 2025, uitgebreid naar Grok begin 2026), India, Indonesië, Maleisië, Canada, Brazilië en Californië zijn ook lopend. Per maart 2026 zijn geen oplossingen aangekondigd.

V: Waar ging het gerechtelijk bevel van september 2024 over?

A: In augustus 2024 verkreeg de Ierse DPC een High Court-injunctie waarmee X (het platform) werd verplicht te stoppen met het verwerken van EU/EEA-openbare berichten voor Grok-training.[4] X stemde in dit permanent te staken.[5] Dit verbod geldt echter UITSLUITEND voor X-platformberichten, NIET voor grok.com, mobiele apps of API-gebruik.

V: Traint xAI op mijn gegevens?

A: Afhankelijk van het product:

  • Consument Grok (grok.com, mobiel): JA, standaard. U kunt opt-out kiezen in de instellingen.[9]
  • X-platform (EU-gebruikers): NEE. Permanent verboden door gerechtelijk bevel.[4]
  • Business/Enterprise/API: xAI beweert "geen training op klantgegevens."[8][21] Dit is echter moeilijk te verifiëren gezien het actieve GDPR-onderzoek en de geschiedenis van niet-naleving.

V: Is er een Data Processing Agreement (DPA) beschikbaar?

A: Ja, voor Enterprise-klanten (laatste update 9 juni 2025).[19] De DPA bevat Standard Contractual Clauses voor EU-gegevensoverdrachten. De DPA lost echter NIET op:

  • Uitsluitend VS-infrastructuur
  • VS-jurisdictie (CLOUD Act, FISA 702)
  • Actief GDPR-onderzoek
  • Gebrek aan EU-gegevensvestiging

V: Welke compliance-certificeringen heeft xAI?

A:

  • ✅ SOC 2: Eigen verklaring voor Business/Enterprise (rapport niet openbaar beschikbaar)[21]
  • ❌ ISO 27001: Niet vermeld
  • 🚨 GDPR: Onder actief onderzoek; niet-conform[1]
  • ⚠️ CCPA: Eigen verklaring, niet geverifieerd

V: Hoe lang bewaart xAI gegevens?

A: Deels gespecificeerd, deels open einde. Verwijderde en Private Chat-gesprekken worden binnen 30 dagen verwijderd; API-verzoeken/-reacties worden 30 dagen bewaard en daarna automatisch verwijderd (0 met enterprise ZDR). xAI geeft geen vaste bewaartermijn voor behouden actieve-accountgegevens, die het bewaart "zolang als noodzakelijk voor het leveren van diensten."[9][8] De open einde-bewaring van actieve-accountgegevens blijft een GDPR-transparantieprobleem.

V: Kan ik de gegevensverwerking beperken tot de EU?

A: Niet op xAI's eigen diensten. xAI's first-party grok.com, X en xAI API verwerken gegevens in de VS (Memphis, Tennessee + Oracle Cloud) zonder EU-vestiging. Grok-modellen kunnen echter wél met EU-gegevensvestiging worden afgenomen via Microsoft Azure AI Foundry (EU-regio's / Azure EU Data Zone), wat wordt beheerd door Microsoft's Azure-voorwaarden in plaats van die van xAI.[6][12]

V: Waarom is de memory-functie geblokkeerd in de EU?

A: Grok's nieuwe memory-functie (gelanceerd april 2025) is expliciet niet beschikbaar in de Europese Unie of het VK.[10][11] Hoewel xAI geen officiële reden heeft opgegeven, is dit waarschijnlijk te wijten aan GDPR-bezwaren over onbeperkte gegevensretentie en het ontbreken van een duidelijke rechtsgrondslag.

V: Wat is de relatie van xAI met X (Twitter)?

A: xAI nam X Corp over in maart 2025 (gecombineerde waardering ~$113 miljard). In februari 2026 nam SpaceX xAI over, waardoor xAI een volledige dochteronderneming van SpaceX werd (gecombineerde waardering ~$1,25 biljoen). Dit betekent:

  • Alle X-gebruikersgegevens vallen nu onder het gegevensregime van xAI, wat de toegang van xAI tot trainingsgegevens vergroot
  • De fusie is direct relevant voor de lopende DPC- en EC-onderzoeken naar Grok-trainingsgegevensbronnen
  • Grok is geïntegreerd in het X-platform (X Premium/Premium+-abonnees)
  • Alle entiteiten worden uiteindelijk gecontroleerd door Elon Musk

Opmerkingen & Voorbehouden

🚨 Snel Escaleert Wereldwijde Regulatoire Handhaving: Per maart 2026 staat xAI/Grok voor 5+ actieve onderzoeken in het VK en de EU (Iers DPC trainingsonderzoek, Iers DPC deepfake-onderzoek, EC DSA-procedure, VK ICO-onderzoek met mogelijke boete GBP 17,5 miljoen, VK Ofcom-onderzoek met mogelijke platformblokkering), plus nationale onderzoeken in Spanje, Frankrijk, India, Indonesië, Maleisië, Canada, Brazilië en Californië. Het deepfake-beeldschandaal van december 2025 - circa 3 miljoen geseksualiseerde afbeeldingen gedocumenteerd door het Centre for Countering Digital Hate in slechts 11 dagen - lokte direct meerdere van deze onderzoeken uit. Dit vertegenwoordigt een dramatische escalatie ten opzichte van het enkele onderzoek uit oktober 2025.[2][1]

🚨 Impact van de xAI-X Corp-fusie: De fusie van maart 2025 (~$110 miljard waardering) betekent dat alle X-gebruikersgegevens nu onder het gegevensregime van xAI vallen, waardoor de reikwijdte van gegevens die xAI voor Grok-training kan benutten wordt vergroot. Dit is direct relevant voor de lopende DPC- en EC-onderzoeken.

🚨 Geschiedenis van Niet-Naleving: xAI/X heeft een gedocumenteerde geschiedenis van GDPR-overtredingen:

  • Gerechtelijk bevel vereist om training op EU-berichten te stoppen (sept. 2024)[4]
  • Meerdere privacyklachten ingediend door belangengroepen[1]
  • Zwitserse federale gegevensbeschermingscommissaris (FDPIC) voerde een voorbereidend onderzoek uit, afgerond op 20 maart 2025, met de conclusie dat X via de trainings-opt-out voldoet aan de Zwitserse FADP[24]

❌ Geen EU-Gegevensvestiging: In tegenstelling tot concurrenten (OpenAI Azure, Anthropic GCP, Google, Mistral) biedt xAI geen EU-gegevensvestigingsoptie. Alle gegevens verwerkt in de VS.[6]

❌ Training Standaard Opt-In: Consumentendiensten hebben standaard training INGESCHAKELD, waarbij gebruikers opt-out moeten kiezen.[9] Dit schendt de GDPR-vereiste voor opt-IN-toestemming voor niet-essentiële verwerking.

❌ Memory Geblokkeerd in EU: Het expliciet blokkeren van Grok's memory-functie in EU/VK[10] suggereert dat xAI GDPR-complianceproblemen erkent maar deze niet heeft opgelost.

⚠️ Niet-geverifieerde Beweringen: xAI's beweringen over "geen training" op Enterprise-gegevens en SOC 2-compliance zijn moeilijk te verifiëren:

  • SOC 2-rapport niet openbaar beschikbaar
  • Geen onafhankelijke audits of verificatie door derden
  • Actief regelgevend onderzoek ondermijnt het vertrouwen

⚠️ Beperkte Transparantie: In vergelijking met concurrenten biedt xAI minimale openbare documentatie:

  • Openbare beveiligings-/trustpagina en privacyportaal bestaan (x.ai/security, x.ai/privacy-portal)
  • Retentie gespecificeerd als een verwijdervenster van 30 dagen voor verwijderde/Private Chat-gegevens; actieve-accountgegevens hebben geen vaste termijn
  • Sub-verwerkerlijst is gepubliceerd (x.ai/legal/subprocessor-list)
  • Volledig SOC 2-rapport en gedetailleerde auditdocumentatie nog steeds achter een salescontact

⚠️ VS-Jurisdictie: Als Amerikaans bedrijf met uitsluitend VS-infrastructuur is xAI onderworpen aan:

  • CLOUD Act (buitenlandse gegevenstoegang)
  • FISA 702-surveillance
  • VS-overheidsverzoeken om gegevens
  • Beperkte praktische handhaving van EU-betrokkenenrechten

⚠️ Snelle Wijzigingen: xAI werkt voorwaarden en privacybeleid frequent bij:

  • Europe Privacy Policy Addendum toegevoegd april 2025[20]
  • DPA laatste update juni 2025[19]
  • Gebruiksvoorwaarden meerdere keren bijgewerkt in 2024-2025
  • Houd wijzigingen bij als u implementatie overweegt

Disclaimer

🚨 ERNSTIGE WAARSCHUWING: Dit overzicht documenteert de huidige status van Grok per maart 2026, inclusief 5+ actieve onderzoeken in het VK en de EU (Iers DPC trainingsonderzoek, Iers DPC deepfake-onderzoek, EC DSA-procedure, VK ICO-onderzoek, VK Ofcom-onderzoek), een wereldwijd deepfake-beeldschandaal waarbij in slechts 11 dagen circa 3 miljoen geseksualiseerde afbeeldingen zijn gedocumenteerd, en een gedocumenteerde geschiedenis van niet-naleving. De situatie is dramatisch geëscaleerd ten opzichte van oktober 2025. Wij RADEN TEN STERKSTE AF Grok te gebruiken voor EU-persoonsgegevens of GDPR-gereguleerde toepassingen.

Dit overzicht is uitsluitend bedoeld als informatief hulpmiddel. Wij adviseren klanten nadrukkelijk:

  1. Raadpleeg EU-gegevensbeschermingsjuristen voordat u Grok overweegt
  2. Voer een Data Protection Impact Assessment (DPIA) uit voor elk EU-gebruik
  3. Volg het actieve GDPR-onderzoek op ontwikkelingen
  4. Beoordeel alternatieve AI-aanbieders met EU-gegevensvestiging en compliance
  5. Beoordeel alle juridische documentatie grondig (DPA, voorwaarden, privacybeleid)

WAIMAKERS past dit principe zelf ook toe; alle tools die wij gebruiken zijn grondig beoordeeld en opgenomen in onze eigen privacy- en beveiligingsdocumentatie. Wij gebruiken Grok intern niet vanwege GDPR-compliancebezwaren.

Klanten dienen altijd de officiële documentatie, voorwaarden en DPA's van elke AI-aanbieder die zij gebruiken zorgvuldig te evalueren. WAIMAKERS kan niet juridisch aansprakelijk worden gesteld voor fouten, vergissingen, onjuistheden, of voor de nauwkeurigheid, actualiteit of volledigheid van de informatie in dit document; de uiteindelijke verantwoordelijkheid voor GDPR-naleving berust bij de klant.

Gezien het actieve regelgevend onderzoek en de gedocumenteerde complianceproblemen kunnen wij Grok voor EU-klanten op dit moment niet aanbevelen.

Opgesteld en uitgegeven door WAIMAKERS B.V. - juni 2026.

Referenties

  • https://x.ai/legal/privacy-policy - xAI Privacybeleid (van kracht per 4 april 2026)
  • https://x.ai/legal/data-processing-addendum - xAI Data Processing Addendum (van kracht per 9 juni 2025)
  • https://x.ai/legal/faq-enterprise - xAI Enterprise FAQ's
  • https://x.ai/legal/terms-of-service-enterprise - xAI Enterprise Gebruiksvoorwaarden
  • https://www.dataprotection.ie/en/news-media/press-releases/data-protection-commission-welcomes-conclusion-proceedings-relating-xs-ai-tool-grok - Ierse DPC Gerechtelijke Procedure X/Grok (september 2024)
  • https://www.euractiv.com/section/tech/news/exclusive-irish-data-privacy-watchdog-opens-investigation-into-musks-grok-ai-model/ - Ierse DPC Opent GDPR-Onderzoek naar Grok AI (april 2025)
  • https://www.freevacy.com/news/data-protection-commission/dpi-opens-gdpr-investigation-into-xais-grok-ai-data-training/6312 - DPC Opent GDPR-Onderzoek naar xAI Grok AI Data Training

Hulp nodig bij AI?

Plan een gesprek
WAIMAKERS

Learn. Lead. Make.

AI Transformation Boutique · Amsterdam

Maak werk inspirerend, maak bedrijven onstuitbaar.

Wie we helpen

Bekijk alle rollen & sectorenCEO's & BestuursledenPE & InvesteringsmanagersCFO's & Financieel LeidersInnovatiedirecteurenCTO's & IT-leidersCommercieel Directeuren

Wat we doen

Bekijk alle servicesOnze aanpakLearnMaatwerktrainingenAI Champions ProgrammaAgentic Way of WorkingE-learningLeadMake

Bedrijf

Over onsKennisbankContactCarrièresPodcast ↗

© 2026 WAIMAKERS. Alle rechten voorbehouden.

PrivacybeleidCookiebeleid