Ga naar hoofdinhoud
WAIMAKERS
Over onsCarrièresContact
|
Plan een gesprek
Terug naar overzicht

DeepSeek

DeepSeek

Not CompliantEU: Not AvailableOpt-out AvailableUndefinedChina Only

Zakelijk Abonnement

API: ~$0.03-0.90/M tokens

Enterprise Functies

API access, open-source models (MIT), self-hosting, available via AWS/Azure/Google EU regions

Laatst bijgewerkt

March 23, 2026

DeepSeek - GDPR & Gegevensprivacy Overzicht voor Europese Klanten

Versie: maart 2026 - opgesteld door WAIMAKERS B.V.

⚠️ KRITIEKE COMPLIANCE-WAARSCHUWING

DeepSeek kent ernstige GDPR-nalevingsproblemen voor EU-klanten. Per maart 2026:

  • De Italiaanse gegevensbeschermingsautoriteit (Garante) heeft de dienst definitief geblokkeerd (bevestigd door Bird & Bird, januari 2025)[1][2]
  • EDPB heeft de ChatGPT-Taskforce uitgebreid tot een bredere "AI Enforcement Task Force" om de reacties van EU-lidstaten op DeepSeek te coördineren
  • Multi-DPA onderzoeksgolf: Minstens 11 EU-gegevensbeschermingsautoriteiten zijn bezig met onderzoeken — België, Frankrijk, Ierland, Griekenland, Nederland, Luxemburg, Spanje, Portugal, Polen, Litouwen, Kroatië en Duitsland
  • Duitsland (Berlijn DPA): Stuurde op 27 juni 2025 artikel 16 "notice-and-action"-kennisgevingen aan Apple en Google om DeepSeek uit hun app stores te verwijderen
  • Aanvullende landverboden: Italië, VS (meerdere instanties), Zuid-Korea, Australië, Taiwan, India, Indonesië en Maleisië hebben DeepSeek verboden op overheidsapparaten of -netwerken. Indonesië en Maleisië vaardigden verboden uit in januari 2026.
  • Griekenland heeft DeepSeek opgedragen een in de EU gevestigde DPO aan te stellen, waaraan DeepSeek in mei 2025 heeft voldaan[4]
  • China-gebaseerde infrastructuur zonder bevestigde EU-gegevensresidentie-optie[5][6]
  • NIEUW: EU-vertegenwoordiger aangesteld: Prighter Group aangesteld als EU-vertegenwoordiger (Artikel 27 GDPR)
  • NIEUW: Privacybeleid bijgewerkt januari 2026 met Europese Regio-kennisgeving en GDPR-rechtsgrondslagen in kaart gebracht
  • NIEUW: Beschikbaar via AWS Bedrock, Azure AI en Google Vertex AI in EU-regio's - zelfhosting via Hugging Face is nu een gangbaar GDPR-compliancepad
  • Nog steeds geen formele DPA beschikbaar voor directe API-klanten

Dit hulpmiddel wordt NIET AANBEVOLEN voor EU-klanten die persoonsgegevens verwerken.

1 Doel

Dit overzicht documenteert wat publiekelijk bekend is over DeepSeek, een Chinees AI-taalmodelplatform ontwikkeld door Hangzhou DeepSeek Artificial Intelligence Co., Ltd. (Hangzhou, China).[5] DeepSeek biedt zowel consumentgerichte chatbotdiensten als API-toegang voor ontwikkelaars tot zijn open-source AI-modellen.

Kritieke bevinding: De gegevensverwerkingspraktijken van DeepSeek hebben regulatoire maatregelen teweeggebracht in de gehele EU, waaronder een dienstblokkade in Italië en lopende onderzoeken in meerdere lidstaten.[1][2]

2 Wat wij weten over DeepSeek

Productoverzicht

DeepSeek biedt:[5][7]

  • DeepSeek Chat: Consumentgerichte AI-chatbot (web- en mobiele app)
  • DeepSeek API: Ontwikkelaarstoegang tot modellen (DeepSeek-V3.2-Exp, DeepSeek-Reasoner)
  • Open-source modellen: Beschikbaar voor zelfhosting onder MIT-licentie[8]
  • Contextlengte: 128K tokens, diverse uitvoerlimieten

Prijsstructuur

DeepSeek API-prijzen (per oktober 2025):[7][8]

Model Invoerprijs Uitvoerprijs Context
DeepSeek-V3.2-Exp (Chat) $0,028 per 1M tokens $0,11 per 1M tokens 128K
DeepSeek-Reasoner $0,028 per 1M tokens $0,11 per 1M tokens 128K

Opmerking: Extreem lage prijzen ten opzichte van concurrenten (50% goedkoper dan eerdere DeepSeek-versies, ~10x goedkoper dan OpenAI).[8]

3 Tijdlijn van EU-regulatoire maatregelen

Januari 2025: Italië blokkeert DeepSeek

De Italiaanse gegevensbeschermingsautoriteit (Garante) werd de eerste EU-toezichthouder die maatregelen nam, door op 28 januari 2025 informatie op te vragen bij DeepSeek en vervolgens op 30 januari 2025 de toegang tot de dienst te blokkeren voor Italiaanse gebruikers.[1][2][15]

Officiële bevindingen van de Garante (uit Provvedimento del 30 januari 2025):[16]

  • Geen rechtsgrond voor het verzamelen van persoonsgegevens van Italiaanse gebruikers
  • Geen transparantie over welke gegevens worden verzameld uit prompts en gesprekken
  • Geen informatie over bewaartermijnen
  • Gegevensoverdracht naar China zonder adequate GDPR-waarborgen
  • Geen EU-vertegenwoordiger aangesteld (overtreding van GDPR Artikel 27)
  • Bedrijf beweerde dat de GDPR niet op hen van toepassing is ("wij opereren niet in Italië")
  • Dienst geblokkeerd vanaf 30 januari 2025 - app verwijderd uit Italiaanse App Store en Google Play[17]

Specifieke vragen van de Garante aan DeepSeek (onbevredigend beantwoord):[18]

  1. Welke persoonsgegevens worden verzameld van Italiaanse gebruikers?
  2. Wat is de rechtsgrond voor de verwerking van deze gegevens?
  3. Hoe worden gebruikers geïnformeerd over gegevensverzameling?
  4. Waar worden gegevens opgeslagen en voor hoe lang?
  5. Wie heeft toegang tot de gegevens?
  6. Zijn de rechten van betrokkenen (inzage, verwijdering, overdraagbaarheid) gewaarborgd?
  7. Zijn er adequate beveiligingsmaatregelen getroffen?

Reactie van DeepSeek: Beweerde dat zij "niet in Italië opereren" en dat "de Europese wetgeving niet op hen van toepassing is" - ondanks miljoenen Italiaanse downloads.[19]

Resultaat: De Garante achtte de reactie ontoereikend en legde een definitieve beperking op aan de verwerking van gegevens van Italiaanse gebruikers, waarmee de dienst volledig werd geblokkeerd. Dit definitieve verbod is bevestigd door juridische analyse van Bird & Bird als permanent, tenzij DeepSeek de nalevingstekorten herstelt.[20]

Februari 2025: Pan-EU onderzoeksgolf

Van 16 EU-gegevensbeschermingsautoriteiten die door media werden gecontacteerd, bevestigden zeven lopende of geplande onderzoeken:[1]

  • Italië: Dienst geblokkeerd, formeel onderzoek
  • Griekenland: Formeel onderzoek gestart (6 februari 2025)
  • Luxemburg: CNPD heeft publieke waarschuwing uitgevaardigd over risico's[9]
  • Ierland, België, Frankrijk, Spanje, Nederland, Duitsland: Informatieverzoeken, voorlopige beoordelingen of formele onderzoeken. De Berlijnse DPA stuurde bericht aan Apple en Google om DeepSeek uit hun app stores te verwijderen (juni 2025).
  • EDPB heeft de ChatGPT-Taskforce uitgebreid met DeepSeek, wat aangeeft dat gecoördineerde pan-EU-handhaving wordt voorbereid

Mei 2025: Griekenland beveelt aanstelling DPO

De Griekse gegevensbeschermingsautoriteit concludeerde dat DeepSeek onder de GDPR-jurisdictie valt (Artikel 3(2)(b)) en beval het bedrijf een in de EU gevestigde Data Protection Officer aan te stellen. DeepSeek heeft op 28 mei 2025 voldaan aan dit bevel door een in Wenen gevestigde firma als DPO aan te stellen.[4]

Regulatoire vragen aan DeepSeek:

  1. Hoe waarborgt DeepSeek rechtmatige verwerking van persoonsgegevens?
  2. Welke verwerkingsactiviteiten hebben betrekking op gegevens van Griekse/EU-gebruikers?
  3. Wat is de rechtsgrond voor elke verwerkingsactiviteit?
  4. Hoe zijn de rechten van betrokkenen (inzage, verwijdering, overdraagbaarheid) gewaarborgd?
  5. Waar bevinden de datacenters zich?[4]

Reactie van DeepSeek (samenvatting):

  • Beweerde "open-source softwarediensten" te leveren voor ontwikkelaars, geen producten/diensten aan consumenten
  • Stelde dat de GDPR mogelijk niet van toepassing is
  • Verklaarde geen faciliteiten in de EEA te hebben
  • Stemde desondanks in met het aanstellen van een EU-DPO onder regulatoire druk[4]

4 GDPR-nalevingsbeoordeling

Kort antwoord: DeepSeek is NIET GDPR-COMPLIANT voor zakelijk gebruik in de EU. De dienst is geblokkeerd in Italië, staat onder onderzoek in meerdere EU-landen en mist fundamentele GDPR-waarborgen.

Kritieke nalevingsgebreken

1. Geen EU-gegevensresidentie

Status: ❌ NIET BESCHIKBAAR

DeepSeek's infrastructuur is China-gebaseerd zonder bevestigde EU-datacenters.[5][6] Griekse toezichthouders bevestigden dat DeepSeek heeft verklaard "geen faciliteiten in de EEA" te hebben.[4]

Implicatie: Alle EU-gebruikersgegevens worden overgedragen naar en verwerkt in China, waarmee GDPR Hoofdstuk V-vereisten voor internationale gegevensoverdrachten in werking treden.

2. Geen Data Processing Agreement (DPA)

Status: ❌ NIET PUBLIEKELIJK BESCHIKBAAR

Er zijn geen DPA of Standaard Contractuele Clausules gepubliceerd of beschikbaar gesteld aan zakelijke klanten.[5] DeepSeeks initiële standpunt tegenover Griekse toezichthouders was dat zij geen "producten en diensten" leveren en de GDPR daarom niet van toepassing is - wat suggereert dat er geen DPA-kader bestaat.[4]

Implicatie: Bedrijven kunnen niet voldoen aan GDPR Artikel 28-vereisten voor verwerkersovereenkomsten.

3. Onduidelijk trainingsbeleid + kritieke beveiligingsincidenten

Status: 🚨 ONGEDEFINIEERD + ERNSTIGE BEVEILIGINGSINBREUKEN

Het privacybeleid van DeepSeek vermeldt niet duidelijk of gebruikersinvoer (prompts, gesprekken) wordt gebruikt om AI-modellen te trainen.[5] Meerdere beveiligingsincidenten begin 2025 onthulden catastrofale tekortkomingen in de gegevensverwerking:

Incident 1: 12.000 API-sleutels gelekt in trainingsdata (februari 2025)[21][22][23]

Truffle Security-onderzoekers hebben Common Crawl (de omvangrijke publieke dataset die werd gebruikt om DeepSeek's AI-modellen te trainen) gescand en ontdekt:

  • 11.908 actieve API-sleutels, wachtwoorden en authenticatietokens ingebed in de trainingsdata
  • Inloggegevens behoorden toe aan diensten van derden (AWS, Azure, OpenAI, Stripe, GitHub, enz.)
  • Sleutels waren nog steeds actief op het moment van ontdekking
  • Inloggegevens waren hardgecodeerd in publiekelijk gescrapede webdata die DeepSeek voor training heeft gebruikt

Wat dit betekent:

  • DeepSeek heeft getraind op ongefilterde publieke webscrapes met daarin geheimen
  • Geen scannen op of filteren van inloggegevens vóór het verwerken van trainingsdata
  • Potentieel dat elk gevoelig gegeven in webscrapes in het trainingskorpus terechtkomt
  • Risico dat DeepSeek geheimen reproduceert in antwoorden
  • Wijst op fundamenteel onveilige gegevensverwerkingspraktijken

Incident 2: Blootgestelde ClickHouse-database (januari 2025)[24][25][26]

Wiz Research ontdekte een publiek toegankelijke DeepSeek-database zonder authenticatie:

  • Meer dan 1 miljoen regels logstromen blootgesteld
  • Chatgeschiedenis van gebruikersgesprekken
  • API-sleutels en geheime sleutels voor DeepSeek's backend
  • Backend-operationele details en infrastructuurmetadata
  • Volledige lees-/schrijftoegang tot databaseoperaties beschikbaar voor iedereen

Wat er was blootgesteld:

  • Gebruikersprompts en AI-antwoorden (chatlogs)
  • Interne systeemlogboeken
  • Authenticatietokens
  • Infrastructuurconfiguratiedetails
  • Geen authenticatie vereist voor toegang

Reactie van DeepSeek: Database werd beveiligd nadat Wiz dit meldde (29 januari 2025), maar het is onbekend hoe lang deze was blootgesteld of wie er toegang toe heeft gehad.[24]

Incident 3: Waarschuwing Zuid-Koreaanse inlichtingendienst (februari 2025)[27]

De Zuid-Koreaanse Nationale Inlichtingendienst (NIS) heeft een officiële waarschuwing uitgegeven:

  • DeepSeek "verzamelt buitensporig persoonsgegevens"
  • Alle ingevoerde gegevens worden gebruikt om het AI-model te trainen
  • Chatrecords zijn overdraagbaar (kunnen worden gedeeld/geëxporteerd)
  • Overheidsinstanties werden aangeraden de dienst te vermijden

Analyse van het privacybeleid:

Privacybeleid (versie juli 2025):[5]

  • Vermeldt dat gegevens kunnen worden gebruikt voor "verbetering van diensten" en "onderzoek"
  • Legt geen expliciete verplichting op om gebruikersinhoud niet voor training te gebruiken
  • De Chinese versie bevat aanvullende clausules over het delen van gegevens met autoriteiten[12][13]

Vergelijking met industriestandaarden:

  • OpenAI (Enterprise/API): "Wij trainen niet op uw data"
  • Anthropic Claude (Enterprise): "Wij trainen niet op uw data"
  • Microsoft Azure OpenAI: "Klantdata wordt niet gebruikt om modellen te trainen"
  • DeepSeek: Geen vergelijkbare toezegging

Implicatie:

  • Extreem risico dat gevoelige gegevens in prompts worden opgenomen in trainingsdata
  • Bewezen staat van dienst van onveilige gegevensverwerking (blootgestelde database, API-sleutels in training)
  • Geen toezegging om niet op gebruikersdata te trainen
  • Bewijs van de Zuid-Koreaanse inlichtingendienst dat alle gebruikersinvoer wordt gebruikt voor training
  • Voer geen gevoelige, vertrouwelijke of persoonsgegevens in bij DeepSeek

4. Risico's van gegevensoverdracht naar China

Status: 🚨 ERNSTIG RISICO

Als Chinees bedrijf is DeepSeek onderworpen aan de Chinese nationale veiligheidswetgeving, waaronder:[6][14]

  • Chinese Cyberbeveiligingswet: Vereist datalokalisatie en overheidstoegang
  • Chinese Wet op Gegevensbeveiliging: Verplicht medewerking aan onderzoeken naar nationale veiligheid
  • Chinese Wet op de Bescherming van Persoonlijke Informatie (PIPL): Het Chinese equivalent van de GDPR, maar met bepalingen voor overheidstoegang

Privacybeleid (update februari 2025) bevat de formulering: "In noodsituaties ter bescherming van gezondheid en leven kan informatie worden verstrekt aan wetshandhavingsinstanties of noodfaciliteiten."[13] Dit omvat Chinese gerechtelijke autoriteiten.

Implicatie: EU-gebruikersgegevens kunnen worden ingezien door de Chinese overheid zonder EU-juridische waarborgen.

5. Onvoldoende transparantie

Status: ❌ ONTOEREIKEND

Meerdere EU-toezichthouders hebben gebrek aan transparantie als primaire zorg aangemerkt:[9][2]

  • Onduidelijk welke gegevens worden verzameld uit prompts
  • Onduidelijk hoe lang gegevens worden bewaard
  • Onduidelijk waar gegevens worden verwerkt
  • Onduidelijk of gegevens worden gebruikt voor training
  • Geen lijst van subverwerkers gepubliceerd

Waarschuwing Luxemburg CNPD (februari 2025): "Gegevens die gebruikers invoeren in 'prompts' kunnen worden vastgelegd, overgedragen, opgeslagen of geanalyseerd zonder een duidelijk kader voor gegevensbescherming."[9]

5 Wat ontbreekt (Kritieke documentatieleemten)

Geen Data Processing Agreement (DPA)

Onderzocht: API-documentatie, Gebruiksvoorwaarden, Privacybeleid, Enterprise-documentatie

Resultaat: ❌ NIET GEVONDEN

Zonder een DPA kunnen EU-zakelijke klanten niet:

  • Voldoen aan GDPR Artikel 28-vereisten voor verwerkersovereenkomsten
  • Locaties van gegevensverwerking documenteren
  • Standaard Contractuele Clausules vaststellen voor overdrachten naar China
  • Procedures voor bewaring en verwijdering van gegevens verifiëren
  • Een lijst van subverwerkers verkrijgen

Geen Standaard Contractuele Clausules (SCCs)

Status: ❌ NIET BESCHIKBAAR

Geen bewijs van SCCs of alternatieve overdrachtsmechanismen (bijv. Binding Corporate Rules, adequaatheidsbesluit) voor China-EU-gegevensoverdrachten.[^https://cdn.deepseek.com/policies/en-US/deepseek-privacy-policy.html

Opmerking: China heeft geen EU-adequaatheidsbesluit, dus SCCs of alternatieve waarborgen zijn verplicht onder GDPR Artikel 46.

EU-vertegenwoordiger aangesteld (Update)

DeepSeek heeft aanvankelijk GDPR Artikel 27 overtreden door geen EU-vertegenwoordiger aan te stellen. Na druk van de Griekse DPA in mei 2025 stelde DeepSeek een in Wenen gevestigde DPO aan. Vervolgens is Prighter Group aangesteld als de formele EU-vertegenwoordiger van DeepSeek op grond van Artikel 27. Daarnaast is het privacybeleid in januari 2026 bijgewerkt met een Europese Regio-kennisgeving en zijn GDPR-rechtsgrondslagen in kaart gebracht - een gedeeltelijke verbetering, maar de fundamentele problemen met gegevensoverdrachten naar China blijven onopgelost.[4]

Geen compliance-certificeringen

Onderzocht: Beveiligingsdocumentatie, compliancepagina's, privacybeleid

Resultaat: ❌ NIET GEVONDEN

Geen bewijs van:

  • SOC 2 Type II-certificering
  • ISO 27001-certificering
  • GDPR-nalevingsverklaring
  • Beveiligingsaudits door derden
  • Enige EU-erkende certificering

Geen duidelijk gegevensbewaringsbeleid

Onbekend:

  • Hoe lang worden prompts opgeslagen?
  • Hoe lang worden gespreksgeschiedenissen bewaard?
  • Vindt er automatische verwijdering plaats?
  • Kunnen gebruikers verzoeken om verwijdering van hun gegevens? (GDPR Artikel 17 Recht op vergetelheid)
  • Wat is het verificatieproces voor verwijdering?

6 Vergelijking met industriestandaarden

Wat gerenommeerde AI-platforms bieden (voorbeelden: OpenAI, Anthropic, Google, Microsoft):

✅ Publiek Privacybeleid met duidelijk trainingsbeleid

✅ Data Processing Agreement voor zakelijke klanten (GDPR Artikel 28)

✅ Standaard Contractuele Clausules voor internationale overdrachten

✅ EU-gegevensresidentie-opties (of VS met opvolger van Privacy Shield)

✅ Compliance-certificeringen (SOC 2, ISO 27001)

✅ Duidelijk trainingsbeleid (doorgaans "geen training op klantdata" voor betaalde abonnementen)

✅ Gegevensbewaringsbeleid met verwijderingsopties

✅ Lijsten van subverwerkers gepubliceerd en bijgehouden

Wat DeepSeek biedt (per maart 2026):

❌ Geen DPA voor directe API-klanten ❌ Geen SCCs voor overdrachten naar China ❌ Geen compliance-certificeringen (SOC 2, ISO 27001) ⚠️ EU-vertegenwoordiger aangesteld (Prighter Group) ⚠️ Privacybeleid bijgewerkt januari 2026 met GDPR-rechtsgrondslagen ⚠️ Beschikbaar via EU-regio-cloudproviders (AWS Bedrock, Azure AI, Google Vertex) - maar uitsluitend voor zelfgehoste/beheerde implementaties

7 Gegevensverwerkingsstroom (Niet geverifieerd)

[Gebruiker voert prompt in bij DeepSeek Chat of API]
  ↓
[Prompt verzonden naar DeepSeek-infrastructuur]
  ├─ Locatie: China (bevestigd)
  ├─ EU-datacenter: Geen (bevestigd door DeepSeek aan Griekse DPA)
  └─ Waarborgen voor gegevensoverdracht: Geen publiekelijk gedocumenteerd
  ↓
[AI-model verwerkt prompt]
  ├─ Training op gebruikersdata? ONDUIDELIJK
  ├─ Gegevensbewaartermijn? ONGEDEFINIEERD
  └─ DPA-bescherming? NIET BESCHIKBAAR voor zakelijke klanten
  ↓
[Antwoord geretourneerd aan gebruiker]
  ↓
[Gespreksgeschiedenis opgeslagen]
  ├─ Opslaglocatie: China
  ├─ Bewaartermijn: ONGEDEFINIEERD
  ├─ Verwijderingsoptie: ONDUIDELIJK
  └─ Overheidstoegang: Mogelijk onder Chinees recht

*Opmerking: DeepSeek heeft GEEN infrastructuurdocumentatie gepubliceerd.*
*Gegevensstroom gebaseerd op regulatoire bevindingen en privacybeleid.*

8 Aanbevolen alternatieven voor EU-klanten

Als u AI-taalmodellen nodig heeft met de juiste GDPR-compliance:

EU-Conforme alternatieven

Anthropic Claude (Enterprise)

  • ✅ Privacybeleid, Voorwaarden, DPA beschikbaar
  • ✅ EU-gegevensresidentie-optie (AWS EU-regio's)
  • ✅ SOC 2, ISO 27001 gecertificeerd
  • ✅ Geen training op klantdata (Enterprise)
  • Prijs: Maatwerk (Enterprise)

OpenAI (Enterprise)

  • ✅ Privacybeleid, Voorwaarden, DPA beschikbaar
  • ✅ EU-gegevensresidentie-optie (Azure EU-regio's)
  • ✅ SOC 2, ISO 27001 gecertificeerd
  • ✅ Geen training op klantdata (Enterprise, API met afmelding)
  • Prijs: Maatwerk (Enterprise)

Microsoft Azure OpenAI Service

  • ✅ Volledige Microsoft DPA
  • ✅ EU-gegevensresidentie (Azure EU-regio's)
  • ✅ Uitgebreide compliance-certificeringen
  • ✅ Geen training op klantdata
  • Prijs: Verbruiksgebaseerd

Google Gemini (Enterprise)

  • ✅ Privacybeleid, Voorwaarden, DPA beschikbaar
  • ✅ EU-gegevensresidentie (Google Cloud EU-regio's)
  • ✅ ISO 27001, SOC 2 gecertificeerd
  • ✅ Geen training op klantdata (Enterprise)
  • Prijs: Verbruiksgebaseerd

Zelfgehoste open-source opties

Llama 3 (Meta) - Zelfgehost

  • ✅ Volledige controle over gegevens (eigen infrastructuur)
  • ✅ Geen gegevens verlaten uw servers
  • ✅ EU-implementatie mogelijk
  • Prijs: Uitsluitend infrastructuurkosten

Mistral AI (Europa)

  • ✅ Frans bedrijf, GDPR-native
  • ✅ EU-gegevensresidentie beschikbaar
  • ✅ Open-source en commerciële opties
  • Prijs: Varieert per implementatie

9 Als u DeepSeek toch wilt beoordelen (Niet aanbevolen)

Minimale due diligence-stappen

Als uw organisatie DeepSeek overweegt ondanks de ernstige compliance-risico's, dient u:

  1. Rechtstreeks contact op te nemen met DeepSeek en het volgende op te vragen:
    • Data Processing Agreement (DPA)
    • Standaard Contractuele Clausules (SCCs) voor China-EU-overdrachten
    • Volledige lijst van subverwerkers met locaties
    • Procedures voor bewaring en verwijdering van gegevens
    • Infrastructuur- en datacenterlocaties
    • Trainingsbeleid: expliciete toezegging om niet op klantdata te trainen
    • Compliance-certificeringen (SOC 2, ISO 27001 of gelijkwaardig)
    • Schriftelijke bevestiging over hoe zij omgaan met de Chinese wetgeving inzake overheidstoegang tot gegevens
  2. Een Transfer Impact Assessment (TIA) uit te voeren
    • Conform GDPR Artikel 46 en het Schrems II-arrest
    • Risico's van gegevensoverdrachten naar China documenteren
    • Beoordelen of SCCs "in wezen gelijkwaardige" bescherming bieden
    • Impact van de Chinese nationale veiligheidswetgeving in overweging nemen
  3. Een Data Protection Impact Assessment (DPIA) uit te voeren
    • Vereist onder GDPR Artikel 35 voor hoogrisicoverwerking
    • Gegevensoverdrachten naar China kwalificeren als hoogrisico
  4. Juridisch advies in te winnen
    • Van EU-juridische specialisten op het gebied van gegevensbescherming
    • Over de haalbaarheid van overdrachten naar China na Schrems II
  5. De beslissing te documenteren
    • In GDPR Artikel 30-verwerkingsregisters
    • Met inbegrip van risicobeoordeling en mitigatiemaatregelen
  6. Nooit te verwerken:
    • EU-persoonsgegevens (namen, e-mailadressen, identificeerbare informatie)
    • Bijzondere categoriegegevens (gezondheid, biometrisch, ras/etniciteit, politiek, religie)
    • Vertrouwelijke bedrijfsinformatie
    • Gegevens die onderworpen zijn aan regelgevingsvereisten (HIPAA, financiële gegevens, enz.)

Juridische en financiële risico's

GDPR-boetes: Tot €20 miljoen of 4% van de wereldwijde jaaromzet (Artikel 83)

Specifieke overtredingen die waarschijnlijk zijn bij gebruik van DeepSeek voor EU-persoonsgegevens:

  • Artikel 28: Geen verwerkersovereenkomst (DPA)
  • Artikel 44-46: Onrechtmatige internationale gegevensoverdracht (China)
  • Artikel 27: Geen EU-vertegenwoordiger (tot mei 2025, en beperkte reikwijdte)
  • Artikel 30: Onvolledige verwerkingsregisters (door ontbrekende DeepSeek-documentatie)

Aanvullende risico's:

  • Aansprakelijkheid voor datalekken: Onbeperkte schadevergoeding aan getroffen personen
  • Regulatoir onderzoek: Tijd, kosten, reputatieschade
  • Contractbreuk: Schending van klantovereenkomsten die gegevensbescherming vereisen
  • Diefstal van intellectueel eigendom: Gevoelige bedrijfsdata verzonden naar China-gebaseerde servers
  • Overheidssurveillance: Toegang van Chinese autoriteiten tot gegevens op grond van nationale veiligheidswetgeving

10 Snelle antwoorden voor inkoop (EU)

Is DeepSeek GDPR-compliant?

Nee. DeepSeek is geblokkeerd in Italië en staat onder onderzoek in meerdere EU-landen wegens GDPR-overtredingen. De dienst mist fundamentele compliance-documentatie (DPA, SCCs) en verwerkt alle gegevens in China.[1][2]

Heeft DeepSeek een Data Processing Agreement (DPA)?

Niet publiekelijk beschikbaar. Er is geen DPA gepubliceerd, en de initiële regulatoire reactie van DeepSeek suggereerde dat zij zichzelf niet als gegevensverwerker beschouwen.[4]

Waar worden DeepSeek-gegevens opgeslagen en verwerkt?

China. DeepSeek heeft aan Griekse toezichthouders bevestigd "geen faciliteiten in de EEA" te hebben.[4] Alle gegevens worden overgedragen naar en verwerkt in China.

Traint DeepSeek AI-modellen op gebruikersinhoud?

Onduidelijk. Het privacybeleid legt geen expliciete verplichting op om niet op gebruikersdata te trainen. Recente schandalen onthulden API-sleutels en wachtwoorden in DeepSeek-trainingsdata, wat potentieel gegevenslekken suggereert.[10][11]

Kunnen EU-gebruikers verzoeken om verwijdering van hun gegevens?

Onduidelijk. Het privacybeleid vermeldt GDPR-rechten, maar de implementatie is niet geverifieerd. Gezien de regulatoire onderzoeken en nalevingstekorten is het onzeker of verwijderingsverzoeken correct worden afgehandeld.

Welke compliance-certificeringen heeft DeepSeek?

Geen publiekelijk bekendgemaakt. Geen bewijs van SOC 2, ISO 27001 of andere internationaal erkende certificeringen.

Waarom heeft Italië DeepSeek geblokkeerd?

Gebrek aan transparantie over gegevensverzameling, onduidelijke rechtsgrond voor verwerking van EU-persoonsgegevens, risico's van gegevensoverdracht naar China zonder adequate waarborgen, en geen EU-vertegenwoordiger aangesteld.[1][2]

Heeft DeepSeek een EU Data Protection Officer aangesteld?

Ja, maar pas nadat Griekse toezichthouders hen dit in mei 2025 hadden opgedragen. DeepSeek heeft een in Wenen gevestigde firma als DPO aangesteld.[4] Dit lost echter de fundamentele problemen met gegevensoverdrachten naar China niet op.

Kunnen wij de open-source modellen van DeepSeek gebruiken en zelf hosten in de EU?

Ja, en dit is het gangbare GDPR-compliancepad geworden voor organisaties die DeepSeek-mogelijkheden nodig hebben. Opties zijn onder meer:

  • Direct zelfhosten via Hugging Face op uw eigen EU-infrastructuur (MIT-licentie)
  • AWS Bedrock (EU-regio's): DeepSeek-modellen zijn nu beschikbaar via AWS Bedrock in EU-regio's
  • Azure AI (EU-regio's): DeepSeek-modellen beschikbaar via Azure AI in EU-regio's
  • Google Vertex AI (EU-regio's): DeepSeek-modellen beschikbaar via Google Vertex AI in EU-regio's

Bij gebruik van cloudprovider-API's (AWS/Azure/Google) werkt u onder de DPA en EU-gegevensresidentie van de cloudprovider - waarmee het China-overdrachtsrisico is geëlimineerd. Er worden geen gegevens verzonden naar de eigen infrastructuur van DeepSeek. Dit is nu een haalbare en veelgebruikte aanpak.

Voorbehouden:

  • Herkomstvragen over trainingsdata blijven bestaan (API-sleutels gevonden in trainingsdata)
  • Geen SLA of ondersteuning van DeepSeek voor enige implementatie
  • Cloudprovider-prijzen kunnen hoger zijn dan de directe DeepSeek API

11 Opmerkingen en voorbehouden

  • Italiaans verbod definitief: De blokkade van de Italiaanse Garante is definitief, bevestigd door juridische analyse van Bird & Bird - niet tijdelijk.
  • EDPB AI Enforcement Task Force: De European Data Protection Board heeft de ChatGPT-Taskforce uitgebreid tot een bredere "AI Enforcement Task Force" om de reacties van lidstaten op DeepSeek te coördineren, wat georganiseerde pan-EU-handhaving aangeeft.
  • Multi-DPA onderzoeksgolf (11+ DPA's): België, Frankrijk, Ierland, Griekenland, Nederland, Luxemburg, Spanje, Portugal, Polen, Litouwen, Kroatië en Duitsland zijn allemaal betrokken. Berlijn DPA stuurde op 27 juni 2025 artikel 16 "notice-and-action"-kennisgevingen aan Apple en Google.
  • Wereldwijde verboden buiten de EU: Italië, VS (meerdere instanties), Zuid-Korea, Australië, Taiwan, India, Indonesië (januari 2026) en Maleisië (januari 2026) hebben allemaal verboden ingesteld op overheids- of nationaal netwerkgebruik van DeepSeek.
  • EU-vertegenwoordiger aangesteld (Prighter Group): Gedeeltelijke verbetering - voldoet formeel aan Artikel 27, maar lost China-overdrachtsrisico's niet op.
  • Privacybeleid bijgewerkt januari 2026: Europese Regio-kennisgeving toegevoegd, GDPR-rechtsgrondslagen in kaart gebracht. Nog steeds onvoldoende zonder DPA/SCCs.
  • Cloudprovider-pad nu gangbaar: DeepSeek-modellen zijn beschikbaar via AWS Bedrock, Azure AI en Google Vertex AI in EU-regio's. Dit is nu een haalbare GDPR-complianceaanpak - u gebruikt de DPA van de cloudprovider, niet die van DeepSeek.
  • Zelfhosting via Hugging Face: Open-source zelfhosting is steeds vaker een alternatief voor directe DeepSeek API-toegang.
  • Nog steeds geen formele DPA voor directe API-klanten - bedrijven kunnen de directe DeepSeek API niet gebruiken voor EU-persoonsgegevens zonder GDPR Artikel 28 te overtreden.
  • Chinese nationale veiligheidswetgeving: Chinese bedrijven kunnen worden gedwongen gegevens aan de overheid te verstrekken; EU-China gegevensoverdrachten staan voor Schrems II-uitdagingen.
  • API-sleutelsschandaal: Ontdekking van 12.000 API-sleutels/wachtwoorden in trainingsdata roept ernstige vragen op over gegevensverwerkingspraktijken.[10]
  • Prijs te goed om waar te zijn: De prijzen van DeepSeek (~$0,028/M tokens) zijn 10x goedkoper dan concurrenten. Vraag: hoe is dit economisch haalbaar? Mogelijk antwoord: monetisering via gegevens.[8]

12 Disclaimer

Dit overzicht documenteert ernstige GDPR-nalevingsproblemen met DeepSeek op basis van EU-regulatoire maatregelen en publiekelijk beschikbare informatie per maart 2026.

Wij adviseren sterk tegen het gebruik van DeepSeek voor enig EU-zakelijk doel, met name bij de verwerking van persoonsgegevens, totdat het bedrijf:

  1. Regulatoire onderzoeken in de EU heeft opgelost
  2. Een uitgebreide Data Processing Agreement met Standaard Contractuele Clausules heeft gepubliceerd
  3. EU-gegevensresidentie heeft vastgesteld of adequate waarborgen voor overdrachten naar China heeft aangetoond
  4. Duidelijke toezeggingen inzake trainingsbeleid heeft gedaan
  5. Internationaal erkende compliance-certificeringen heeft verkregen

WAIMAKERS B.V. past intern strenge privacy- en beveiligingszorgvuldigheid toe. Wij gebruiken geen hulpmiddelen die onder actief regulatoir onderzoek staan of die fundamentele GDPR-waarborgen missen. Klanten dienen dezelfde standaard toe te passen.

WAIMAKERS kan niet wettelijk aansprakelijk worden gesteld voor fouten, onjuistheden, of voor de juistheid, actualiteit of volledigheid van de informatie in dit document; de uiteindelijke verantwoordelijkheid voor GDPR-compliance ligt bij de klant. Het gebruik van niet-conforme hulpmiddelen brengt ernstige juridische, financiële en reputatierisico's met zich mee.

Als DeepSeek zijn nalevingsproblemen oplost en EU-toezichthouders de beperkingen opheffen, dient deze beoordeling opnieuw te worden beoordeeld.

Opgesteld en uitgegeven door WAIMAKERS B.V. - maart 2026.

Referenties

  • https://www.euractiv.com/news/deepseek-making-a-splash-with-eu-data-protection-bodies/ - DeepSeek onder EU-gegevensbeschermingstoezicht
  • https://www.gdpreu.org/deepseek-ai-under-eu-scrutiny/ - DeepSeek AI onder EU GDPR-scrutiny
  • https://garanteprivacy.it/home/docweb/-/docweb-display/docweb/10097450 - Italiaanse Garante blokkeert DeepSeek (30 januari 2025)
  • https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10098477 - Italiaanse Garante Provvedimento blokkeert DeepSeek (30 januari 2025)
  • https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10096856 - Italiaanse Garante vraagt informatie op bij DeepSeek
  • https://www.secrss.com/articles/79691 - DeepSeek stelt EU-DPO aan na bevel Griekse DPA (mei 2025)
  • https://cnpd.public.lu/fr/actualites/national/2025/02/deepseek.html - Luxemburg CNPD-waarschuwing over DeepSeek
  • https://www.wiz.io/blog/wiz-research-uncovers-exposed-deepseek-database-leak - Wiz Research: Blootgestelde DeepSeek-database lekt gevoelige informatie
  • https://cdn.deepseek.com/policies/en-US/deepseek-privacy-policy.html - DeepSeek Privacybeleid

Hulp nodig bij AI?

Plan een gesprek
WAIMAKERS

Learn. Lead. Make.

AI Transformation Boutique · Amsterdam

Maak werk inspirerend, maak bedrijven onstuitbaar.

Wie we helpen

Bekijk alle rollen & sectorenCEO's & BestuursledenPE & InvesteringsmanagersCFO's & Financieel LeidersInnovatiedirecteurenCTO's & IT-leidersCommercieel Directeuren

Wat we doen

Bekijk alle servicesOnze aanpakLearnMaatwerktrainingenAI Champions ProgrammaAgentic Way of WorkingE-learningLeadMake

Bedrijf

Over onsKennisbankContactCarrièresPodcast ↗

© 2026 WAIMAKERS. Alle rechten voorbehouden.

PrivacybeleidCookiebeleid