Ga naar hoofdinhoud
WAIMAKERS
Over onsCarrièresContact
|
Plan een gesprek
Terug naar overzicht

Grok (xAI)

xAI

Not CompliantEU: Not AvailableOpt-out AvailableUndefinedUS Only

Zakelijk Abonnement

$30/seat (Business) - billed in USD

Enterprise Functies

SOC 2, DPA available, Enterprise Vault, no training claim (unverified)

Laatst bijgewerkt

March 23, 2026

Grok (xAI) - GDPR & Gegevensprivacy Overzicht (EU)

Versie: maart 2026 - opgesteld door WAIMAKERS B.V.

🚨 Samenvatting: NIET AANBEVOLEN voor EU-Klanten

Grok is een AI-chatbot en API ontwikkeld door xAI (X.AI LLC), een Amerikaans bedrijf opgericht door Elon Musk. Grok is beschikbaar via meerdere kanalen: het X-platform (voorheen Twitter), standalone web-/mobiele apps (grok.com) en een API voor ontwikkelaars.

🚨 KRITIEK: Grok staat momenteel onder een ACTIEF GDPR-onderzoek van de Ierse Data Protection Commission (DPC) en heeft ernstige complianceproblemen voor Europese klanten:

  • 🚨 5+ ACTIEVE ONDERZOEKEN per maart 2026: (1) Ierse DPC trainingsonderzoek (lopend sinds aug. 2024), (2) Ierse DPC deepfake-onderzoek (geopend 16-17 feb. 2026), (3) Europese Commissie DSA-procedure (januari 2026), (4) VK ICO formeel onderzoek (aangekondigd 3 feb. 2026) — mogelijke boete van GBP 17,5 miljoen of 4% jaaromzet, (5) VK Ofcom-onderzoek (gestart 12 jan. 2026) — mogelijke platformblokkering of boete van miljoenen pond[1][2][3]
  • 🚨 Aanvullende nationale onderzoeken: Spanje, Frankrijk, India, Indonesië, Maleisië, Canada, Brazilië en Californië onderzoeken ook xAI/Grok-praktijken
  • 🚨 EC beval bewaring van alle Grok AI-records tot eind 2026; Franse autoriteiten doorzochten X Paris-kantoren; Frankrijk opende strafrechtelijk onderzoek (5 jan. 2026)
  • 🚨 Deepfake-beeldschandaal (dec. 2025–feb. 2026): Grok's "afbeelding bewerken"-functie gelanceerd eind dec. 2025; het Centre for Countering Digital Hate documenteerde circa 3 miljoen geseksualiseerde afbeeldingen in 11 dagen; dit leidde tot een kennisgeving uit India (3 jan.), strafrechtelijk onderzoek in Frankrijk (5 jan.), bewaringsorder EC (8 jan.), tijdelijke blokkering Indonesië (10 jan.), beperking door X van bewerking van echte personen (14 jan.), VK ICO-onderzoek (3 feb.), Iers DPC grootschalig GDPR-onderzoek (16-17 feb.)
  • 🚨 September 2024: Ierse DPC daagde X voor de High Court; X stemde ermee in permanent te stoppen met het verwerken van EU/EEA-openbare berichten van het X-platform voor Grok-training[4][5]
  • 🚨 xAI fuseerde met X Corp (maart 2025, ~$110 miljard waardering): Alle X-gebruikersgegevens vallen nu onder het gegevensregime van xAI
  • ❌ Uitsluitend VS-infrastructuur: Alle gegevens verwerkt in Memphis, Tennessee (geen EU-gegevensvestiging)[6][7]
  • ❌ Amerikaans bedrijf: X.AI LLC gevestigd in Nevada, VS (niet onderworpen aan EU-jurisdictie)[8]
  • ⚠️ Training standaard = OPT-IN: Gebruikers moeten actief opt-out kiezen om training te voorkomen (tegengesteld aan GDPR-conforme aanpak)[9]
  • ⚠️ Memory-functie NIET beschikbaar in EU/VK: Grok's nieuwe memory-functie (april 2025) expliciet geblokkeerd in Europa[10][11]
  • ⚠️ Enterprise Vault gelanceerd: Geïsoleerd datavlak met door klanten beheerde versleuteling - maar uitsluitend VS-gehost; lost EU-jurisdictieproblemen niet op
  • ⚠️ Oracle Cloud-partnerschap (juni 2025) voor Enterprise, maar geen EU-specifieke implementatie bevestigd[12]

Aanbeveling: GEBRUIK GROK NIET voor de verwerking van EU-persoonsgegevens of GDPR-gereguleerde informatie. Het actieve onderzoek, de uitsluitend VS-infrastructuur en de geschiedenis van niet-naleving maken Grok ongeschikt voor Europees zakelijk gebruik.

Vergelijking van Grok-Aanbiedingen (EU-focus)

Abonnement Training op gegevens? EU-gegevensvestiging Onderzoeksstatus Compliance Prijs (USD)
Free (X-platform) ❌ Verboden: X stopte permanent met training op EU-berichten (gerechtelijk bevel sept. 2024) ❌ Uitsluitend VS (Memphis) 🚨 Onder onderzoek GDPR: Niet-conform $0
X Premium/Premium+ ❌ Verboden: X stopte permanent met training op EU-berichten ❌ Uitsluitend VS 🚨 Onder onderzoek GDPR: Niet-conform $8-16/maand
SuperGrok (consument) ⚠️ Ja (tenzij opt-out) ❌ Uitsluitend VS 🚨 5+ actieve onderzoeken GDPR: Niet-conform $30/maand
SuperGrok Heavy ⚠️ Ja (tenzij opt-out) ❌ Uitsluitend VS 🚨 5+ actieve onderzoeken GDPR: Niet-conform $300/maand
X Premium ⚠️ Verboden voor EU-berichten (gerechtelijk bevel) ❌ Uitsluitend VS 🚨 5+ actieve onderzoeken GDPR: Niet-conform $8/maand
X Premium+ ⚠️ Verboden voor EU-berichten (gerechtelijk bevel) ❌ Uitsluitend VS 🚨 5+ actieve onderzoeken GDPR: Niet-conform $40/maand
Grok Business ⚠️ Beweert "geen training" - ONVERIFIEERBAAR tijdens actieve onderzoeken ❌ Uitsluitend VS 🚨 5+ actieve onderzoeken SOC 2 (eigen verklaring); GDPR: Niet-conform $30/seat/maand (dec. 2025)
API (Enterprise) ⚠️ Beweert "geen training op klantgegevens" - ONVERIFIEERBAAR ❌ Uitsluitend VS 🚨 5+ actieve onderzoeken DPA beschikbaar, SOC 2 (eigen verklaring); GDPR: Niet-conform Pay-per-token (~$3/M)

Aandachtspunten voor Europa

🚨 5+ Actieve Onderzoeken (per maart 2026):

  1. Ierse DPC - Grok-trainingsonderzoek (lopend sinds aug. 2024): Onderzoek naar rechtmatigheid en transparantie van de verwerking van EU/EEA-persoonsgegevens voor AI-training. Status: Lopend.[2][13]
  2. Ierse DPC - Deepfake-onderzoek (geopend 16-17 feb. 2026): Grootschalig GDPR-onderzoek naar Grok's deepfake-generatiemogelijkheden en naleving van toepasselijke regels, uitgelokt door het beeldschandaal van december 2025.
  3. Europese Commissie - DSA-procedure (januari 2026): EC opende Digital Services Act-procedure tegen X/xAI; EC beval bewaring van alle Grok AI-records tot eind 2026 (bevel uitgevaardigd 8 jan. 2026).
  4. VK ICO-onderzoek (aangekondigd 3 feb. 2026): Formeel onderzoek naar XIUC en X.AI LLC over Grok deepfake-beeldgeneratie; mogelijke boete van GBP 17,5 miljoen of 4% van de jaarlijkse wereldwijde omzet.
  5. VK Ofcom-onderzoek (gestart 12 jan. 2026): Regulerend onderzoek naar Grok op het X-platform; mogelijke sancties omvatten een platformblokkering of boete van miljoenen pond.

Aanvullende nationale onderzoeken: Spanje, Frankrijk, India (kennisgeving 3 jan. 2026), Indonesië (tijdelijke blokkering 10 jan. 2026), Maleisië, Canada, Brazilië en Californië onderzoeken ook xAI/Grok-praktijken. Franse autoriteiten doorzochten X Paris-kantoren en openden een strafrechtelijk onderzoek (5 jan. 2026).

xAI-fusie met X Corp (maart 2025):

  • xAI en X Corp fuseerden formeel bij een gecombineerde waardering van circa $110 miljard
  • Alle X-gebruikersgegevens vallen nu onder het gegevensregime van xAI, wat de trainingsgegevensbasis van xAI aanzienlijk vergroot
  • Deze fusie is direct relevant voor de reikwijdte van de lopende GDPR-onderzoeken

Gerechtelijk Bevel September 2024:

  • Ierse DPC verkreeg een High Court-injunctie (8 augustus 2024) om X te verplichten de verwerking van EU-gegevens te staken[4]
  • X stemde permanent in met het staken van het gebruik van openbare EU/EEA-berichten van het X-platform voor Grok-training[4][14]
  • Dit verbod geldt UITSLUITEND voor X-platformberichten, NIET voor andere Grok-diensten (grok.com, API)[5]

Infrastructuur: 100% VS-gebaseerd:

  • Colossus-datacenter in Memphis, Tennessee (200.000 NVIDIA H100 GPU's)[6][15]
  • Oracle Cloud-partnerschap aangekondigd juni 2025, maar geen EU-specifieke implementatie[12][16]
  • GEEN EU-gegevensvestigingsoptie beschikbaar

Trainingsbeleid:

  • Consument (grok.com, X Premium): Standaard = training INGESCHAKELD; gebruikers moeten handmatig opt-out kiezen[9]
  • X-platform EU-gebruikers: Training VERBODEN (permanent gerechtelijk bevel)[4]
  • Enterprise API: xAI beweert "geen training op klantgegevens"[8]
  • Werkelijkheid: Opt-out-verantwoordelijkheid bij gebruikers = GDPR-niet-conform

Memory-functie geblokkeerd in EU: Grok's nieuwe memory-functie (gelanceerd april 2025) is NIET beschikbaar in de EU of het VK[10][11] - waarschijnlijk vanwege GDPR-bezwaren

Enterprise Vault:

  • Geïsoleerd datavlak met door klanten beheerde versleuteling
  • Vermarkt als verbeterde gegevensbeveiliging voor Enterprise-klanten
  • Kritieke beperking: Nog steeds uitsluitend VS-gehost; lost EU-jurisdictieproblemen, actieve onderzoeken of het gebrek aan EU-gegevensvestiging niet op

Prijsstelling: Alle prijzen in USD (geen EUR-prijsstelling):[17][18]

  • Free: $0 (10 zoekopdrachten per 2 uur)
  • SuperGrok: $30/maand
  • SuperGrok Heavy: $300/maand
  • X Premium: $8/maand (beperkte Grok-toegang)
  • X Premium+: $40/maand (hogere Grok-limieten)
  • Grok Business: $30/seat/maand (gelanceerd december 2025)
  • Grok Enterprise: Aangepaste prijsstelling
  • API: ~$3-5 per miljoen tokens, afhankelijk van het model

Is Grok GDPR-Conform?

Kort antwoord: NEE. Grok is NIET GDPR-conform en staat momenteel onder een actief regelgevend onderzoek door de Ierse Data Protection Commission.

Waarom Grok GDPR-Compliance Niet Haalt

1. Meerdere Actieve Regelgevende Onderzoeken

  • Ierse DPC: 2 actieve onderzoeken (training, lopend sinds aug. 2024; deepfakes, geopend 16-17 feb. 2026)[2][1]
  • Europese Commissie: DSA-procedure geopend januari 2026; EC beval bewaring van alle Grok AI-records tot eind 2026; Franse autoriteiten doorzochten X Paris-kantoren
  • VK ICO: Formeel onderzoek (3 feb. 2026) naar XIUC en X.AI LLC; mogelijke boete GBP 17,5 miljoen of 4% jaaromzet
  • VK Ofcom: Onderzoek gestart 12 jan. 2026; mogelijke platformblokkering of boete van miljoenen pond
  • Spanje, Frankrijk (inclusief strafrechtelijk onderzoek geopend 5 jan. 2026), India, Indonesië, Maleisië, Canada, Brazilië, Californië: Aanvullende nationale onderzoeken lopend
  • Eerder gerechtelijk bevel (sept. 2024) vereiste permanent verbod op training met EU X-berichten[4]

2. Geen EU-Gegevensvestiging

  • Alle gegevens verwerkt in de VS (Memphis, Tennessee)[6]
  • Geen mogelijkheid om verwerking te beperken tot de EU
  • Oracle Cloud-partnerschap biedt GEEN EU-specifieke implementatie[12]

3. Training Standaard Opt-In

  • Consumentendiensten hebben standaard training INGESCHAKELD[9]
  • Schendt GDPR-vereiste voor opt-IN-toestemming voor niet-essentiële verwerking
  • Verantwoordelijkheid bij gebruikers om trainingsinstelling te ontdekken en uit te schakelen

4. Amerikaans Bedrijf, Amerikaanse Jurisdictie

  • X.AI LLC gevestigd in Nevada, VS[8]
  • Onderworpen aan VS-wetgeving (CLOUD Act, FISA 702)
  • Geen praktisch handhavingsmechanisme voor EU-betrokkenen

5. Beperkte Transparantie

  • Retentieperioden niet duidelijk gedocumenteerd
  • Sub-verwerkers niet openbaar vermeld (in tegenstelling tot concurrenten)
  • Geen openbaar Trust Center of compliance-documentatieportaal

Wat Grok Wel Heeft (Onvoldoende voor GDPR)

  • ✅ DPA beschikbaar voor Enterprise-klanten (sept. 2024)[19]
  • ✅ Europe Privacy Policy Addendum (april 2025)[20]
  • ✅ SOC 2-compliance (eigen verklaring) voor Grok Business/Enterprise[21]
  • ⚠️ Opt-out-mechanisme bestaat (maar inadequaat onder GDPR)
  • ⚠️ Geen ISO 27001-certificering vermeld

Consument Grok (grok.com, X Premium)

Wat het is: ChatGPT-stijl conversationele AI toegankelijk via:

  • Grok.com-website
  • Grok mobiele apps (iOS/Android)
  • X-platform (Premium/Premium+-abonnees)

Trainingsbeleid: Standaard gebruikt xAI uw invoer, uitvoer en gebruiksgegevens om Grok-modellen te verbeteren. U kunt opt-out kiezen in de instellingen.[9]

⚠️ X-platform EU-uitzondering: Vanwege het gerechtelijk bevel van september 2024 heeft X permanent gestopt met het verwerken van EU/EEA-openbare berichten voor Grok-training.[4] Dit geldt UITSLUITEND voor het X-platform, niet voor grok.com of mobiele apps.

Memory-functie: Gelanceerd in april 2025, kan Grok eerdere gesprekken onthouden om reacties te personaliseren. NIET beschikbaar in de EU of het VK.[10][11]

Gegevenslocatie: Memphis, Tennessee, VS (Colossus-datacenter)[6]

Retentie: Niet duidelijk gespecificeerd in openbare documentatie. Consument-FAQ stelt dat xAI informatie bewaart "zolang als noodzakelijk", maar biedt geen specifieke termijnen.[9]

Opt-out-procedure:

  • Grok.com/mobiele apps: Instellingen → Gegevens & Privacy → Training uitschakelen
  • X-platform: Instellingen → Privacy & Veiligheid → Grok → Vink "Sta training toe" uit

Prijsstelling:[17]

  • Free: $0 (10 zoekopdrachten per 2 uur)
  • SuperGrok: $30/maand
  • SuperGrok Heavy: $300/maand
  • X Premium: $8/maand (beperkte Grok-toegang)
  • X Premium+: $16/maand (hogere Grok-limieten)

Wanneer te gebruiken: Uitsluitend voor persoonlijk experimenteren met niet-gevoelige, niet-EU-gegevens.

Wanneer NIET te gebruiken: Alle EU-persoonsgegevens, klantgegevens, GDPR-gereguleerde informatie, zakelijk gebruik.

Grok Business & Enterprise

Wat het is: Commerciële aanbiedingen voor teams en organisaties:

  • Grok Business: $30/seat/maand, ontworpen voor kleine tot middelgrote teams[21]
  • Grok Enterprise: Aangepaste prijsstelling, enterprise-grade controles[21]
  • API: Ontwikkelaarstoegang voor aangepaste integraties[8]

Trainingsbeleid: xAI beweert "geen training op uw gegevens" voor Business/Enterprise.[21][8]

⚠️ Verificatieprobleem: Deze bewering is moeilijk te verifiëren gezien:

  • Actief GDPR-onderzoek naar trainingspraktijken
  • Geschiedenis van niet-naleving (gerechtelijk bevel sept. 2024)
  • Geen openbare auditrapporten of verificatie door derden

Gegevenslocatie: Uitsluitend VS (Memphis + Oracle Cloud)[6][12]

Compliance:[21]

  • SOC 2-compliance (eigen verklaring, rapport niet openbaar beschikbaar)
  • GDPR & CCPA-compliance (eigen verklaring, staat onder onderzoek)
  • Gegevensversleuteling in rust en in transit
  • Geen ISO 27001-certificering vermeld

DPA: Beschikbaar voor Enterprise-klanten (laatst bijgewerkt op 5 september 2024)[19]

  • Bevat Standard Contractual Clauses voor EU-gegevensoverdrachten
  • Definieert xAI als "verwerker" voor klantgegevens
  • Echter: DPA lost de problemen met VS-jurisdictie of infrastructuur NIET op

Connectors: Integratie met Google Drive, SharePoint, GitHub, Dropbox (eigen verklaring)[21]

Wanneer te gebruiken: ❌ NIET aanbevolen voor EU-klanten vanwege actief onderzoek en uitsluitend VS-infrastructuur.

Wanneer NIET te gebruiken: Elk GDPR-gereguleerd gebruik, EU-persoonsgegevens, sterk gereguleerde sectoren (financiële dienstverlening, gezondheidszorg, overheid).

API-Toegang

Wat het is: Ontwikkelaars-API voor het integreren van Grok-modellen in applicaties.[8]

Beschikbare modellen (per okt. 2025):[22]

  • Grok 4, Grok 4 Fast
  • Grok 3, Grok 3 Fast
  • Prijsstelling: ~$3-5 per miljoen tokens, afhankelijk van het model

Trainingsbeleid: xAI stelt dat klantgegevens ingediend via API "niet worden gebruikt voor het trainen of verbeteren van modellen."[8]

Retentie: Niet duidelijk gespecificeerd. Enterprise-FAQ stelt dat xAI gegevens bewaart "zolang als noodzakelijk voor het leveren van diensten", maar biedt geen specifieke termijnen.[8]

Gegevenslocatie: VS (Memphis, Tennessee + Oracle Cloud)[6][12]

Voorwaarden: Enterprise-gebruiksvoorwaarden + DPA[23][19]

Wanneer te gebruiken: ❌ NIET aanbevolen voor EU-klanten vanwege uitsluitend VS-infrastructuur en actief GDPR-onderzoek.

Gegevensverwerkingsstroom

Consument Grok (grok.com, mobiele apps)

Gebruiker dient prompt in
  ↓
xAI-servers (Memphis, Tennessee, VS)
  ├─ Verwerkt door Grok-model (Grok 3/4)
  ├─ Reactie gegenereerd
  └─ Gegevens opgeslagen:
      ├─ Gespreksgeschiedenis (onbepaald, totdat gebruiker verwijdert)
      ├─ Memory (indien ingeschakeld; NIET beschikbaar in EU/VK)
      └─ Trainingsgegevens (standaard INGESCHAKELD; gebruiker kan opt-out kiezen)

Gegevens verlaten de VS nooit
Geen EU-gegevensvestigingsoptie

X-Platform (EU-gebruikers)

EU-gebruiker plaatst bericht op X
  ↓
X-servers
  ├─ Openbare berichten opgeslagen op X-platform
  └─ 🚨 VERBODEN voor Grok-training (gerechtelijk bevel sept. 2024)
      ↓
      Gegevens NIET gedeeld met xAI voor Grok-training
      (Permanent gerechtelijk bevel)

Let op: Verbod geldt UITSLUITEND voor X-platformberichten,
NIET voor direct gebruik van [Grok.com/API](http://Grok.com/API)

Enterprise API

API-verzoek vanuit klantapplicatie
  ↓
xAI-servers (Memphis + Oracle Cloud, uitsluitend VS)
  ├─ Verwerkt door geselecteerd Grok-model
  ├─ Reactie teruggestuurd naar klant
  └─ Gegevensverwerking:
      ├─ Bewering: "Niet gebruikt voor training"
      ├─ Retentie: Onbepaalde termijn
      └─ Locatie: Uitsluitend VS (geen EU-optie)

⚠️ Ondanks DPA en geen-training-bewering
zijn gegevens nog steeds onderworpen aan:
  - VS-jurisdictie (CLOUD Act)
  - Actief GDPR-onderzoek
  - Uitsluitend VS-infrastructuur

Aanbevelingen (GDPR-first)

❌ NIET gebruiken voor EU-klanten

  • Elke Grok-aanbieding (consument, business, enterprise, API) voor EU-persoonsgegevens
  • Elk GDPR-gereguleerd gebruik (HR-gegevens, klantgegevens, patiëntgegevens, financiële gegevens)
  • Overheid of sterk gereguleerde sectoren in de EU

🚨 Actieve risico's

  • Regelgevingsrisico: Actief GDPR-onderzoek; potentiële boetes voor klanten die Grok gebruiken
  • Juridisch risico: DPA en SCCs onvoldoende gezien VS-jurisdictie en onderzoek
  • Reputatierisico: Associatie met platform onder regelgevend toezicht
  • Gegevenssoevereiniteitsrisico: Geen EU-infrastructuur of -gegevensvestiging

✅ Alternatieve oplossingen voor EU-klanten

  • EU-gebaseerde aanbieders: Mistral AI (Frans), Aleph Alpha (Duits)
  • EU-gegevensvestigingsopties: OpenAI (Azure EU), Anthropic Claude (GCP EU-regio's), Google Gemini (EU-regio's)
  • Self-hosted: Llama 3, Mistral open modellen op EU-infrastructuur

EU-Implementatiechecklist (Praktisch)

⚠️ AANBEVELING: GA NIET door met Grok-implementatie voor EU-toepassingen.

Als uw organisatie Grok overweegt ondanks de waarschuwingen:

1. Juridische Beoordeling (VERPLICHT)

  • ✅ Raadpleeg EU-gegevensbeschermingsjuristen
  • ✅ Voer een Data Protection Impact Assessment (DPIA) uit
  • ✅ Documenteer rechtsgrondslag voor VS-gegevensoverdrachten
  • ✅ Beoordeel het risico op regelgevingsmaatregelen gezien het actieve onderzoek
  • ✅ Bereid u voor op mogelijke vragen van de DPC

2. Due Diligence

  • ✅ Vraag het SOC 2-rapport op en beoordeel het (niet openbaar beschikbaar)
  • ✅ Beoordeel DPA en Enterprise-voorwaarden grondig
  • ✅ Verifieer "geen training"-bewering bij xAI (vraag contractuele garanties)
  • ✅ Vraag retentiebeleidsdocumentatie op (niet in openbare FAQ's)
  • ✅ Begrijp de beperkingen van Standard Contractual Clauses gezien de VS-locatie

3. Dataminimalisatie

  • ✅ Verwijder alle EU-persoonsgegevens vóór indiening bij Grok
  • ✅ Gebruik pseudonimiserings-/anonimiseringstechnieken
  • ✅ Implementeer een gegevensfilterlaag om PII te blokkeren
  • ✅ Beheer auditlogs van alle gegevens die naar Grok worden gestuurd

4. Beheer van Betrokkenenrechten

  • ✅ Documenteer hoe GDPR-inzageverzoeken worden behandeld
  • ✅ Stel een proces in voor verzoeken tot gegevensverwijdering
  • ✅ Verduidelijk de verantwoordelijkheden van verwerkingsverantwoordelijke versus verwerker
  • ✅ Bereid u voor op verzoeken tot bezwaar

5. Monitoring

  • ✅ Volg de ontwikkelingen van het GDPR-onderzoek
  • ✅ Houd nieuwe gerechtelijke bevelen of regelgevingsmaatregelen bij
  • ✅ Beoordeel xAI-privacybeleidupdates (frequente wijzigingen)
  • ✅ Beoordeel per kwartaal of voortgezet gebruik gerechtvaardigd is

6. Transparantie

  • ✅ Vermeld Grok-gebruik in privacyverklaringen
  • ✅ Informeer betrokkenen over VS-gegevensoverdrachten
  • ✅ Bied een opt-out-mechanisme voor Grok-verwerking
  • ✅ Documenteer in verwerkingsregisters (Artikel 30)

Inkoopvragen & Antwoorden

V: Is xAI een VS- of EU-bedrijf?

A: Amerikaans bedrijf. X.AI LLC is opgericht in Nevada, VS.[8] Het bedrijf is niet onderworpen aan EU-jurisdictie en heeft zijn hoofdkantoor in de Verenigde Staten.

V: Waar worden Grok-gegevens opgeslagen en verwerkt?

A: 100% VS. De primaire infrastructuur is het Colossus-datacenter in Memphis, Tennessee (200.000 NVIDIA H100 GPU's).[6][7] Oracle Cloud-partnerschap aangekondigd in juni 2025, maar geen EU-specifieke implementatie bevestigd.[12] Er is GEEN EU-gegevensvestigingsoptie.

V: Wat is de status van de GDPR-onderzoeken?

A: Snel escaleert - 5+ actieve onderzoeken per maart 2026:

  1. Ierse DPC trainingsonderzoek (lopend sinds aug. 2024) - onderzoek naar rechtmatigheid van EU-gegevenstraining[2]
  2. Ierse DPC deepfake-onderzoek (geopend 16-17 feb. 2026) - grootschalig GDPR-onderzoek naar Grok's deepfake-beeldgeneratie
  3. Europese Commissie DSA-procedure (januari 2026) - EC beval bewaring van alle Grok AI-records tot eind 2026; Franse autoriteiten doorzochten X Paris-kantoren
  4. VK ICO formeel onderzoek (aangekondigd 3 feb. 2026) - betreft XIUC en X.AI LLC; mogelijke boete GBP 17,5 miljoen of 4% jaarlijkse wereldwijde omzet
  5. VK Ofcom-onderzoek (gestart 12 jan. 2026) - mogelijke platformblokkering of boete van miljoenen pond

Aanvullende onderzoeken door Spanje, Frankrijk (inclusief strafrechtelijk onderzoek geopend 5 jan. 2026), India, Indonesië, Maleisië, Canada, Brazilië en Californië zijn ook lopend. Per maart 2026 zijn geen oplossingen aangekondigd.

V: Waar ging het gerechtelijk bevel van september 2024 over?

A: In augustus 2024 verkreeg de Ierse DPC een High Court-injunctie waarmee X (het platform) werd verplicht te stoppen met het verwerken van EU/EEA-openbare berichten voor Grok-training.[4] X stemde in dit permanent te staken.[5] Dit verbod geldt echter UITSLUITEND voor X-platformberichten, NIET voor grok.com, mobiele apps of API-gebruik.

V: Traint xAI op mijn gegevens?

A: Afhankelijk van het product:

  • Consument Grok (grok.com, mobiel): JA, standaard. U kunt opt-out kiezen in de instellingen.[9]
  • X-platform (EU-gebruikers): NEE. Permanent verboden door gerechtelijk bevel.[4]
  • Business/Enterprise/API: xAI beweert "geen training op klantgegevens."[8][21] Dit is echter moeilijk te verifiëren gezien het actieve GDPR-onderzoek en de geschiedenis van niet-naleving.

V: Is er een Data Processing Agreement (DPA) beschikbaar?

A: Ja, voor Enterprise-klanten (laatste update 5 september 2024).[19] De DPA bevat Standard Contractual Clauses voor EU-gegevensoverdrachten. De DPA lost echter NIET op:

  • Uitsluitend VS-infrastructuur
  • VS-jurisdictie (CLOUD Act, FISA 702)
  • Actief GDPR-onderzoek
  • Gebrek aan EU-gegevensvestiging

V: Welke compliance-certificeringen heeft xAI?

A:

  • ✅ SOC 2: Eigen verklaring voor Business/Enterprise (rapport niet openbaar beschikbaar)[21]
  • ❌ ISO 27001: Niet vermeld
  • 🚨 GDPR: Onder actief onderzoek; niet-conform[1]
  • ⚠️ CCPA: Eigen verklaring, niet geverifieerd

V: Hoe lang bewaart xAI gegevens?

A: Niet duidelijk gespecificeerd. Consument-FAQ stelt dat xAI informatie bewaart "zolang als noodzakelijk voor het leveren van diensten", maar biedt geen specifieke termijnen.[9] Enterprise-FAQ is eveneens vaag.[8] Dit gebrek aan transparantie is een GDPR-compliance-waarschuwingssignaal.

V: Kan ik de gegevensverwerking beperken tot de EU?

A: NEE. Er is geen EU-gegevensvestigingsoptie. Alle gegevens worden verwerkt in de VS (Memphis, Tennessee + Oracle Cloud).[6][12]

V: Waarom is de memory-functie geblokkeerd in de EU?

A: Grok's nieuwe memory-functie (gelanceerd april 2025) is expliciet niet beschikbaar in de Europese Unie of het VK.[10][11] Hoewel xAI geen officiële reden heeft opgegeven, is dit waarschijnlijk te wijten aan GDPR-bezwaren over onbeperkte gegevensretentie en het ontbreken van een duidelijke rechtsgrondslag.

V: Wat is de relatie van xAI met X (Twitter)?

A: xAI en X Corp. fuseerden formeel in maart 2025 bij een gecombineerde waardering van circa $110 miljard. Dit betekent:

  • Alle X-gebruikersgegevens vallen nu onder het gegevensregime van xAI, wat de toegang van xAI tot trainingsgegevens vergroot
  • De fusie is direct relevant voor de lopende DPC- en EC-onderzoeken naar Grok-trainingsgegevensbronnen
  • Grok is geïntegreerd in het X-platform (X Premium/Premium+-abonnees)
  • Beide entiteiten worden gecontroleerd door Elon Musk

Opmerkingen & Voorbehouden

🚨 Snel Escaleert Wereldwijde Regulatoire Handhaving: Per maart 2026 staat xAI/Grok voor 5+ actieve onderzoeken in het VK en de EU (Iers DPC trainingsonderzoek, Iers DPC deepfake-onderzoek, EC DSA-procedure, VK ICO-onderzoek met mogelijke boete GBP 17,5 miljoen, VK Ofcom-onderzoek met mogelijke platformblokkering), plus nationale onderzoeken in Spanje, Frankrijk, India, Indonesië, Maleisië, Canada, Brazilië en Californië. Het deepfake-beeldschandaal van december 2025 — circa 3 miljoen geseksualiseerde afbeeldingen gedocumenteerd door het Centre for Countering Digital Hate in slechts 11 dagen — lokte direct meerdere van deze onderzoeken uit. Dit vertegenwoordigt een dramatische escalatie ten opzichte van het enkele onderzoek uit oktober 2025.[2][1]

🚨 Impact van de xAI-X Corp-fusie: De fusie van maart 2025 (~$110 miljard waardering) betekent dat alle X-gebruikersgegevens nu onder het gegevensregime van xAI vallen, waardoor de reikwijdte van gegevens die xAI voor Grok-training kan benutten wordt vergroot. Dit is direct relevant voor de lopende DPC- en EC-onderzoeken.

🚨 Geschiedenis van Niet-Naleving: xAI/X heeft een gedocumenteerde geschiedenis van GDPR-overtredingen:

  • Gerechtelijk bevel vereist om training op EU-berichten te stoppen (sept. 2024)[4]
  • Meerdere privacyklachten ingediend door belangengroepen[1]
  • Zwitserse federale gegevensbeschermingscommissaris deed ook onderzoek (maart 2025)[24]

❌ Geen EU-Gegevensvestiging: In tegenstelling tot concurrenten (OpenAI Azure, Anthropic GCP, Google, Mistral) biedt xAI geen EU-gegevensvestigingsoptie. Alle gegevens verwerkt in de VS.[6]

❌ Training Standaard Opt-In: Consumentendiensten hebben standaard training INGESCHAKELD, waarbij gebruikers opt-out moeten kiezen.[9] Dit schendt de GDPR-vereiste voor opt-IN-toestemming voor niet-essentiële verwerking.

❌ Memory Geblokkeerd in EU: Het expliciet blokkeren van Grok's memory-functie in EU/VK[10] suggereert dat xAI GDPR-complianceproblemen erkent maar deze niet heeft opgelost.

⚠️ Niet-geverifieerde Beweringen: xAI's beweringen over "geen training" op Enterprise-gegevens en SOC 2-compliance zijn moeilijk te verifiëren:

  • SOC 2-rapport niet openbaar beschikbaar
  • Geen onafhankelijke audits of verificatie door derden
  • Actief regelgevend onderzoek ondermijnt het vertrouwen

⚠️ Beperkte Transparantie: In vergelijking met concurrenten biedt xAI minimale openbare documentatie:

  • Geen openbaar Trust Center of beveiligingsportaal
  • Retentieperioden ongedefinieerd
  • Sub-verwerkerlijst niet gepubliceerd
  • Compliance-documentatie achter salescontact

⚠️ VS-Jurisdictie: Als Amerikaans bedrijf met uitsluitend VS-infrastructuur is xAI onderworpen aan:

  • CLOUD Act (buitenlandse gegevenstoegang)
  • FISA 702-surveillance
  • VS-overheidsverzoeken om gegevens
  • Beperkte praktische handhaving van EU-betrokkenenrechten

⚠️ Snelle Wijzigingen: xAI werkt voorwaarden en privacybeleid frequent bij:

  • Europe Privacy Policy Addendum toegevoegd april 2025[20]
  • DPA laatste update sept. 2024[19]
  • Gebruiksvoorwaarden meerdere keren bijgewerkt in 2024-2025
  • Houd wijzigingen bij als u implementatie overweegt

Disclaimer

🚨 ERNSTIGE WAARSCHUWING: Dit overzicht documenteert de huidige status van Grok per maart 2026, inclusief 5+ actieve onderzoeken in het VK en de EU (Iers DPC trainingsonderzoek, Iers DPC deepfake-onderzoek, EC DSA-procedure, VK ICO-onderzoek, VK Ofcom-onderzoek), een wereldwijd deepfake-beeldschandaal waarbij in slechts 11 dagen circa 3 miljoen geseksualiseerde afbeeldingen zijn gedocumenteerd, en een gedocumenteerde geschiedenis van niet-naleving. De situatie is dramatisch geëscaleerd ten opzichte van oktober 2025. Wij RADEN TEN STERKSTE AF Grok te gebruiken voor EU-persoonsgegevens of GDPR-gereguleerde toepassingen.

Dit overzicht is uitsluitend bedoeld als informatief hulpmiddel. Wij adviseren klanten nadrukkelijk:

  1. Raadpleeg EU-gegevensbeschermingsjuristen voordat u Grok overweegt
  2. Voer een Data Protection Impact Assessment (DPIA) uit voor elk EU-gebruik
  3. Volg het actieve GDPR-onderzoek op ontwikkelingen
  4. Beoordeel alternatieve AI-aanbieders met EU-gegevensvestiging en compliance
  5. Beoordeel alle juridische documentatie grondig (DPA, voorwaarden, privacybeleid)

WAIMAKERS past dit principe zelf ook toe; alle tools die wij gebruiken zijn grondig beoordeeld en opgenomen in onze eigen privacy- en beveiligingsdocumentatie. Wij gebruiken Grok intern niet vanwege GDPR-compliancebezwaren.

Klanten dienen altijd de officiële documentatie, voorwaarden en DPA's van elke AI-aanbieder die zij gebruiken zorgvuldig te evalueren. WAIMAKERS kan niet juridisch aansprakelijk worden gesteld voor fouten, vergissingen, onjuistheden, of voor de nauwkeurigheid, actualiteit of volledigheid van de informatie in dit document; de uiteindelijke verantwoordelijkheid voor GDPR-naleving berust bij de klant.

Gezien het actieve regelgevend onderzoek en de gedocumenteerde complianceproblemen kunnen wij Grok voor EU-klanten op dit moment niet aanbevelen.

Opgesteld en uitgegeven door WAIMAKERS B.V. - maart 2026.

Referenties

  • https://x.ai/legal/privacy-policy - xAI Privacybeleid (van kracht per 10 juli 2025)
  • https://x.ai/legal/data-processing-addendum/previous-2024-09-05 - xAI Data Processing Addendum (laatste wijziging: 5 september 2024)
  • https://x.ai/legal/faq-enterprise - xAI Enterprise FAQ's
  • https://x.ai/legal/terms-of-service-enterprise - xAI Enterprise Gebruiksvoorwaarden
  • https://www.dataprotection.ie/en/news-media/press-releases/data-protection-commission-welcomes-conclusion-proceedings-relating-xs-ai-tool-grok - Ierse DPC Gerechtelijke Procedure X/Grok (september 2024)
  • https://www.euractiv.com/section/tech/news/exclusive-irish-data-privacy-watchdog-opens-investigation-into-musks-grok-ai-model/ - Ierse DPC Opent GDPR-Onderzoek naar Grok AI (april 2025)
  • https://www.freevacy.com/news/data-protection-commission/dpi-opens-gdpr-investigation-into-xais-grok-ai-data-training/6312 - DPC Opent GDPR-Onderzoek naar xAI Grok AI Data Training

Hulp nodig bij AI?

Plan een gesprek
WAIMAKERS

Learn. Lead. Make.

AI Transformation Boutique · Amsterdam

Maak werk inspirerend, maak bedrijven onstuitbaar.

Wie we helpen

Bekijk alle rollen & sectorenCEO's & BestuursledenPE & InvesteringsmanagersCFO's & Financieel LeidersInnovatiedirecteurenCTO's & IT-leidersCommercieel Directeuren

Wat we doen

Bekijk alle servicesOnze aanpakLearnMaatwerktrainingenAI Champions ProgrammaAgentic Way of WorkingE-learningLeadMake

Bedrijf

Over onsKennisbankContactCarrièresPodcast ↗

© 2026 WAIMAKERS. Alle rechten voorbehouden.

PrivacybeleidCookiebeleid