Ga naar hoofdinhoud
WAIMAKERS
Over onsCarrièresContact
|
Plan een gesprek
Terug naar overzicht

Notion AI

Notion

CompliantEU: AvailableNo Training30 DaysMulti-region

Zakelijk Abonnement

€19.50/user (Business), custom (Enterprise)

Enterprise Functies

EU residency (Frankfurt + Ireland backup), zero-retention LLMs, HIPAA, Notion Agents

Laatst bijgewerkt

March 23, 2026

Notion AI (EU) - GDPR & Gegevensprivacy Overzicht (mrt. 2026)

Doelgroep: Europese klanten die Notion AI overwegen voor kennisbeheer, samenwerking en enterprise zoekopdrachten.

Datum: maart 2026

Samenvatting (TL;DR)

  • Enterprise-abonnement met EU Data Residency: Klantgegevens (pagina-inhoud, bestanden, zoekindex) worden opgeslagen in Frankfurt (EU-Central) met Ierland als back-up. Zero-retention LLMs betekent dat prompts/outputs niet worden opgeslagen door AI-aanbieders. Klantgegevens worden niet gebruikt voor modeltraining conform contract. EU-residentie is bevestigd actief in Frankfurt (uitsluitend Enterprise, via sales-assistentie).
  • Business-abonnement: AI is nu uitsluitend gebundeld in het Business-abonnement voor $18/gebruiker/maand (de aparte AI-add-on van $8/gebruiker is per mei 2025 stopgezet). Geen EU-gegevensopslag; LLM-aanbieders (OpenAI, Anthropic) bewaren gegevens tot 30 dagen. Free- en Plus-abonnementen krijgen alleen een beperkte AI-proefperiode (~20 reacties). Residueel GDPR-risico voor gereguleerde werkzaamheden.
  • Notion 3.0 Agents: Gelanceerd in september 2025 - autonome agents die meerstapsige taken kunnen uitvoeren binnen uw werkruimte.
  • EMEA-aanwezigheid: Notion heeft kantoren geopend in Londen, München en Parijs, waarmee de Europese commerciële aanwezigheid wordt versterkt.
  • Rechten en beheer: AI respecteert Notion-pagina- en teamspace-machtigingen; kan geen inhoud tonen waartoe gebruikers geen toegang hebben. Enterprise biedt toggles voor webzoekopdrachten, aangepaste bewaartermijnen (1 dag-10 jaar), DLP/SIEM-integraties en beheerauditlogboeken.
  • Grensoverschrijdende overdrachten: Maakt gebruik van SCCs voor overdrachten buiten de EU; LLM-verwerking kan buiten de EU plaatsvinden, maar Enterprise handhaaft zero-retention op providerniveau.

Is het Business-abonnement GDPR-compliant?

Kort antwoord: Zowel Notion als Notion AI kunnen op GDPR-conforme wijze worden gebruikt met het Business-abonnement, maar veel EU-klanten voldoen alleen aan hun beleids- en contractvereisten op Enterprise-niveau.

Wat voor alle abonnementen geldt:

  • DPA & GDPR-programma - Notion biedt een Data Processing Addendum (DPA) met SCCs die van toepassing is wanneer Notion persoonsgegevens voor u verwerkt (Business en Enterprise).
  • AI-modeltraining - Noch Notion noch zijn AI-subverwerkers gebruiken klantgegevens voor modeltraining (contractueel verbod voor alle abonnementen).

Wat afhankelijk is van het abonnement:

  • AI-bewaartermijn
    • Enterprise: Zero data retention bij LLM-aanbieders (niets opgeslagen).
    • Business: LLM-aanbieders mogen klantgegevens tot 30 dagen bewaren voor operationele doeleinden, waarna ze worden verwijderd.
    • (Embeddings maken gebruik van een zero-retention OpenAI API; embeddings die door Notion zijn opgeslagen worden binnen ~60 dagen verwijderd na verwijdering van de pagina/werkruimte.)
  • EU-gegevensopslag
    • Alleen Enterprise: Pagina-inhoud, bestanden en zoekindex worden opgeslagen in de EU (Frankfurt primair, Ierland back-up). Migratie verloopt via sales; sommige metadata en producten (Calendar/Mail, bèta's) vallen buiten de EU-scope.
    • Business: Geen EU-opslag; standaard hosting blijft in de VS (met SCCs/TIA voor overdrachten).
  • Enterprise-beheer - Aangepaste bewaarvensters (1 dag-10 jaar) en bepaalde compliance-integraties zijn uitsluitend beschikbaar op Enterprise.

Wat dit in de praktijk betekent:

  • Als uw DPIA/TIA SCC-gebaseerde overdrachten accepteert en u akkoord gaat met ≤30 dagen LLM-bewaring, kan Business worden geconfigureerd om aan GDPR-verplichtingen te voldoen. Documenteer deze resterende risico's en beperk gevoelige gegevens dienovereenkomstig.
  • Als u EU-opslag en zero-retention op LLM-niveau vereist (gebruikelijk in gereguleerde sectoren en de publieke sector), heeft u Enterprise nodig.

Koperstip: Business = GDPR-capabel (met SCCs + ≤30 dagen LLM-bewaring); Enterprise = GDPR-voorkeur (EU-opslag + zero-retention).

Abonnementen in een oogopslag (EU-gericht)

Niveau Training op uw gegevens? LLM-bewaring EU-gegevensopslag Beveiliging & compliance Typische EU-prijs
Business ✅ Nee (contractueel verbod met LLM-aanbieders) ⚠️ Tot 30 dagen bij LLM-aanbieders (standaard API-bewaring OpenAI/Anthropic) ❌ Nee (wereldwijde infrastructuur) SOC 2 Type II, ISO 27001 $18/gebruiker/maand (AI gebundeld; aparte add-on stopgezet per mei 2025)
Enterprise ✅ Nee (contractueel verbod met LLM-aanbieders) ✅ Zero retention bij LLM-aanbieders ✅ Ja: Frankfurt (EU-Central) + Ierland back-up voor inhoud/bestanden/zoekindex* SOC 2 Type II, ISO 27001, HIPAA-modus, DLP/SIEM-integraties, auditlogboeken Aangepaste prijsstelling (via sales)
  • Sommige metadata, analyses, Notion Calendar/Mail en bèta-diensten kunnen buiten de EU-regioscope worden opgeslagen.

Aanbeveling: Voor GDPR-gevoelige werkzaamheden kiest u voor Enterprise met EU Data Residency om inhoud in de EU op te slaan en LLM-verwerking met zero-retention te garanderen. Het Business-abonnement brengt residueel risico met zich mee vanwege 30 dagen LLM-bewaring en het ontbreken van EU-opslag.

Details per aanbieding

1) Notion AI (Business-abonnement)

  • Inbegrepen: AI-chat, schrijfassistentie, database-autofill, vergadernotities, Q&A over werkruimte-inhoud en Notion 3.0 Agents (autonoom uitvoeren van meerstapsige taken, gelanceerd september 2025). AI-functies zijn inbegrepen in het Business-abonnement ($18/gebruiker/maand; aparte AI-add-on stopgezet per mei 2025). Free- en Plus-abonnementen krijgen alleen een beperkte proefperiode (~20 AI-reacties).
  • Training: Klantgegevens worden niet gebruikt voor modeltraining als standaard; contractueel verbod met LLM-aanbieders (OpenAI, Anthropic).
  • LLM-bewaring: Prompts/outputs worden door LLM-aanbieders bewaard voor tot 30 dagen voor operationele doeleinden conform het standaard API-bewaarbeleid van OpenAI en Anthropic, waarna ze worden verwijderd.
  • Gegevensopslag: Geen EU-opslagoptie; gegevens worden opgeslagen op wereldwijde infrastructuur.
  • Embeddings: OpenAI embeddings API heeft zero-retention aan providerzijde; Notion's opgeslagen embeddings worden verwijderd binnen 60 dagen na verwijdering van de pagina/werkruimte.
  • Machtigingen: AI respecteert pagina- en teamspace-machtigingen; kan geen inhoud tonen waartoe een gebruiker geen toegang heeft.
  • Wanneer te gebruiken: Algemene productiviteit, niet-gereguleerde werkzaamheden, teams die akkoord gaan met 30 dagen LLM-bewaring.
  • Wanneer niet te gebruiken: Gereguleerde sectoren die EU-opslag en zero-retention vereisen (gezondheidszorg, financiën, publieke sector met strikte vereisten voor gegevenslokalisatie).

2) Notion AI (Enterprise-abonnement)

  • Training: Klantgegevens worden niet gebruikt voor modeltraining; contractueel verbod gehandhaafd bij LLM-aanbieders.
  • LLM-bewaring: Zero retention bij LLM-aanbieders (geen opslag van prompts/outputs).
  • EU-gegevensopslag: Bevestigd actief (via sales-assistentie). Primaire regio: Frankfurt (EU-Central) met back-up in Ierland (EU-West).
    • Gedekt: Pagina-inhoud, geüploade bestanden, zoekindex, berichten van derden/bots opgeslagen in Notion.
    • Niet gedekt: Sommige account/factuur/werkruimte-metadata, analyses, Notion Calendar/Mail en bèta-diensten.
  • Embeddings: OpenAI embeddings API zero-retention aan providerzijde; Notion's vector DB-vermeldingen verwijderd binnen 60 dagen na verwijdering van pagina of werkruimte.
  • Migratie: Bestaande werkruimten kunnen worden gemigreerd naar de EU-regio; VS-kopieën worden ~30 dagen na voltooiing van de migratie verwijderd.
  • Beheer:
    • Toggle voor webzoekopdrachten en bevestigingsprompts voor externe verzoeken
    • Aangepaste gegevensbewaring: 1 dag tot 10 jaar
    • Automatische verwijderingsschema's voor AI-vergadertranscripten
    • IP-allowlists, juridische bewaarverplichtingen, SSO/SCIM
    • DLP/SIEM-integraties, Admin-auditlogboek
  • Connectors: Optionele AI-connectors (Slack, Jira, GitHub, Microsoft 365, Google Drive) laten AI zoeken in verbonden apps. Gegevens in apps van derden vallen onder de voorwaarden van die apps; alleen in Notion opgeslagen gegevens vallen binnen de opslagscope.
  • Compliance: SOC 2 Type II, ISO 27001; HIPAA-modus ondersteund met zero-retention LLM API's.
  • Prijsstelling: Aangepast (neem contact op met Notion Sales voor EU-prijsstelling).

Hoe Notion AI Gegevens Verwerkt (Vereenvoudigde Stroom)

Gebruikersprompt in Notion
  ↓
Notion AI-orchestrator
  ├─ (Optioneel) Werkruimte-ophaling via embeddings
  │   → OpenAI zero-retention API
  │   → Vector DB slaat embeddings op (verwijderd binnen 60 dagen na verwijdering pagina/werkruimte)
  ├─ LLM-aanroep (OpenAI / Anthropic)
  │   ├─ Enterprise: zero data retention bij LLM
  │   └─ Business: ≤30 dagen bewaring bij LLM
  ├─ (Optioneel) Webzoekopdracht / Connectors (Slack, Jira, etc.)
  └─ Antwoord geretourneerd
      → Opgeslagen als pagina-inhoud in werkruimte (EU-opslag indien ingeschakeld)

Machtigingen: AI heeft geen toegang tot inhoud waartoe een gebruiker geen toegang heeft; respecteert Notion-pagina- en teamspace-machtigingen.

Bewaring & Verwijdering

  • LLM-bewaring:
    • Enterprise: 0 dagen (zero-retention bij aanbieders)
    • Business: Tot 30 dagen voor operationele doeleinden conform het standaard API-bewaarbeleid van OpenAI en Anthropic, waarna verwijderd
  • Embeddings:
    • Aan providerzijde: zero-retention (OpenAI embeddings API)
    • Notion vector DB: vermeldingen verwijderd binnen 60 dagen na verwijdering van pagina of werkruimte
  • Verwijdering werkruimte: Inhoud gedurende 30 dagen herstelbaar, daarna permanent verwijderd (standaard Notion-verwijderingsvenster).
  • Aangepaste bewaring: Enterprise-beheerders kunnen bewaarbeleid configureren (1 dag tot 10 jaar) en automatische verwijdering van AI-vergadertranscripten inschakelen.

LLM-Aanbieders & Subverwerkers

  • LLM-aanbieders: Notion gebruikt een combinatie van eigen orchestratie en LLMs van derden, waaronder OpenAI en Anthropic.
  • Lijst van subverwerkers: Notion beheert een openbare lijst van subverwerkers en stelt klanten op de hoogte van wijzigingen; beveiligings-due diligence wordt uitgevoerd.
  • Contractuele bescherming: Notion's contracten met LLM-aanbieders bevatten:
    • Geen training op klantgegevens
    • Zero-retention voor Enterprise-klanten
    • ≤30 dagen bewaring voor Business, in lijn met het standaard API-bewaarbeleid van OpenAI en Anthropic voor operationele/misbruikbewaking

Opmerking: Wijzigingen in het consumentenbeleid van Anthropic (opt-out training, langere bewaring) zijn niet van toepassing op Notion's enterprise-contracten. Valideer altijd de voorwaarden in uw DPA.

IP & Eigendom van Inhoud

  • Inputs en outputs: Worden behandeld als Klantgegevens; Notion maakt geen aanspraak op eigendom.
  • Rechten: Klanten behouden volledige rechten op AI-inputs en -outputs conform de Notion AI Aanvullende Voorwaarden.

EU-Implementatiechecklist (Praktisch)

  1. Kies Enterprise en schakel EU Data Residency in
    • Via sales-assistentie voor de Frankfurt (EU-Central)-regio
    • Bevestig de scope: inhoud/bestanden/zoekindex gedekt; Calendar/Mail en bèta-diensten mogelijk buiten scope
  2. Contractuele zaken & DPA
    • Sluit MSA + DPA met SCCs af voor grensoverschrijdende overdrachten
    • Voeg een expliciete no-trainingclausule en zero-retention rider toe voor LLM-aanbieders
    • Schrijf u in voor meldingen van wijzigingen in subverwerkers
  3. Configureer beheer
    • Schakel webzoekopdrachten standaard uit; vereist bevestiging voor externe verzoeken
    • Stel aangepaste gegevensbewaring in (bijv. 90 dagen) en schakel automatische verwijdering voor AI-vergadertranscripten in
    • Integreer DLP/SIEM en bewaak het Admin-auditlogboek
  4. Toegangshygiëne
    • Gebruik SSO/SCIM voor gecentraliseerd identiteitsbeheer
    • Configureer privé teamspaces en gedetailleerde databasemachtigingen
    • Beperk externe gasttoegang; gebruik IP-allowlists
  5. Gegevenskartering & Transfer Impact Assessment (TIA)
    • Documenteer gegevensstromen: werkruimte → LLM → antwoord
    • Leg het beroep op SCCs vast voor overdrachten buiten de EU
    • Noteer uitzonderingen: metadata, connectors, Calendar/Mail
  6. Verwerking van gevoelige gegevens
    • Voor bijzondere categorieën (GDPR art. 9) of beschermde gezondheidsinformatie:
      • Bevestig het zero-retention LLM-pad (uitsluitend Enterprise)
      • Beperk blootstelling via privé teamspaces, labels en toegangscontroles
    • Schakel HIPAA-modus in bij verwerking van gezondheidsgegevens

Snelle Antwoorden voor Inkoop (EU)

Worden Notion AI-gegevens gebruikt voor modeltraining?

Nee, standaard niet; contractueel verbod met LLM-aanbieders. Enterprise + zero-retention gehandhaafd.

Kunnen we EU-gegevens opslaan in de EU?

Ja (uitsluitend Enterprise). Inhoud, bestanden en zoekindex opgeslagen in Frankfurt met Ierland als back-up. Sommige metadata en diensten (Calendar/Mail, bèta) kunnen buiten de EU worden opgeslagen.

Respecteren AI-functies machtigingen?

Ja. AI heeft geen toegang tot inhoud waartoe een gebruiker geen toegang heeft; respecteert Notion-pagina- en teamspace-machtigingen.

Hoe lang bewaren LLMs onze prompts?

  • Enterprise: 0 dagen (zero-retention)
  • Business: Tot 30 dagen (gebaseerd op het standaard API-bewaarbeleid van OpenAI en Anthropic voor operationele bewaking/misbruikbewaking)

Hoe zit het met embeddings?

Aan providerzijde (OpenAI): zero-retention. Notion's vector DB: vermeldingen verwijderd binnen 60 dagen na verwijdering van pagina/werkruimte.

Welke compliance-normen worden gehanteerd?

SOC 2 Type II, ISO 27001. HIPAA-modus ondersteund met zero-retention LLM API's (Enterprise).

Hoe worden grensoverschrijdende overdrachten afgehandeld?

Notion gebruikt Standard Contractual Clauses (SCCs) voor overdrachten buiten de EU. Voer een Transfer Impact Assessment (TIA) uit en neem SCCs op in uw DPA.

Opmerkingen & Voorbehouden

  • Scope Calendar/Mail: Notion Calendar en Notion Mail vallen buiten de scope van gegevensopslag; kunnen buiten de EU-regio worden opgeslagen.
  • Bèta-diensten: Nieuwe/bèta-functies worden mogelijk aanvankelijk niet gedekt door EU-opslag; bevestig dit bij Notion voordat u ze inschakelt.
  • Locatie LLM-verwerking: LLM API-aanroepen kunnen buiten de EU worden verwerkt, maar Enterprise handhaaft zero-retention op providerniveau (geen opslag).
  • Connectorgegevens: Gegevens in apps van derden (Slack, Jira, etc.) blijven vallen onder de voorwaarden van die apps; alleen in Notion opgeslagen gegevens vallen binnen Notion's opslagscope.
  • Metadata: Sommige account-, factuur- en werkruimte-metadata kunnen buiten de gekozen regio worden opgeslagen.

Bronnen (Snelle Links)

  • https://www.notion.com/help/notion-ai-security-and-privacy - Notion AI Security & Privacy
  • https://www.notion.com/help/security-practices - Notion Security Practices
  • https://www.notion.com/help/privacy-practices - Notion Privacy Practices
  • https://www.notion.com/help/gdpr - GDPR bij Notion
  • https://privacycenter.notion.so - Notion Privacy Center & Privacybeleid
  • https://www.notion.com/help/data-residency - Notion Data Residency (EU Frankfurt-optie)

Disclaimer

Dit overzicht is uitsluitend bedoeld als informatief hulpmiddel. Wij adviseren klanten dringend om alle Data Processing Agreements (DPA's) en privacydocumentatie zorgvuldig te lezen voordat Notion AI in productieomgevingen wordt ingezet - in het bijzonder wanneer persoonsgegevens, bedrijfseigen kennisbanken of vertrouwelijke informatie worden verwerkt. WAIMAKERS past dit principe ook intern toe; alle tools die wij gebruiken zijn grondig beoordeeld en opgenomen in onze eigen privacy- en beveiligingsdocumentatie. Klanten dienen altijd de officiële documentatie, voorwaarden en DPA's van elke AI-aanbieder die zij gebruiken zorgvuldig te evalueren. WAIMAKERS kan niet juridisch aansprakelijk worden gesteld voor de juistheid, actualiteit of volledigheid van de informatie in dit document; de uiteindelijke verantwoordelijkheid voor GDPR-compliance berust bij de klant.

Opgesteld en uitgegeven door WAIMAKERS B.V. - maart 2026.

Verifieer altijd de meest recente regionale beschikbaarheid, prijsstelling en voorwaarden bij Notion Sales voordat u een contract sluit.

Opgesteld door: WAIMAKERS - Privacy & Safety Enablement

Hulp nodig bij AI?

Plan een gesprek
WAIMAKERS

Learn. Lead. Make.

AI Transformation Boutique · Amsterdam

Maak werk inspirerend, maak bedrijven onstuitbaar.

Wie we helpen

Bekijk alle rollen & sectorenCEO's & BestuursledenPE & InvesteringsmanagersCFO's & Financieel LeidersInnovatiedirecteurenCTO's & IT-leidersCommercieel Directeuren

Wat we doen

Bekijk alle servicesOnze aanpakLearnMaatwerktrainingenAI Champions ProgrammaAgentic Way of WorkingE-learningLeadMake

Bedrijf

Over onsKennisbankContactCarrièresPodcast ↗

© 2026 WAIMAKERS. Alle rechten voorbehouden.

PrivacybeleidCookiebeleid