Valt CrushOn AI onder de GDPR als het bedrijf in de VS gevestigd is?

Ja. Artikel 3 van de GDPR bepaalt dat de verordening van toepassing is op elke aanbieder die diensten levert aan personen in de EU, ongeacht de vestigingsplaats. CrushOn AI moet dus voldoen aan de Europese regels voor Belgische gebruikers.

Hoe kan ik mijn chatgeschiedenis bij CrushOn AI laten verwijderen?

Stuur een schriftelijk verzoek tot gegevenswissing naar het contactadres in het privacybeleid, met vermelding van je accountgegevens en een kopie van je identiteitsbewijs. De aanbieder heeft één maand om te reageren.

Wat kan ik doen als CrushOn AI niet antwoordt op mijn verzoek?

Dien een klacht in bij de Belgische Gegevensbeschermingsautoriteit (GBA) via gegevensbeschermingsautoriteit.be. De GBA kan een onderzoek starten en boetes opleggen aan de aanbieder.

Worden mijn gesprekken gebruikt om de AI te trainen?

Volgens beschikbare bronnen kan dat gebeuren, maar enkel met geldige toestemming. Controleer je accountinstellingen en het privacybeleid, en schakel deze optie uit indien je dat wenst.

Welke gegevens mag ik nooit delen in een AI-chat?

Vermijd volledige namen, adressen, rijksregisternummers, bankgegevens, paswoorden en medische informatie. Deze data kunnen bij een datalek ernstige gevolgen hebben.

CrushOn AI en GDPR: jouw rechten als Belg uitgelegd

Sinds 25 mei 2018 geldt de Algemene Verordening Gegevensbescherming in heel de EU, en die regels strekken zich ook uit tot romantische AI-diensten zoals CrushOn AI. Voor Belgische gebruikers is dat geen detail: chatgeschiedenis, emotionele patronen en soms stemfragmenten behoren tot de gevoeligste categorieën persoonsgegevens denkbaar. De GDPR biedt een duidelijk kader, maar de praktijk blijft weerbarstig, zeker bij Amerikaanse aanbieders.

Hoe de GDPR van toepassing is op CrushOn AI

CrushOn AI wordt geëxploiteerd vanuit Bellevue, Washington. Toch valt het platform onder de GDPR zodra het diensten aanbiedt aan personen in de Europese Unie. Dat principe staat in artikel 3 van de verordening, het zogenaamde extraterritoriale toepassingsgebied. Een Amerikaanse vestiging ontslaat het bedrijf dus niet van zijn verplichtingen tegenover Belgische gebruikers.

Concreet betekent dit dat CrushOn AI een rechtsgrond moet hebben voor elke verwerking van persoonsgegevens, doorgaans toestemming of gerechtvaardigd belang. Ook moet de aanbieder een privacybeleid publiceren dat begrijpelijk is, en in principe een vertegenwoordiger aanstellen in de EU. Volgens de analyse van de Mozilla Foundation uit februari 2024 voldoet het privacybeleid van CrushOn AI niet volledig aan deze standaarden, met name op het vlak van transparantie over data die naar derde partijen vloeit. Voor een diepere bespreking van het beleid verwijs ik naar deze uitleg over het privacybeleid van CrushOn AI.

De zes belangrijkste GDPR-rechten in de praktijk

Als Belgische gebruiker beschik je over een uitgebreide rechtenset. Het recht op inzage laat je toe om een kopie op te vragen van alle persoonsgegevens die CrushOn AI over je bewaart. Dat omvat chatlogs, accountinformatie en metadata. Het recht op rectificatie betekent dat je foutieve gegevens kan laten corrigeren, bijvoorbeeld een verkeerd geboortejaar dat invloed heeft op contentfiltering.

Het recht op gegevenswissing, ook bekend als het recht op vergetelheid, is bij AI-girlfriend-diensten bijzonder relevant. Je kan vragen om al je chatgeschiedenis te laten verwijderen, inclusief eventuele data die al gebruikt is voor het trainen van het taalmodel. Daarnaast is er het recht op beperking van de verwerking, het recht op dataportabiliteit (je gegevens in een gangbaar formaat opvragen) en het recht van bezwaar tegen profilering. CrushOn AI moet binnen één maand op zo'n verzoek reageren, met een mogelijke verlenging tot drie maanden bij complexe dossiers.

Welke gegevens verzamelt het platform?

Op basis van publiek beschikbaar onderzoek, waaronder de analyse op incidentdatabase.ai, omvat de dataverzameling bij CrushOn AI doorgaans: accountgegevens (e-mail, gebruikersnaam), volledige chatgeschiedenis, voorkeuren rond de virtuele partner, technische gegevens (IP-adres, apparaattype, browserinformatie) en betalingsinformatie wanneer een gebruiker premium functies aankoopt. In sommige configuraties worden ook gesprekken gebruikt voor verbetering van het AI-model.

Dat laatste punt is juridisch het meest gevoelig. De GDPR vereist een specifieke, geïnformeerde toestemming voordat gevoelige data gebruikt mogen worden voor modeltraining. Wanneer een gebruiker dat onderdeel niet expliciet aanvinkt, mag CrushOn AI die gesprekken in principe niet gebruiken. Belgische gebruikers die twijfelen, kunnen via het instellingenmenu of via een schriftelijk verzoek aan support de optie 'data voor training' uitschakelen.

De juridische grijze zone rond AI-partners

Op 14 februari van dit jaar werkte ik aan een uitgebreid dossier over wetgeving rond AI-partners in de EU. Tijdens de voorbereiding nam ik de volledige AI Act door, een document van honderden pagina's, met bijzondere aandacht voor artikel 5 en de bepalingen over manipulatieve systemen. Daaruit bleek dat AI-girlfriend-diensten vaak in een grijze zone vallen: ze zijn niet uitdrukkelijk verboden, maar ze raken wel aan principes rond emotionele manipulatie en kwetsbare gebruikers. Een gesprek met een jurist in Antwerpen, gespecialiseerd in digitaal recht, hielp mij om voor Belgische lezers te verduidelijken welke consumentenbescherming wel en niet van toepassing is. Zijn vaststelling: transparantie van aanbieders blijft het grootste pijnpunt.

Voor een bredere context over of het platform überhaupt rechtmatig gebruikt kan worden in ons land, is deze analyse over de legaliteit van CrushOn AI in België nuttig.

Een verzoek indienen: stap voor stap

Een GDPR-verzoek hoeft niet ingewikkeld te zijn. Je stuurt een gemotiveerd verzoek per e-mail naar het contactadres dat in het privacybeleid wordt vermeld, doorgaans privacy@ of support@ van het platform. Vermeld duidelijk om welk recht het gaat, voeg een kopie van je identiteitsbewijs toe (de aanbieder mag identificatie vragen) en bewaar zelf een tijdstempel. De aanbieder heeft één maand om te antwoorden.

Reageert CrushOn AI niet of onvoldoende, dan kan je een klacht indienen bij de Belgische Gegevensbeschermingsautoriteit via gegevensbeschermingsautoriteit.be. De GBA behandelt jaarlijks duizenden dossiers en kan boetes opleggen tot 20 miljoen euro of 4 procent van de wereldwijde omzet, afhankelijk van wat hoger is. Voor wie zoekt naar veiligere alternatieven binnen ons partnernetwerk, biedt Candy AI een vergelijkbare dienst met expliciete EU-gerichte privacyopties.

Praktische aanbevelingen voor gebruikers

Plan deze week een vast moment van twintig minuten in om je CrushOn AI-account na te lopen: log in, ga naar de privacy-instellingen en zet de optie rond modeltraining expliciet uit. Stuur tegelijk een verzoek tot inzage naar het support-adres, zodat je zwart op wit ziet welke chatlogs en metadata bewaard worden. Vervang waar nodig je registratie-e-mail door een apart adres, en controleer of het platform end-to-end encryptie biedt of enkel encryptie tijdens transport, want dat verschil bepaalt mee wie toegang heeft tot je gesprekken. Welk recht ga jij als eerste uitoefenen: inzage, wissing of bezwaar tegen profilering? Een gedetailleerd overzicht van algemene veiligheidsaspecten staat in deze veiligheidsanalyse.

CrushOn AI en GDPR: wat zijn jouw rechten als Belgische gebruiker?