AI inzetten voor uw bedrijf klinkt aantrekkelijk, maar als u persoonsgegevens verwerkt — en dat doet vrijwel elk bedrijf — dan krijgt u te maken met de AVG (Algemene Verordening Gegevensbescherming). De combinatie van AI en privacy roept veel vragen op. In dit artikel geef ik u een helder overzicht van wat wel en niet mag, en hoe u AI verantwoord inzet binnen de regels.
Waarom AI en AVG op gespannen voet staan
AI-systemen hebben data nodig om te functioneren. Hoe meer data, hoe beter de resultaten — althans, dat is de gangbare opvatting. De AVG stelt daar drie fundamentele principes tegenover:
- Doelbinding: Persoonsgegevens mogen alleen worden verzameld voor een specifiek, vooraf bepaald doel.
- Dataminimalisatie: U mag niet meer gegevens verzamelen dan strikt noodzakelijk.
- Opslagbeperking: Gegevens mogen niet langer worden bewaard dan nodig voor het doel.
Deze principes botsen met de neiging van AI-systemen om zoveel mogelijk data te verzamelen en langdurig te bewaren. Maar dat betekent niet dat AI en AVG onverenigbaar zijn — u moet alleen bewuste keuzes maken.
Belangrijk verschil
Pseudonimisering (versleuteling, tokenisering) is geen anonimisering. Gepseudonimiseerde data valt nog steeds onder de AVG.
Wat mag wel
Geanonimiseerde data gebruiken voor AI-training
Zodra persoonsgegevens daadwerkelijk geanonimiseerd zijn — dat wil zeggen: niet meer herleidbaar tot een individu, ook niet in combinatie met andere gegevens — valt de data buiten de scope van de AVG. U kunt geanonimiseerde data vrij gebruiken voor het trainen van AI-modellen.
Let op: Pseudonimisering (versleuteling, tokenisering) is geen anonimisering. Gepseudonimiseerde data valt nog steeds onder de AVG.
AI inzetten voor gerechtvaardigde bedrijfsbelangen
Artikel 6(1)(f) van de AVG staat gegevensverwerking toe als u een gerechtvaardigd belang heeft en dit belang zwaarder weegt dan de privacyrechten van betrokkenen. Denk aan:
- Fraudedetectie op basis van transactiepatronen
- Spam- en phishingfiltering van e-mails
- Beveiligingsmonitoring van uw systemen
Voorwaarde: u moet een belangenafweging documenteren en betrokkenen informeren.
AI-chatbots met toestemming inzetten
Als u een AI-chatbot implementeert die klantgegevens verwerkt, kunt u dit baseren op toestemming (consent) of de uitvoering van een overeenkomst. Zorg dat:
- De klant weet dat AI wordt gebruikt
- Het duidelijk is welke gegevens worden verwerkt
- Er een optie is om met een mens te spreken
Geautomatiseerde processen met menselijke tussenkomst
De AVG staat geautomatiseerde besluitvorming toe, mits er een mogelijkheid is voor menselijke tussenkomst. U mag AI gebruiken om aanbevelingen te doen of beslissingen voor te bereiden, zolang een mens het uiteindelijke besluit neemt.
Wat mag niet (of alleen onder strikte voorwaarden)
Volledig geautomatiseerde beslissingen met rechtsgevolgen
Artikel 22 van de AVG verbiedt beslissingen die uitsluitend op geautomatiseerde verwerking zijn gebaseerd en die rechtsgevolgen hebben of de betrokkene anderszins in aanmerkelijke mate treffen. Voorbeelden:
- Automatische afwijzing van kredietaanvragen
- Geautomatiseerde selectie van sollicitanten
- Automatische opzegging van contracten
Dit mag alleen met uitdrukkelijke toestemming, op grond van een wettelijke bepaling, of als het noodzakelijk is voor een overeenkomst — en altijd met het recht op menselijke tussenkomst.
Persoonsgegevens naar niet-EU AI-diensten sturen zonder waarborgen
Als u een AI-dienst gebruikt die data verwerkt buiten de EU (bijvoorbeeld via een Amerikaans cloudplatform), moet u een adequaat beschermingsniveau garanderen. Dit kan via:
- Standaard contractbepalingen (SCC's)
- Binding Corporate Rules
- Een adequaatheidsbesluit (zoals het EU-US Data Privacy Framework)
Zonder deze waarborgen is de doorgifte onrechtmatig.
Bijzondere persoonsgegevens verwerken zonder expliciete grondslag
Gegevens over gezondheid, etniciteit, politieke overtuiging, seksuele geaardheid of biometrische gegevens vallen onder een strenger regime. Verwerking door AI-systemen vereist expliciete toestemming of een wettelijke grondslag.
De AI Act: aanvullende regels vanaf 2025
Naast de AVG is sinds 2025 de Europese AI Act van kracht. Deze verordening classificeert AI-systemen op basis van risico:
| Risicocategorie | Voorbeelden | Vereisten |
|---|---|---|
| Onaanvaardbaar risico | Social scoring, manipulatieve AI | Verboden |
| Hoog risico | HR-selectie, kredietbeoordeling, medische diagnose | Conformiteitsbeoordeling, logging, menselijk toezicht |
| Beperkt risico | Chatbots, AI-gegenereerde content | Transparantieverplichtingen |
| Minimaal risico | Spamfilters, aanbevelingssystemen | Geen aanvullende eisen |
Voor de meeste MKB-toepassingen valt u in de categorie "beperkt risico" of "minimaal risico." Maar als u AI inzet voor HR-beslissingen of financiële beoordelingen, gelden strengere regels.
Risicocategorie | Voorbeelden | Vereisten | Relevant voor MKB? | |
|---|---|---|---|---|
| Onaanvaardbaar risico | Social scoring, manipulatieve AI | Verboden | Nee — niet toegestaan | |
| Hoog risico | HR-selectie, kredietbeoordeling | Conformiteitsbeoordeling, logging, menselijk toezicht | Soms — bij HR of financieel | |
| Beperkt risico | Chatbots, AI-gegenereerde content | Transparantieverplichtingen | Ja — meest voorkomend | |
| Minimaal risico | Spamfilters, aanbevelingen | Geen aanvullende eisen | Ja — veel MKB-toepassingen |
AI Act risicocategorieën en relevantie voor het MKB
Niet-compliant AI-gebruik
- ❌Geen DPIA uitgevoerd
- ❌Geen verwerkersovereenkomst met AI-aanbieder
- ❌Klanten weten niet dat ze met AI praten
- ❌Persoonsgegevens naar niet-EU servers zonder waarborgen
- ❌Geen opt-out mogelijkheid
- ❌Geen register van verwerkingsactiviteiten
AVG-compliant AI-gebruik
- ✅DPIA uitgevoerd en gedocumenteerd
- ✅Verwerkersovereenkomst met elke AI-dienst
- ✅Transparante communicatie over AI-gebruik
- ✅Data binnen EU of met SCC's/adequaatheidsbesluit
- ✅Opt-out mogelijkheid voor klanten en medewerkers
- ✅Actueel register onder artikel 30 AVG
Praktische richtlijnen voor uw organisatie
1. DPIA uitvoeren
Voer een Data Protection Impact Assessment uit voor AI-toepassingen die persoonsgegevens verwerken. Identificeer risico's voordat u live gaat.
2. Verwerkersovereenkomst
Sluit een Data Processing Agreement met elke externe AI-dienst. Leg vast welke data wordt verwerkt en of het voor modeltraining wordt gebruikt.
3. Betrokkenen informeren
Vermeld in uw privacyverklaring welke AI-systemen u inzet. Wees specifiek over het doel en de verwerkte gegevens.
4. Opt-out implementeren
Geef klanten en medewerkers de mogelijkheid om niet onderworpen te zijn aan AI-verwerking waar dat redelijkerwijs kan.
5. Register bijhouden
Documenteer welke AI-systemen u gebruikt, welke data ze verwerken, op welke grondslag, en wie toegang heeft.
6. Data beperken
Configureer AI-tools zodat persoonsgegevens niet worden opgeslagen door de aanbieder. Gebruik anonimisering waar mogelijk.
1. Voer een Data Protection Impact Assessment (DPIA) uit
Voor AI-toepassingen die persoonsgegevens verwerken op grote schaal is een DPIA verplicht. Maar ook als het niet verplicht is, is het verstandig. Een DPIA helpt u risico's te identificeren en maatregelen te treffen voordat u live gaat.
2. Sluit verwerkersovereenkomsten af
Gebruikt u een externe AI-dienst (zoals OpenAI, Anthropic of Google)? Dan is deze partij een verwerker in de zin van de AVG. U moet een verwerkersovereenkomst (Data Processing Agreement) sluiten waarin is vastgelegd:
- Welke gegevens worden verwerkt
- Waarvoor de gegevens worden gebruikt
- Hoe lang ze worden bewaard
- Welke beveiligingsmaatregelen gelden
- Of de data wordt gebruikt voor modeltraining (en hoe u dit kunt uitsluiten)
3. Informeer betrokkenen
Uw privacyverklaring moet vermelden dat u AI-systemen inzet en welke gegevens daarbij worden verwerkt. Wees specifiek: "Wij gebruiken AI voor het categoriseren van klantvragen" is beter dan "Wij gebruiken moderne technologie."
4. Implementeer opt-out mogelijkheden
Geef klanten en medewerkers de mogelijkheid om niet onderworpen te zijn aan AI-verwerking, waar dat redelijkerwijs mogelijk is. Dit toont respect voor privacy en verlaagt het risico op klachten bij de Autoriteit Persoonsgegevens.
5. Houd een register van verwerkingsactiviteiten bij
Documenteer welke AI-systemen u gebruikt, welke data ze verwerken, op welke grondslag, en welke partijen toegang hebben. Dit register is verplicht onder artikel 30 van de AVG en essentieel bij een eventuele controle.
6. Beperk data-opslag en -doorgifte
Configureer uw AI-tools zo dat persoonsgegevens niet worden opgeslagen door de AI-aanbieder. Veel diensten bieden opties om data-opslag uit te schakelen of te beperken. Maak hier altijd gebruik van.
Veelgestelde vragen
Mag ik klantdata gebruiken om een intern AI-model te trainen? Alleen als u hier een grondslag voor heeft (bijvoorbeeld gerechtvaardigd belang of toestemming) en de data adequaat beveiligt. Anonimisering voor training verdient altijd de voorkeur.
Moet ik klanten vertellen dat ze met een AI-chatbot praten? Ja. Zowel de AVG (transparantiebeginsel) als de AI Act (transparantieverplichting voor chatbots) vereisen dit.
Mag ik AI gebruiken voor het screenen van sollicitanten? Dit valt onder "hoog risico" in de AI Act. U moet een conformiteitsbeoordeling uitvoeren, menselijk toezicht garanderen, en de kandidaat het recht geven op uitleg en bezwaar.
Aan de slag met compliant AI
De AVG hoeft geen blokkade te zijn voor AI-innovatie. Met de juiste maatregelen kunt u AI verantwoord inzetten en tegelijkertijd voldoen aan de wet. Het begint met bewustzijn en goede afspraken.
Wilt u weten of uw AI-plannen voldoen aan de AVG en de AI Act? Ik help u graag met een compliance-check en praktisch implementatieadvies.
Neem contact op voor een vrijblijvend gesprek over AI en privacy.