Naar hoofdinhoud
Limburg AI Labs
Gids9 min lezen

AVG en AI: wat mag je
automatiseren en wat niet?

Privacywetgeving geldt ook voor AI-tools. De vragen die Limburgse ondernemers ons het vaakst stellen, en de antwoorden in gewone taal.

AI-tools verwerken tekst. Tekst bevat regelmatig namen, adressen, telefoonnummers en soms medische of financiele gegevens. Dan geldt de AVG. Dat is geen reden om AI te mijden, wel om het goed in te richten.

Dit artikel helpt je nadenken over wat je met welke data doet, voordat je begint.

Wat zijn persoonsgegevens? (ruimer dan je denkt)

Een persoonsgegeven is elke informatie die direct of indirect herleidbaar is tot een levend persoon. Dat zijn niet alleen namen en BSN-nummers. Het zijn ook:

  • -E-mailadressen (ook zakelijke: jan@bedrijf.nl herleid naar Jan van Bedrijf)
  • -IP-adressen
  • -Kentekens
  • -Foto's waarop iemand herkenbaar is
  • -Combinaties van gegevens die samen iemand identificeerbaar maken
  • -Klantnummers als die aan een persoon zijn gekoppeld

Zodra je een van deze categorieën in een AI-tool invoert, verwerk je persoonsgegevens. Dan gelden de regels.

Wat zijn bijzondere persoonsgegevens?

Voor een aantal categorieen gelden extra strenge regels. Dit zijn de zogenaamde bijzondere persoonsgegevens:

  • !Gezondheidsgegevens en medische informatie
  • !Ras en etnische achtergrond
  • !Politieke opvattingen
  • !Religieuze of levensbeschouwelijke overtuigingen
  • !Vakbondslidmaatschap
  • !Genetische en biometrische gegevens
  • !Seksuele gerichtheid

Verwerk je dit soort gegevens in een AI-tool? Dan heb je in principe een expliciete wettelijke grondslag nodig en is een verwerkersovereenkomst met de tool-aanbieder verplicht. In de meeste gevallen is ook een Data Protection Impact Assessment (DPIA) vereist.

Veilig, grijs gebied, en off-limits

Veilig

AI-tools gebruiken voor taken waarbij geen persoonsgegevens worden ingevoerd. Denk aan: een tekst schrijven op basis van een algemene briefing, een marketingtekst laten controleren, een brainstorm over productontwikkeling, een vergadering samenvatten zonder namen of identificeerbare informatie te noemen.

Grijs gebied

AI-tools gebruiken waarbij persoonsgegevens passeren, maar de verwerking beperkt en goed gedocumenteerd is. Voorbeelden: een klantmail samenvatten (naam en e-mailadres zichtbaar), factuurverwerking (naam leverancier, soms naam contactpersoon).

Dit is toegestaan als: je een verwerkersovereenkomst hebt met de aanbieder, de data wordt verwerkt op EU-servers (of er is een afdoende overdrachtsgrond), de aanbieder geen data gebruikt voor modeltraining zonder toestemming en je het hebt opgenomen in je verwerkingsregister.

Off-limits (of zware vereisten)

Bijzondere persoonsgegevens verwerken via een standaard cloud-AI zonder aanvullende maatregelen. Dit geldt ook voor: het profilieren van klanten op basis van gezondheidsinformatie, volledig geautomatiseerde besluitvorming over personen zonder menselijk toezicht en het opslaan van persoonsgegevens langer dan noodzakelijk in een AI-omgeving.

Wat je moet regelen

1. Verwerkersovereenkomst

Als je een AI-tool gebruikt die persoonsgegevens verwerkt namens jouw bedrijf, dan is die toolaanbieder een 'verwerker' in AVG-termen. Je bent verplicht een verwerkersovereenkomst af te sluiten. Vraag dit actief op bij de aanbieder. Als ze die niet kunnen leveren, is dat een signaal om verder te kijken.

2. Verwerkingsregister

Elk bedrijf met meer dan 250 medewerkers moet een verwerkingsregister bijhouden. Kleine bedrijven formeel niet, maar verstandig wel. Bij een bezoek van de AP laat je zien dat je gestructureerd nadenkt over datagebruik.

3. Dataminimalisatie

Voer nooit meer persoonsgegevens in dan nodig. Brief laten herschrijven? Verwijder naam en adres eerst. Vergadering samenvatten? Gebruik initialen in plaats van volledige namen.

Wanneer moet je een FG (functionaris gegevensbescherming) raadplegen?

Niet elk bedrijf is verplicht een Functionaris voor Gegevensbescherming (FG) aan te stellen. Maar er zijn situaties waarbij je er verstandig aan doet er een in te schakelen, ook als je er geen moet hebben:

  • -Je verwerkt op grote schaal bijzondere persoonsgegevens (zorg, HR, financiele dienstverlening)
  • -Je wil geautomatiseerde besluitvorming inzetten (denk aan kredietbeoordeling, sollicitatiescreening)
  • -Je twijfelt of een specifiek AI-gebruik een DPIA vereist
  • -Je ontvangt een verzoek van de Autoriteit Persoonsgegevens

Praktische checklist voor MKB

Verwerkt de AI-tool die ik wil gebruiken persoonsgegevens? Zo ja: welke?
Heeft de aanbieder een verwerkersovereenkomst die ik kan ondertekenen?
Worden de gegevens verwerkt op EU-servers?
Gebruikt de aanbieder mijn data voor modeltraining? Zo ja: kan ik dat uitzetten?
Heb ik het gebruik van deze tool opgenomen in mijn verwerkingsregister?
Heb ik de minimale hoeveelheid persoonsgegevens ingevoerd die noodzakelijk is?
Zijn de betrokkenen (klanten, medewerkers) op de hoogte van het AI-gebruik?

Alle vragen met “ja” of “opgelost”? Dan zit je goed. Twijfel ergens? Een uur met een privacy-adviseur is goedkoper dan een boete van de AP.

Boetes voor AVG-overtredingen bij MKB lopen in de praktijk op tot tienduizenden euro's. Zeldzaam als je aantoonbaar je best doet, maar een gedocumenteerde aanpak is je beste bescherming.

AVG-proof starten

AI implementeren zonder
privacy-risico's voor jouw bedrijf.

Wij bouwen AI-workflows die vanaf het begin AVG-compliant zijn. Plan een gratis kennismaking of doe de AI Impact Scan om te zien waar de kansen liggen.

Doe de gratis AI Impact Scan →
← Terug naar de kennisbank