Limburg AI Labs
Gids9 min lezen

AVG en AI: wat mag je
automatiseren en wat niet?

De privacywetgeving stopt niet bij je eigen systemen. Ze geldt ook voor AI-tools. Dit zijn de vragen die Limburgse ondernemers ons het meest stellen - en de antwoorden zonder juridisch jargon.

AI-tools verwerken tekst. Tekst bevat regelmatig namen, adressen, telefoonnummers en soms medische of financiele gegevens. Zodra dat het geval is, geldt de Algemene Verordening Gegevensbescherming - de AVG. Dat is niet iets om omheen te werken. Het is iets om goed in te richten.

Gelukkig hoeft AVG-compliance geen obstakel te zijn voor AI-gebruik. Het vereist wel dat je nadenkt over wat je doet met welke data, voordat je begint. Dit artikel helpt je daarmee.

Wat zijn persoonsgegevens? (ruimer dan je denkt)

Een persoonsgegeven is elke informatie die direct of indirect herleidbaar is tot een levend persoon. Dat zijn niet alleen namen en BSN-nummers. Het zijn ook:

  • -E-mailadressen (ook zakelijke: jan@bedrijf.nl herleid naar Jan van Bedrijf)
  • -IP-adressen
  • -Kentekens
  • -Foto's waarop iemand herkenbaar is
  • -Combinaties van gegevens die samen iemand identificeerbaar maken
  • -Klantnummers als die aan een persoon zijn gekoppeld

Zodra je een van deze categorieën in een AI-tool invoert, verwerk je persoonsgegevens. Dan gelden de regels.

Wat zijn bijzondere persoonsgegevens?

Voor een aantal categorieen gelden extra strenge regels. Dit zijn de zogenaamde bijzondere persoonsgegevens:

  • !Gezondheidsgegevens en medische informatie
  • !Ras en etnische achtergrond
  • !Politieke opvattingen
  • !Religieuze of levensbeschouwelijke overtuigingen
  • !Vakbondslidmaatschap
  • !Genetische en biometrische gegevens
  • !Seksuele gerichtheid

Verwerk je dit soort gegevens in een AI-tool? Dan heb je in principe een expliciete wettelijke grondslag nodig en is een verwerkersovereenkomst met de tool-aanbieder verplicht. In de meeste gevallen is ook een Data Protection Impact Assessment (DPIA) vereist.

Drie categorieen: veilig, grijs gebied, niet toegestaan

Veilig

AI-tools gebruiken voor taken waarbij geen persoonsgegevens worden ingevoerd. Denk aan: een tekst schrijven op basis van een algemene briefing, een marketingtekst laten controleren, een brainstorm over productontwikkeling, een vergadering samenvatten zonder namen of identificeerbare informatie te noemen.

Grijs gebied

AI-tools gebruiken waarbij persoonsgegevens passeren, maar de verwerking beperkt en goed gedocumenteerd is. Voorbeelden: een klantmail samenvatten (naam en e-mailadres zichtbaar), factuurverwerking (naam leverancier, soms naam contactpersoon).

Dit is toegestaan als: je een verwerkersovereenkomst hebt met de aanbieder, de data wordt verwerkt op EU-servers (of er is een afdoende overdrachtsgrond), de aanbieder geen data gebruikt voor modeltraining zonder toestemming en je het hebt opgenomen in je verwerkingsregister.

Niet toegestaan (of zware vereisten)

Bijzondere persoonsgegevens verwerken via een standaard cloud-AI zonder aanvullende maatregelen. Dit geldt ook voor: het profilieren van klanten op basis van gezondheidsinformatie, volledig geautomatiseerde besluitvorming over personen zonder menselijk toezicht en het opslaan van persoonsgegevens langer dan noodzakelijk in een AI-omgeving.

De drie dingen die je moet regelen

1. Verwerkersovereenkomst

Als je een AI-tool gebruikt die persoonsgegevens verwerkt namens jouw bedrijf, dan is die toolaanbieder een 'verwerker' in AVG-termen. Je bent verplicht een verwerkersovereenkomst af te sluiten. Vraag dit actief op bij de aanbieder. Als ze die niet kunnen leveren, is dat een signaal om verder te kijken.

2. Verwerkingsregister

Elk bedrijf met meer dan 250 medewerkers is verplicht een verwerkingsregister bij te houden. Kleine bedrijven zijn hier formeel van vrijgesteld, maar het is alsnog verstandig. Als de Autoriteit Persoonsgegevens langskomt, laat je daarmee zien dat je gestructureerd nadenkt over je datagebruik.

3. Dataminimalisatie

Voer nooit meer persoonsgegevens in een AI-tool dan strikt noodzakelijk voor de taak. Als je een brief wil laten herschrijven, verwijder dan de naam en het adres eerst. Als je een vergadering wil samenvatten, gebruik dan initialen in plaats van volledige namen. Dit beperkt je risico drastisch.

Wanneer moet je een FG (functionaris gegevensbescherming) raadplegen?

Niet elk bedrijf is verplicht een Functionaris voor Gegevensbescherming (FG) aan te stellen. Maar er zijn situaties waarbij je er verstandig aan doet er een in te schakelen, ook als je er geen moet hebben:

  • -Je verwerkt op grote schaal bijzondere persoonsgegevens (zorg, HR, financiele dienstverlening)
  • -Je wil geautomatiseerde besluitvorming inzetten (denk aan kredietbeoordeling, sollicitatiescreening)
  • -Je twijfelt of een specifiek AI-gebruik een DPIA vereist
  • -Je ontvangt een verzoek van de Autoriteit Persoonsgegevens

Praktische checklist voor MKB

Verwerkt de AI-tool die ik wil gebruiken persoonsgegevens? Zo ja: welke?
Heeft de aanbieder een verwerkersovereenkomst die ik kan ondertekenen?
Worden de gegevens verwerkt op EU-servers?
Gebruikt de aanbieder mijn data voor modeltraining? Zo ja: kan ik dat uitzetten?
Heb ik het gebruik van deze tool opgenomen in mijn verwerkingsregister?
Heb ik de minimale hoeveelheid persoonsgegevens ingevoerd die noodzakelijk is?
Zijn de betrokkenen (klanten, medewerkers) op de hoogte van het AI-gebruik?

Als je alle vragen met "ja" of "opgelost" kunt beantwoorden, zit je goed. Zit er een twijfelgeval tussen? Dan is een uur met een privacy-adviseur goedkoper dan de boetes die de AP kan opleggen.

Boetes voor AVG-overtredingen voor MKB-bedrijven lopen in de praktijk op tot tienduizenden euros. Dat is zelden de inzet als je aantoonbaar goede bedoelingen hebt en actief maatregelen treft - maar een goed gedocumenteerde aanpak is altijd je beste bescherming.

AVG-proof starten

AI implementeren zonder
privacy-risico's voor jouw bedrijf.

Bij MAISON BLNDR bouwen we AI-workflows die van het begin af aan AVG-compliant zijn. Geen nawerk, geen verassingen. Plan een gratis kennismakingsgesprek of doe de AI Impact Scan om te zien waar de kansen liggen.

Doe de gratis AI Impact Scan →
← Terug naar de kennisbank