AVG en AI: de belangrijkste regels

Waarom AVG en AI onlosmakelijk verbonden zijn

Zodra je AI inzet met persoonsgegevens, krijg je te maken met de Algemene Verordening Gegevensbescherming (AVG, ook wel GDPR genoemd). En dat is sneller dan je denkt: een AI-chatbot die klantgegevens verwerkt, een tool die cv's analyseert, of een systeem dat klantgedrag voorspelt, het valt allemaal onder de AVG.

De boetes voor overtredingen kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet. Maar naast het vermijden van boetes is AVG-compliance ook gewoon goed ondernemerschap: klanten vertrouwen organisaties die zorgvuldig omgaan met hun gegevens.

De zes grondslagen: wanneer mag je data verwerken?

De AVG stelt dat je persoonsgegevens alleen mag verwerken als je daarvoor een geldige grondslag hebt. Voor AI-toepassingen zijn deze grondslagen het meest relevant:

• Toestemming – De betrokkene heeft expliciet toestemming gegeven. Let op: deze moet vrij, specifiek, geinformeerd en ondubbelzinnig zijn. Bij AI moet je duidelijk uitleggen waarvoor de data wordt gebruikt.
• Uitvoering van een overeenkomst – De verwerking is nodig om een contract uit te voeren. Bijvoorbeeld: een AI-systeem dat een bestelling verwerkt.
• Gerechtvaardigd belang – Je hebt een zakelijk belang dat opweegt tegen de privacybelangen van de betrokkene. Dit vereist altijd een belangenafweging. Fraudedetectie met AI kan hieronder vallen.
• Wettelijke verplichting – Je bent wettelijk verplicht de gegevens te verwerken, bijvoorbeeld voor belastingaangifte.

Belangrijk: Het trainen van AI-modellen op persoonsgegevens vereist een aparte grondslag. Het feit dat je data eerder hebt verzameld voor een ander doel, betekent niet dat je die automatisch mag gebruiken voor AI-training.

DPIA: wanneer is een beoordeling verplicht?

Een Data Protection Impact Assessment (DPIA) is een uitgebreide risicoanalyse die verplicht is bij verwerkingen die een hoog risico opleveren voor de rechten van betrokkenen. Bij AI is een DPIA vrijwel altijd nodig als je:

• Geautomatiseerde besluitvorming toepast die mensen significant raakt.
• Op grote schaal persoonsgegevens verwerkt.
• Systematisch en uitgebreid persoonlijke aspecten evalueert (profiling).
• Nieuwe technologieen inzet voor gegevensverwerking.

Een DPIA hoeft geen ingewikkeld document te zijn. De Autoriteit Persoonsgegevens biedt een model-DPIA die je als uitgangspunt kunt gebruiken. Het belangrijkste is dat je de risico's in kaart brengt en maatregelen neemt om ze te beperken.

Verwerkersovereenkomsten: je verantwoordelijkheid bij externe AI-tools

Wanneer je een externe AI-tool gebruikt die persoonsgegevens verwerkt, ben je verplicht een verwerkersovereenkomst af te sluiten met de aanbieder. Dit geldt voor:

• Cloud-gebaseerde AI-platforms (zoals OpenAI, Microsoft Azure AI, Google Cloud AI).
• AI-chatbotproviders die klantgesprekken opslaan.
• AI-tools voor HR, marketing of klantenservice die persoonsgegevens verwerken.

In de verwerkersovereenkomst leg je vast welke gegevens worden verwerkt, voor welk doel, hoe lang ze worden bewaard en welke beveiligingsmaatregelen gelden. Let specifiek op of de AI-aanbieder de data mag gebruiken voor het trainen van hun modellen. Bij veel tools is dit standaard ingeschakeld en moet je het expliciet uitschakelen.

Rechten van betrokkenen: wat moet je regelen?

De AVG geeft mensen een aantal rechten met betrekking tot hun persoonsgegevens. Bij AI-toepassingen zijn deze rechten extra relevant:

• Recht op informatie – Mensen moeten weten dat AI wordt gebruikt om beslissingen over hen te nemen. Wees transparant in je privacyverklaring.
• Recht op inzage – Betrokkenen mogen opvragen welke gegevens je over hen hebt, inclusief wat de AI ermee doet.
• Recht op rectificatie – Als de AI werkt met onjuiste gegevens, moeten betrokkenen dit kunnen laten corrigeren.
• Recht op vergetelheid – Mensen kunnen vragen om verwijdering van hun gegevens. Dit kan complex zijn als de data al is gebruikt om een AI-model te trainen.
• Recht op menselijke tussenkomst – Bij volledig geautomatiseerde besluitvorming met juridische of vergelijkbare gevolgen hebben mensen het recht op menselijke tussenkomst. Dit is een van de belangrijkste rechten bij AI.

Praktische checklist voor AVG-compliant AI-gebruik

Gebruik deze checklist om ervoor te zorgen dat je AI-projecten voldoen aan de AVG:

1. Inventariseer welke persoonsgegevens je AI-systemen verwerken.
2. Bepaal de grondslag voor elke verwerking en documenteer deze.
3. Voer een DPIA uit als je AI persoonsgegevens verwerkt op een manier die risico's oplevert.
4. Sluit verwerkersovereenkomsten af met alle externe AI-aanbieders.
5. Controleer data-locatie – Worden gegevens buiten de EU/EER verwerkt? Zo ja, zijn er passende waarborgen?
6. Update je privacyverklaring met informatie over AI-gebruik.
7. Richt processen in voor het afhandelen van verzoeken van betrokkenen.
8. Schakel opt-out in voor AI-training bij tools die dat standaard aanzetten.
9. Train je medewerkers in het veilig omgaan met persoonsgegevens in AI-tools.
10. Documenteer alles – De AVG vereist dat je kunt aantonen dat je compliant bent.

Veelgemaakte fouten

In de praktijk zien we dat MKB-bedrijven deze fouten het vaakst maken:

• Klantgegevens invoeren in gratis AI-tools zonder na te gaan wat er met de data gebeurt.
• Geen verwerkersovereenkomst afsluiten met de AI-aanbieder.
• De privacyverklaring niet updaten na het introduceren van AI.
• Geen menselijke controle inbouwen bij geautomatiseerde beslissingen.
• Vergeten dat medewerkers ook betrokkenen zijn wier gegevens beschermd moeten worden.

Hulp nodig bij AVG-compliant AI-gebruik?

De combinatie van AVG en AI kan complex zijn, maar het hoeft geen blokkade te vormen voor innovatie. Met de juiste aanpak kun je AI inzetten en tegelijkertijd voldoen aan alle privacyregels.

Bij CleverAI Advies helpen we MKB-bedrijven met het opzetten van AI governance en compliance. We zorgen ervoor dat je AI-projecten van begin af aan voldoen aan de AVG en de nieuwe EU AI Act, zodat je met vertrouwen kunt innoveren.