Wat moet u regelen om AI AVG-proof in te zetten?
Het komt neer op een paar kernpunten: weet welke persoonsgegevens u door AI laat verwerken, zorg voor een rechtsgrond, sluit een verwerkersovereenkomst met uw AI-aanbieder, voorkom dat uw data wordt gebruikt voor modeltraining, en beoordeel bij gevoelige verwerkingen of een DPIA nodig is. Dit artikel zet de praktische stappen op een rij voor het MKB. Het is een werkbaar startpunt, geen vervanging voor juridisch advies bij twijfel.
De checklist
1. Breng in kaart welke gegevens AI verwerkt
Verwerkt uw AI-toepassing persoonsgegevens (namen, e-mails, klantdata, en zeker bijzondere gegevens zoals gezondheid)? Zo ja, dan is de AVG van toepassing. Weet wat er in- en uitgaat.
2. Bepaal uw rechtsgrond
Voor elke verwerking van persoonsgegevens heeft u een grondslag nodig (bijvoorbeeld een gerechtvaardigd belang of toestemming). AI verandert hier niets aan, maar het wordt nog wel eens vergeten bij een nieuwe tool.
3. Sluit een verwerkersovereenkomst
Gebruikt u een externe AI-dienst die uw data verwerkt? Dan is een verwerkersovereenkomst verplicht. Gratis consumentenversies bieden dit vaak niet - gebruik zakelijke varianten.
4. Voorkom training op uw data
Controleer of de aanbieder uw invoer gebruikt om modellen te trainen. Zakelijke AI-diensten bieden meestal een optie of garantie dat dit niet gebeurt. Regel dit expliciet.
5. Dataminimalisatie
Stuur niet meer gegevens naar de AI dan nodig. Verwijder of maskeer onnodige persoonsgegevens vooraf. Minder data betekent minder risico.
6. Overweeg een DPIA
Bij verwerkingen met een hoog risico - bijvoorbeeld bijzondere gegevens of grootschalige profilering - kan een gegevensbeschermingseffectbeoordeling (DPIA) verplicht zijn. Dit speelt vaak in de zorg en bij recruitment. Zie [AI voor de zorg](/blog/ai-voor-de-zorg-huisartsen-praktijken).
7. Denk aan de AI-verordening
Naast de AVG is er de Europese AI-verordening, die gefaseerd in werking treedt. Bepaalde toepassingen (zoals selectie van personeel) gelden als hoog risico met extra eisen. Houd dit in de gaten en betrek bij twijfel een specialist.
8. Overweeg lokale verwerking
Voor de meest gevoelige data is lokaal of zelf-gehost draaien een manier om data binnen uw eigen omgeving te houden. Lees [Lokale AI vs cloud-AI](/blog/lokale-ai-vs-cloud-ai-voor-bedrijven).
Wat dit praktisch betekent
U hoeft geen jurist te zijn om verstandig te beginnen. Werk met zakelijke tools, sluit de juiste overeenkomsten, stuur zo min mogelijk persoonsgegevens, en wees extra voorzichtig met gevoelige data. Bij twijfel: vraag advies voordat u live gaat.
NEXTRIQ bouwt AI-oplossingen met deze uitgangspunten in het ontwerp. Wilt u sparren over een AVG-bewuste opzet? Neem [contact](/contact) op.
Veelgestelde vragen
Mag ik klantdata in ChatGPT of Claude invoeren?
Alleen via zakelijke versies met verwerkersovereenkomst en zonder training op uw data. Niet via gratis consumentenaccounts voor gevoelige gegevens.
Heb ik altijd een DPIA nodig?
Nee, alleen bij verwerkingen met een hoog risico. Bij gevoelige gegevens of profilering is het vaak wel aangewezen.
Is dit juridisch advies?
Nee. Dit is een praktisch startpunt. Bij complexe of risicovolle verwerkingen schakelt u een privacyspecialist in.