Wat is GDPR?

Wat is GDPR eigenlijk?

GDPR staat voor General Data Protection Regulation — in het Nederlands kennen we het als de Algemene Verordening Gegevensbescherming (AVG). Het is een Europese wet die sinds 2018 regelt hoe organisaties met jouw persoonsgegevens moeten omgaan. Denk aan je naam, mailadres, maar ook aan dingen zoals je surfgedrag, gezondheidsgegevens of biometrische data zoals een gezichtsscan.

De wet geldt voor elk bedrijf dat gegevens verwerkt van mensen in de EU — ook als dat bedrijf zelf buiten Europa zit. En omdat AI-systemen vaak grote hoeveelheden persoonlijke data gebruiken om te leren en voorspellingen te doen, speelt GDPR een cruciale rol in hoe AI-toepassingen worden ontwikkeld en ingezet.

Waarom is dit belangrijk voor AI?

AI-modellen hebben data nodig om te trainen. Stel je voor: een chatbot leert klantgesprekken voeren door duizenden eerdere chats te analyseren. Een aanbevelingssysteem kijkt naar wat je koopt, klikt en liket. Een gezichtsherkenningssysteem verwerkt foto's van mensen.

Als die data persoonsgegevens bevat, dan geldt GDPR. Dat betekent dat organisaties:

• Toestemming moeten vragen voordat ze je gegevens gebruiken (of een andere rechtmatige grond hebben)

• Transparant moeten zijn over wat ze met die data doen — ook als een AI-model ermee werkt

• Minimaal data mogen verzamelen: alleen wat echt nodig is

• Beveiligen tegen datalekken en misbruik

• Mensen het recht geven om hun data in te zien, te corrigeren of te laten verwijderen

Een specifiek punt: GDPR zegt ook dat mensen recht hebben op een uitleg als een geautomatiseerd systeem (zoals een AI) een belangrijke beslissing over hen neemt — bijvoorbeeld bij een kredietaanvraag of sollicitatieprocedure. Dat maakt het soms lastig voor AI-systemen die werken als een "black box" waarvan niemand precies begrijpt hoe ze tot een conclusie komen.

Een voorbeeld uit de praktijk

Stel: een webshop gebruikt AI om te voorspellen welke producten jij waarschijnlijk wilt kopen. Die AI analyseert je klikgedrag, eerdere aankopen en misschien zelfs hoe lang je naar bepaalde pagina's kijkt. Volgens GDPR moet de webshop je informeren dat dit gebeurt, uitleggen waarvoor het wordt gebruikt, en je de mogelijkheid geven om bezwaar te maken.

Of: een ziekenhuis gebruikt AI om röntgenfoto's te analyseren. Die foto's bevatten medische gegevens — bijzondere persoonsgegevens die extra beschermd zijn. Het ziekenhuis mag die niet zomaar doorsturen naar een AI-leverancier in een ander land zonder strikte afspraken en waarborgen.

Waar kom je het tegen?

• Cookie-banners op websites die vragen of je trackingtechnologie accepteert — vaak gevoed door AI voor advertenties

• Privacy statements waarin organisaties uitleggen of en hoe ze AI gebruiken met jouw data

• Opt-out mogelijkheden bij bedrijven die gepersonaliseerde content of aanbevelingen aanbieden

• Data-verwijderverzoeken die je kunt indienen als je wilt dat een bedrijf je gegevens uit hun systemen — en dus ook uit hun AI-trainingsdata — haalt

• Boetes in het nieuws: bedrijven die GDPR overtreden (bijvoorbeeld door data te delen zonder toestemming) kunnen boetes krijgen tot miljoenen euro's

Hoe zit het met AI-modellen en "vergeten"?

Een lastig punt: als iemands data is gebruikt om een AI-model te trainen, kun je die data niet zomaar uit het model "trekken". Het model heeft namelijk patronen geleerd uit alle data samen. Sommige organisaties lossen dit op door het model opnieuw te trainen zonder die specifieke data — maar dat is kostbaar. Andere aanpakken zijn nog in ontwikkeling.

Wat betekent dit voor jou?

Of je nu een bedrijf runt dat AI wil inzetten, of gewoon nieuwsgierig bent wat er met je gegevens gebeurt: GDPR geeft je controle. Je mag vragen wat een organisatie met je data doet, je mag bezwaar maken tegen geautomatiseerde beslissingen, en je kunt eisen dat je gegevens worden verwijderd.

Voor bedrijven betekent het: zorg dat je privacy by design werkt — bouw bescherming van persoonsgegevens in vanaf het begin van je AI-project. Check of je een AVG-functionaris (Data Protection Officer) nodig hebt. En wees transparant: leg uit wat je AI doet en waarom.

Wil je meer weten over je rechten? Kijk op de website van de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl). Werk je aan een AI-toepassing? Doe een Data Protection Impact Assessment (DPIA) om risico's in kaart te brengen voordat je live gaat.