AVG en AI: de 5 vragen die elk bedrijf zich moet stellen

Je voert een AI-tool in. Misschien een chatbot voor klantenservice, een systeem dat cv's screent, of een model dat facturen verwerkt. Het werkt fantastisch — tot de eerste privacymelding binnenkomt of de Autoriteit Persoonsgegevens vragen stelt. Dan blijkt dat je eigenlijk niet goed hebt nagedacht over de AVG.

Dat klinkt dramatisch, maar het gebeurt vaker dan je denkt. Bedrijven zijn enthousiast over wat AI kan, maar vergeten dat persoonsgegevens verwerken onder strikte regels valt. Ook als een AI-model het doet in plaats van een medewerker. De AVG maakt geen uitzondering voor slimme algoritmes.

Dit artikel neemt je mee langs vijf cruciale vragen die je moet beantwoorden voordat je AI inzet op persoonsgegevens. Niet als juridisch advies, maar als praktische leidraad. Want als je deze vragen goed beantwoordt, voorkom je later hoofdpijn.

1. Op welke rechtsgrondslag verwerk je deze gegevens?

De AVG vraagt om een legitieme reden voor elke verwerking van persoonsgegevens. Je mag niet zomaar data verzamelen of analyseren "omdat het kan". Er zijn zes rechtsgrondslagen, maar in de praktijk zie je er bij AI vooral drie:

Toestemming: de betrokkene heeft expliciet ja gezegd. Klinkt simpel, maar let op: toestemming moet vrijelijk gegeven zijn. Als je een sollicitant vraagt of een AI zijn cv mag screenen, is dat niet vrijelijk — hij wil de baan. Dan werkt toestemming niet.

Overeenkomst: je hebt de data nodig om je contract uit te voeren. Bijvoorbeeld: een klant bestelt iets, jij gebruikt AI om de levering te optimaliseren. Dat mag, want zonder ordergegevens kun je niet leveren.

Gerechtvaardigd belang: je hebt een zakelijk belang dat zwaarder weegt dan de privacy-impact. Denk aan fraudedetectie of het verbeteren van je dienstverlening. Hier moet je een afweging maken: is wat jij wilt bereiken zwaarder dan het ongemak voor de betrokkene? En kun je het niet op een minder ingrijpende manier doen?

Bij AI-toepassingen grijpen bedrijven vaak naar gerechtvaardigd belang. Dat mag, maar dan moet je wel een goede belangenafweging maken en documenteren. "We willen efficiënter werken" is niet genoeg. Je moet aantonen dat je alternatieven hebt overwogen en dat de impact beperkt is.

Praktisch voorbeeld: je wilt een AI-assistent inzetten die meeleest in e-mails van medewerkers om betere antwoorden te suggereren. Toestemming werkt hier lastig (werknemers voelen druk). Overeenkomst ook niet (het hoort niet bij hun contract). Gerechtvaardigd belang zou kunnen, maar dan moet je goed onderbouwen waarom het nodig is, hoe je privacy-risico's beperkt (geen gevoelige mails, geen logging van inhoud), en of medewerkers bezwaar kunnen maken.

2. Gebruik je de data alleen waarvoor je ze verzamelde?

Dit heet doelbinding. Je mag persoonsgegevens alleen gebruiken voor het doel waarvoor je ze oorspronkelijk hebt verzameld. Klinkt logisch, maar AI maakt dit ingewikkeld.

Stel: je hebt een CRM-systeem met klantgegevens. Je wilt nu een AI-model trainen dat verkoopkansen voorspelt. Dat is een nieuw doel. Als je in je privacyverklaring alleen hebt gemeld "wij gebruiken je gegevens voor orderverwerking", dan mag dit niet zomaar.

Er zijn twee manieren om dit op te lossen:

• Vraag nieuwe toestemming (of check of je nieuwe doel past binnen een andere rechtsgrondslag)

• Anonimiseer de data voordat je het model traint. Als het echt niet meer te herleiden is naar individuen, valt het buiten de AVG. Let op: pseudonimisering (vervangen van namen door codes) is niet genoeg. Echte anonimisering betekent dat je met geen mogelijkheid meer kunt achterhalen wie wie is.

Veel bedrijven denken: "We gebruiken het intern, dat is toch hetzelfde doel?" Nee. Marketing is een ander doel dan klantenservice. Personeelsplanning is een ander doel dan salarisadministratie. Wees hier scherp op.

3. Verzamel je niet meer data dan nodig?

Data-minimalisatie. Je mag alleen die gegevens verzamelen die echt nodig zijn voor je doel. Niet "alles wat interessant zou kunnen zijn".

AI-modellen zijn dorstig. Ze presteren vaak beter met meer data. Maar de AVG vraagt: heb je dit allemaal nodig? Als je een chatbot maakt voor klantvragen, heb je dan het geboortedatum nodig? Het adres? De aankoophistorie van de afgelopen vijf jaar?

Maak een lijst van datavelden die je wilt gebruiken. Vraag bij elk veld: wat gebeurt er als we dit weglaten? Als het antwoord is "dan werkt het iets minder goed", dan is het geen noodzakelijk gegeven.

Praktijktip: train je model met zo min mogelijk persoonsgegevens. Gebruik waar mogelijk synthetische data (kunstmatig gegenereerde voorbeelddata) of geanonimiseerde datasets. En als je model eenmaal getraind is: heb je de oorspronkelijke trainingsdata dan nog nodig? Vaak niet.

Dit is ook een technische keuze. Sommige AI-architecturen (zoals federated learning) laten je modellen trainen zonder dat alle data naar één centrale plek gaat. Dat beperkt privacy-risico's. Bespreek dit met je technisch team.

4. Hoe lang bewaar je de gegevens?

De AVG zegt: niet langer dan nodig. Dat betekent dat je een bewaartermijn moet bepalen. En dat is bij AI-toepassingen niet altijd eenvoudig.

Er zijn twee soorten data om over na te denken:

Trainingsdata: de gegevens waarmee je het model hebt getraind. Heb je die nog nodig nadat het model klaar is? Soms wel, bijvoorbeeld als je later wilt aantonen hoe het model tot stand is gekomen of als je het opnieuw moet trainen. Maar vaak kun je trainingsdata na een bepaalde periode verwijderen of anonimiseren.

Input- en outputdata: de gegevens die mensen aan je AI-systeem geven en wat het systeem teruggeeft. Denk aan gesprekken met een chatbot, geanalyseerde cv's, voorspellingen. Hier geldt: bewaar alleen wat je echt nodig hebt voor je dienstverlening of wettelijke verplichtingen. Log niet "voor het geval dat".

Maak concrete afspraken. Bijvoorbeeld: chatgesprekken maximaal 30 dagen bewaren, tenzij er een klacht is. Of: cv's van niet-geselecteerde kandidaten binnen drie maanden verwijderen.

En zorg dat dit ook echt gebeurt. Geen oude back-ups met persoonsgegevens die niemand opruimt. Automatiseer het liefst de verwijdering.

5. Kunnen betrokkenen hun AVG-rechten uitoefenen?

Mensen hebben rechten onder de AVG. Ook als hun data door een AI is verwerkt. De belangrijkste:

Inzagerecht: iemand wil weten welke gegevens je over hem hebt en hoe je die gebruikt. Kun je dat uitleggen? Bij een AI-model is dat niet altijd eenvoudig. Je moet kunnen laten zien welke data je hebt gebruikt en — in grote lijnen — hoe het systeem tot een beslissing kwam.

Rectificatierecht: iemand zegt "die gegevens kloppen niet". Je moet dat kunnen corrigeren. Maar wat als een AI-model op basis van foute data is getraind? Dan moet je misschien het model opnieuw trainen, of in ieder geval de fout herstellen voor toekomstige beslissingen.

Recht van bezwaar: iemand wil niet dat je zijn gegevens voor een bepaald doel gebruikt (bijvoorbeeld gerechtvaardigd belang). Je moet daar gehoor aan geven, tenzij je hele zwaarwegende redenen hebt. Bij geautomatiseerde marketing is een bezwaar bijna altijd terecht. Bij fraudedetectie kun je soms weigeren.

Recht op menselijke tussenkomst: als je AI-systeem belangrijke beslissingen neemt (kredietaanvraag, sollicitatie, verzekeringspolis), dan heeft iemand recht op uitleg en menselijke beoordeling. Dit is extra belangrijk: je mag niet zomaar een algoritme beslissen laten zonder mogelijkheid tot hoger beroep.

Controleer of je processen dit aankunnen. Als iemand een inzageverzoek doet, wie pakt dat op? Hoe snel kun je antwoorden? (De AVG zegt: binnen één maand.) Kun je data uit je AI-systeem halen als iemand verwijdering vraagt?

Wat betekent dit voor jouw AI-project?

Deze vijf vragen zijn geen checklist die je één keer afvinkt. Ze zijn onderwerpen die je continu moet bewaken, vooral als je AI-systeem verandert of nieuwe data gebruikt.

Een paar concrete stappen:

• Maak een verwerkingsregister: documenteer per AI-toepassing welke data je gebruikt, waarom, op welke rechtsgrondslag, en hoe lang je het bewaart. Dit is sowieso een AVG-verplichting.

• Doe een DPIA (Data Protection Impact Assessment) als je AI-systeem risicovol is. Denk aan gezondheidsdata, grootschalige monitoring, profilering met grote impact. De Autoriteit Persoonsgegevens heeft hier lijsten voor.

• Betrek je privacy-officer (of een externe adviseur) vanaf het begin. Niet pas als het systeem af is.

• Test je processen: wat gebeurt er als iemand een inzageverzoek doet? Simuleer het eens.

AI en privacy hoeven geen vijanden te zijn. Maar ze vereisen wel dat je vooraf nadenkt in plaats van achteraf repareren. Die vijf vragen helpen je daarbij. En als je ze niet zelf kunt beantwoorden, weet je in ieder geval welke expert je moet bellen.

Concrete actie voor morgen: pak één AI-tool die je nu gebruikt met persoonsgegevens. Beantwoord de vijf vragen voor die tool. Als je ergens twijfelt, noteer dat — en zoek het uit. Want die twijfel is vaak precies het punt waar later problemen ontstaan.