Terug naar kennisbank
Privacy & Compliance

AI en de AVG: wat mag en wat niet?

De belangrijkste regels voor het gebruik van AI met persoonsgegevens. Concrete tips voor AVG-compliant AI-gebruik.

12 min leestijd5 december 2024

AI en privacy: een spanningsveld

Het gebruik van AI-systemen met persoonsgegevens roept belangrijke juridische vragen op. De Algemene Verordening Gegevensbescherming (AVG) stelt strenge eisen aan de verwerking van persoonsgegevens, en AI-systemen vormen daarop geen uitzondering. In dit artikel bespreken we de belangrijkste regels en geven we praktische handvatten voor compliant AI-gebruik.

De basis: wat zegt de AVG?

Persoonsgegevens en verwerking

De AVG is van toepassing zodra je persoonsgegevens verwerkt. Persoonsgegevens zijn alle gegevens die direct of indirect te herleiden zijn tot een natuurlijk persoon. Dit omvat voor de hand liggende zaken zoals namen en emailadressen, maar ook IP-adressen, klantnummers en zelfs geschreven teksten die informatie over personen bevatten.

Verwerking is een breed begrip: het verzamelen, opslaan, raadplegen, gebruiken, doorzenden en verwijderen van data valt er allemaal onder. Wanneer je teksten met persoonsgegevens invoert in een AI-systeem, is dat dus een verwerking in de zin van de AVG.

Rechtmatige grondslagen

Elke verwerking moet gebaseerd zijn op een rechtmatige grondslag. De zes grondslagen uit de AVG zijn:

  1. Toestemming: de betrokkene heeft expliciet ingestemd
  2. Overeenkomst: verwerking is nodig voor het uitvoeren van een contract
  3. Wettelijke verplichting: de wet verplicht tot verwerking
  4. Vitale belangen: noodzakelijk om iemands leven te redden
  5. Publieke taak: nodig voor een taak van algemeen belang
  6. Gerechtvaardigd belang: belang van de verwerker weegt zwaarder dan dat van de betrokkene

Voor commercieel AI-gebruik zijn meestal toestemming, overeenkomst of gerechtvaardigd belang relevant.

Specifieke aandachtspunten bij AI

Data minimalisatie

Een kernprincipe van de AVG is data minimalisatie: verwerk niet meer gegevens dan strikt noodzakelijk. Dit heeft concrete implicaties voor AI-gebruik:

  • Anonimiseer of pseudonimiseer data waar mogelijk voordat je het in AI-systemen invoert
  • Verwijder irrelevante persoonsgegevens uit prompts
  • Overweeg of je dezelfde taak kunt uitvoeren zonder persoonsgegevens

Doelbinding

Persoonsgegevens mogen alleen worden gebruikt voor het doel waarvoor ze zijn verzameld. Als je klantgegevens hebt verzameld voor facturatie, mag je ze niet zomaar gebruiken om een AI-model te trainen.

Dit is bijzonder relevant bij:

  • Het fine-tunen van modellen op bedrijfsdata
  • Het analyseren van klantcommunicatie
  • Het trainen van chatbots op historische gesprekken

Recht op uitleg

Artikel 22 van de AVG geeft betrokkenen het recht om niet te worden onderworpen aan volledig geautomatiseerde besluitvorming met rechtsgevolgen. Dit betekent:

  • Bij geautomatiseerde beslissingen moet menselijke tussenkomst mogelijk zijn
  • Betrokkenen hebben recht op uitleg over de logica achter de beslissing
  • Ze kunnen de beslissing aanvechten

Praktisch gezien: gebruik AI als ondersteuning bij beslissingen, niet als vervanging van menselijke oordeelsvorming bij belangrijke beslissingen.

Verwerkersovereenkomsten

Wanneer is een verwerkersovereenkomst nodig?

Zodra je persoonsgegevens laat verwerken door een externe partij - zoals een AI-provider - moet je een verwerkersovereenkomst sluiten. Dit geldt voor:

  • OpenAI (ChatGPT API)
  • Anthropic (Claude API)
  • Microsoft (Azure OpenAI)
  • Google (Vertex AI)
  • Elke andere AI-provider

Wat moet erin staan?

Een verwerkersovereenkomst moet minimaal bevatten:

  • Het onderwerp en de duur van de verwerking
  • De aard en het doel van de verwerking
  • Het type persoonsgegevens en categorieen betrokkenen
  • De rechten en verplichtingen van de verwerkingsverantwoordelijke
  • Garanties over beveiliging
  • Regels over sub-verwerkers
  • Afspraken over audits en controle

Let op: training op jouw data

Een cruciale clausule gaat over het gebruik van ingevoerde data voor training. Veel AI-providers behouden zich het recht voor om data te gebruiken voor modelverbetering. Voor AVG-compliance moet je:

  • Zorgen dat de provider data niet gebruikt voor training, of
  • Een specifieke grondslag hebben voor dit gebruik, en
  • Betrokkenen hierover informeren

De meeste enterprise-contracten sluiten training op klantdata expliciet uit.

Internationale doorgifte

Het probleem met Amerikaanse providers

De meeste grote AI-providers zijn Amerikaans. De AVG beperkt de doorgifte van persoonsgegevens naar landen buiten de EU die geen 'adequaat' beschermingsniveau bieden.

Na het vervallen van het Privacy Shield en voordat het EU-US Data Privacy Framework van kracht werd, was dit een groot probleem. Momenteel biedt het nieuwe framework een basis, maar de juridische houdbaarheid wordt betwijfeld.

Praktische oplossingen

  1. Europese hosting: kies voor providers met EU-gebaseerde verwerking (Azure EU, AWS eu-west, Anthropic via AWS EU)
  2. Anonimisering: als data niet meer te herleiden is tot personen, is de AVG niet van toepassing
  3. Self-hosting: draai open source modellen op eigen Europese infrastructuur
  4. Standaard contractbepalingen: gebruik de door de EC goedgekeurde modelclausules

Praktische checklist

Voordat je AI inzet met persoonsgegevens, doorloop deze checklist:

  • Is er een rechtmatige grondslag voor de verwerking?
  • Is de verwerking gedocumenteerd in het verwerkingsregister?
  • Is er een verwerkersovereenkomst met de AI-provider?
  • Sluit de overeenkomst training op jouw data uit?
  • Worden gegevens verwerkt binnen de EU, of is doorgifte rechtmatig geregeld?
  • Zijn betrokkenen geinformeerd over het AI-gebruik (privacyverklaring)?
  • Is er een DPIA uitgevoerd bij hoog-risico verwerkingen?
  • Is er menselijke tussenkomst bij geautomatiseerde besluitvorming?
  • Wordt niet meer data verwerkt dan noodzakelijk?

De AI Act: wat komt eraan?

De Europese AI Act introduceert aanvullende regels specifiek voor AI-systemen. Hoewel deze verordening primair gaat over AI-veiligheid en niet over privacy, zijn er overlappende gebieden:

  • Hoog-risico AI-systemen moeten aan strenge eisen voldoen
  • Er komen transparantieverplichtingen voor bepaalde AI-toepassingen
  • Systemen voor biometrische identificatie worden sterk gereguleerd

Organisaties doen er goed aan om nu al rekening te houden met deze aankomende regelgeving.

Conclusie

AVG-compliant AI-gebruik is zeker mogelijk, maar vereist aandacht en zorgvuldigheid. De sleutel is om privacy vanaf het begin mee te nemen in je AI-strategie, niet als een afterthought. Documenteer je verwerkingen, sluit de juiste overeenkomsten, en kies waar mogelijk voor Europese oplossingen.

Twijfel je over de compliance van je huidige AI-gebruik? Een privacy-audit kan helderheid bieden en risico's in kaart brengen voordat ze problemen worden.

Vond je dit artikel nuttig?

Deel het met je netwerk.

Delen

Gerelateerde artikelen

Andere artikelen die je wellicht interessant vindt.

AI Basics

Wat is een LLM en hoe werkt het?

Large Language Models uitgelegd in normale taal. Wat ze kunnen, hoe ze werken, en waarom ze relevant zijn voor jouw bedrijf.

8 min
AI Basics

ChatGPT vs Claude vs Llama: wat zijn de verschillen?

Een praktische vergelijking van de populairste AI-modellen. Welk model past het beste bij jouw use case?

10 min
Cloud & Infrastructuur

AWS vs Azure vs Google Cloud voor AI

Een vergelijking van de grote cloud providers voor AI workloads. Kosten, features en vendor lock-in risico's.

15 min
Bekijk alle artikelen