AI, Privacy en de AVG

AI Privacy en de AVG voor Organisaties

Welke AI-toepassingen zijn toegestaan onder de AVG? Praktische uitleg van privacy-risico's bij AI-gebruik voor organisaties en HR-professionals.

AI privacy en de AVG voor organisaties

AI en de AVG botsen regelmatig: AI-systemen verwerken persoonsgegevens op een schaal en manier waarvoor de Algemene Verordening Gegevensbescherming strenge regels stelt. Ze trekken conclusies over mensen en nemen soms beslissingen met rechtsgevolgen, activiteiten die binnen de AVG om specifieke juridische grondslag, transparantie en verantwoording vragen.

Toch is "AI en AVG" voor veel organisaties een blinde vlek. Men weet dat er regels zijn, maar niet precies welke, en zeker niet hoe die uitpakken in de dagelijkse praktijk van AI-gebruik. Deze pagina geeft een concreet overzicht: wat is er toegestaan, wat niet, en hoe richt je je organisatie in.

Onderdeel van AI-geletterdheid is het begrijpen van de randvoorwaarden waaronder AI ingezet mag worden. Privacy is een van de meest kritieke randvoorwaarden.

Kernregel: De AVG is volledig van toepassing op AI-systemen die persoonsgegevens verwerken. Er bestaat geen uitzondering voor innovatieve technologie. Rechtmatige grondslag, transparantie en betrokkenenrechten gelden onverkort.

In dit artikel

De AVG en AI: kort overzicht

De AVG is de Europese privacywet die geldt voor alle organisaties die gegevens verwerken van mensen in de EU. Ze is niet specifiek geschreven voor AI, maar haar principes gelden onverkort voor AI-toepassingen.

De zes AVG-kernprincipes die direct relevant zijn voor AI-gebruik:

  • Rechtmatigheid: elk AI-systeem dat persoonsgegevens verwerkt, heeft een geldige rechtsgrond nodig (toestemming, contract, wettelijke verplichting, vitaal belang, publieke taak of gerechtvaardigd belang).
  • Doelbinding: data mag alleen worden gebruikt voor het doel waarvoor ze is verzameld. Je mag data die je hebt verzameld voor klantenservice, niet zomaar gebruiken om een AI-model voor marketing te trainen.
  • Minimale gegevensverwerking: verwerk alleen de data die je echt nodig hebt. Meer data dan nodig is, is in strijd met de AVG, ook in AI-context.
  • Juistheid: data moet kloppen. Onjuiste data in AI-modellen leidt tot onjuiste beslissingen en AVG-schendingen.
  • Opslagbeperking: bewaar data niet langer dan noodzakelijk. AI-modellen die oneindig veel historische data opslaan en verwerken, zijn hier kwetsbaar.
  • Integriteit en vertrouwelijkheid: beveilig gegevens afdoende. AI-systemen met toegang tot persoonsgegevens moeten technisch en organisatorisch goed beveiligd zijn.

Naast de AVG treedt de EU AI Act gefaseerd in werking. Die wet voegt specifieke verplichtingen toe voor hoog-risico AI-systemen, bovenop wat de AVG al vereist. Meer daarover op de pagina over de AI Act.

Wat zijn persoonsgegevens in AI-context?

Een veelvoorkomend misverstand: mensen denken dat anonieme of geaggregeerde data buiten de AVG valt. Dat klopt, maar de definitie van "persoonsgegeven" is breder dan de meeste mensen denken.

Een persoonsgegeven is alle informatie die direct of indirect verwijst naar een identificeerbaar natuurlijk persoon. In AI-context betekent dat:

  • Namen, e-mailadressen, telefoonnummers: evident.
  • IP-adressen, cookies, locatiedata: ook persoonsgegevens.
  • Geaggregeerde profielen die individuen uniek identificeren: ook persoonsgegevens.
  • Gedragsdata, klikpatronen, koopgeschiedenissen: persoonsgegevens als ze koppelbaar zijn aan een persoon.
  • Foto's en biometrische data die in AI-systemen worden verwerkt: bijzondere categorie persoonsgegevens met versterkte bescherming.

Anonimisering is het sleutelwoord. Echt geanonimiseerde data (waarbij de koppeling naar een individu onherstelbaar is verbroken) valt buiten de AVG. Maar echte anonimisering is technisch moeilijker dan het klinkt. Pseudonimisering (waarbij de data en de sleutel gescheiden worden bewaard) is geen anonimisering en valt wel onder de AVG.

Wat mag wel

De AVG verbiedt veel niet. Ze stelt wel voorwaarden. Organisaties die voldoen aan de rechtmatigheidsvereisten kunnen een breed scala aan AI-toepassingen inzetten.

Toegestaan: AI-toepassingen op basis van gerechtvaardigd belang (zoals fraudedetectie, cybersecuritymonitoring en operationele optimalisatie) mits de belangen van de organisatie zwaarder wegen dan de privacybelangen van betrokkenen, en mits er transparantie is over het gebruik.
AI-toepassing Rechtsgrond Voorwaarden
Spamfilter e-mail Gerechtvaardigd belang Transparantie, minimale data
Fraudedetectie Gerechtvaardigd belang / wettelijke verplichting Noodzakelijkheid, proportionaliteit
Klantenservice chatbot Contractuitvoering Informatieverstrekking over AI-gebruik
Gepersonaliseerde aanbevelingen Toestemming Specifiek, vrijwillig, herroepbaar
AI-training op interne data Gerechtvaardigd belang Anonimisering of pseudonimisering aanbevolen

Privacy by design is een aanpak die helpt bij compliance: bouw privacywaarborgen in vanaf het begin van het ontwerp van een AI-systeem, in plaats van ze achteraf toe te voegen. Organisaties die aantoonbaar privacy by design toepassen, staan sterker tegenover toezichthouders.

Wat mag niet

Sommige AI-praktijken zijn altijd in strijd met de AVG, ongeacht de rechtsgrond of het doel.

Verboden: Heimelijke profilering (het opbouwen van profielen over mensen zonder hun medeweten) is altijd in strijd met de AVG. Dit geldt ook als de profielen worden opgebouwd via indirecte of geaggregeerde data.

Volledig geautomatiseerde besluitvorming

Artikel 22 AVG bepaalt dat mensen het recht hebben om niet onderworpen te worden aan volledig geautomatiseerde beslissingen die rechtsgevolgen hebben of hen in aanmerkelijke mate treffen. Denk aan: automatisch afwijzen van een sollicitant, automatisch weigeren van een kredietaanvraag, automatisch bepalen van een verzekeringspremie.

Uitzonderingen bestaan (bij expliciete toestemming, contractuele noodzaak of wettelijke grondslag) maar ook in die gevallen hebben betrokkenen recht op menselijke tussenkomst, op uitleg van de beslissingslogica en op bezwaar. Organisaties die dit recht niet inrichten, overtreden de AVG.

Verwerking van bijzondere categorieën persoonsgegevens

De AVG kent een versterkt verbod op verwerking van bijzondere categorieën: ras en etniciteit, politieke opvattingen, religie, vakbondslidmaatschap, genetische data, biometrische data, gezondheidsdata, seksuele geaardheid. Voor AI-systemen betekent dit dat modellen die deze kenmerken verwerken of infereren, strenge uitzonderingsgronden nodig hebben. De standaardregel is een verwerkingsverbod. Meer informatie over de toepassing van de AVG op AI vindt u bij de Autoriteit Persoonsgegevens.

Data gebruiken voor een ander doel dan waarvoor het is verzameld

Doelbinding is een van de strengst gehandhaafde AVG-principes. Klantgegevens die zijn verzameld voor orderverwerking, mogen niet zomaar worden gebruikt om een AI-marketingmodel te trainen. Medewerkersdata die is verzameld voor salarisadministratie, mag niet worden ingezet voor een AI-prestatiemonitoringsysteem zonder nieuwe rechtsgrond en transparantie.

Praktische richtlijnen voor medewerkers

Naast organisatorische en juridische kaders hebben medewerkers concrete richtlijnen nodig voor hun dagelijks AI-gebruik. Weten wat er vanuit de wet verplicht is, is een zaak voor juristen. Weten wat je in de praktijk wel en niet mag doen, is een zaak van AI-geletterdheid.

1
Plak geen klant- of medewerkergegevens in externe AI-tools. ChatGPT, Gemini en vergelijkbare tools zijn externe diensten. Data die je inbrengt, verlaat de organisatie. Namen, contactgegevens, salarisinformatie, medische achtergronden van medewerkers: niets van dat alles hoort in een externe AI-tool tenzij er een verwerkersovereenkomst is en de tool AVG-compliant is geconfigureerd.
2
Wees transparant als AI wordt gebruikt in klantcommunicatie. Als een chatbot klantenservice verleent, moet de klant weten dat hij of zij met een AI-systeem praat. Verberg het gebruik van AI niet, ook niet als de output door een medewerker wordt gelezen en verstuurd.
3
Neem geen HR-beslissingen puur op basis van AI-output. Sollicitantenscreening, beoordelingsgesprekken, salarisaanpassingen: bij alle beslissingen met rechtsgevolgen voor medewerkers moet een mens de beslissing nemen en motiveren. AI mag ondersteunen, niet beslissen.
4
Gebruik geanonimiseerde of fictieve data voor testdoeleinden. Als je een AI-tool test of demonstreert, gebruik dan nooit echte persoonsgegevens. Maak fictieve datasets of anonimiseer bestaande data volledig voordat je ze gebruikt voor tests of trainingen.
5
Meld twijfelgevallen bij de FG of privacy-officer. Als je twijfelt of een AI-toepassing privacyconform is, meld het. De Functionaris Gegevensbescherming (FG) of de privacy-officer van uw organisatie is er om te helpen. Onzekerheid is geen reden om door te gaan, het is een reden om te vragen.

Data Protection Impact Assessment (DPIA)

Voor AI-systemen die grootschalig persoonsgegevens verwerken, systematische monitoring uitvoeren, of bijzondere categorieën verwerken, is een DPIA verplicht. Een DPIA is een gestructureerde risicoanalyse van de privacyimpact van een systeem. Voor AI-toepassingen vraagt dit extra aandacht voor algoritmetransparantie, bias-risico's en geautomatiseerde besluitvorming. Meer over compliance-stappen vind je in het stappenplan AI-compliance.

Aan de slag

  • Inventariseer welke AI-tools medewerkers gebruiken en of daarbij persoonsgegevens worden ingevoerd: dit is uw eerste AVG-risicoscan.
  • Sluit een verwerkersovereenkomst af met elke AI-aanbieder waaraan persoonsgegevens worden doorgegeven, of blokkeer het gebruik.
  • Stel een AI-gebruiksbeleid op met concrete verboden: geen klantdata in publieke AI-tools, geen bijzondere persoonsgegevens zonder juridische grondslag.
  • Voer een DPIA uit voor elk AI-systeem dat grootschalig persoonsgegevens verwerkt of profilering toepast met rechtsgevolgen.
  • Wijs een aanspreekpunt aan voor AI-gerelateerde privacyvragen: iemand in uw organisatie moet dit bijhouden en escaleren naar de FG.

Veelgestelde vragen

Mag ik klantgegevens invoeren in ChatGPT?

Klantgegevens mogen in principe niet worden ingevoerd in ChatGPT of andere publieke AI-tools. De uitzondering: er is een verwerkersovereenkomst met de aanbieder (zoals OpenAI) en de tool is AVG-compliant geconfigureerd. Zonder die overeenkomst verlaten persoonsgegevens de organisatie zonder juridische basis, wat een AVG-overtreding is.

Is volledig geautomatiseerde HR-besluitvorming toegestaan?

Volledig geautomatiseerde HR-besluitvorming is in beginsel niet toegestaan. Artikel 22 AVG bepaalt dat mensen recht hebben op menselijke tussenkomst bij beslissingen met rechtsgevolgen. Bij sollicitantenscreening, beoordelingen en ontslagbeslissingen moet altijd een mens de finale beslissing nemen en motiveren.

Wanneer is een DPIA verplicht voor AI?

Een DPIA is verplicht bij AI-systemen die grootschalig persoonsgegevens verwerken, systematische monitoring uitvoeren of bijzondere categorieën persoonsgegevens verwerken. Ook bij profilering die rechtsgevolgen heeft, is een DPIA verplicht.

Lees ook

Neem vandaag nog contact met ons op!

Zorg dat jouw organisatie klaar is voor de AI act!

Contact
AICG AI Consultancy Group

AIGeletterdheid.com maakt onderdeel uit van de AI Consultancy Group (AICG)

Socials
Contact
  • Mail ons
Scroll naar boven