De Algemene Verordening Gegevensbescherming (AVG) bestaat sinds 2018. AI-systemen bestonden er natuurlijk al voor, maar de explosieve groei van generatieve AI heeft een nieuwe laag complexiteit toegevoegd. Want wat betekent het recht op uitleg als een AI-model een beslissing neemt? Hoe pas je dataminimalisatie toe op een systeem dat juist baat heeft bij meer data? En wanneer is een Data Protection Impact Assessment (DPIA) verplicht?
Dit artikel legt de overlap uit tussen AVG-verplichtingen en AI-toepassingen, specifiek gericht op MKB-bedrijven die AI willen inzetten zonder juridische risico's te lopen.
Waarom de AVG relevant is voor AI
De AVG reguleert de verwerking van persoonsgegevens. Zodra je AI-systeem informatie verwerkt die herleidbaar is tot een individu — namen, e-mailadressen, klantgedrag, gesprekken, gezichtsherkenning — val je onder de AVG.
Dat geldt voor bijna elke zakelijke AI-toepassing:
- Een AI-chatbot die klantvragen beantwoordt, verwerkt namen, e-mails en gespreksinhoud
- Een leadscoring-systeem profileert individuen op basis van hun gedrag
- Een AI-tool voor HR die cv's screent, verwerkt bijzondere persoonsgegevens
- Een klantanalyse-dashboard dat koopgedrag voorspelt, maakt profielen
De enige AI-toepassingen die buiten de AVG vallen zijn systemen die uitsluitend met geanonimiseerde of synthetische data werken — en dat is in de praktijk zeldzaam. Wil je een breder overzicht van de regelgeving? Lees ons pillar-artikel over de EU AI Act en AI-wetgeving in Nederland.
De vijf AVG-principes die botsen met AI
1. Doelbinding (artikel 5.1.b)
Wat de AVG zegt: Persoonsgegevens mogen alleen worden verzameld voor een specifiek, uitdrukkelijk omschreven doel. Verdere verwerking voor andere doelen is niet toegestaan zonder aanvullende rechtsgrond.
Waar het botst met AI: AI-modellen worden soms getraind op data die oorspronkelijk voor een ander doel is verzameld. Klantgegevens die je hebt verzameld voor orderverwerking, mag je niet zonder meer gebruiken om een AI-model te trainen dat koopgedrag voorspelt.
Praktische oplossing:
- Definieer vooraf waarvoor je de data gaat gebruiken
- Vraag expliciete toestemming als het doel verschilt van de oorspronkelijke verzameling
- Documenteer je rechtsgrond per verwerkingsdoel
2. Dataminimalisatie (artikel 5.1.c)
Wat de AVG zegt: Verzamel alleen de gegevens die strikt noodzakelijk zijn voor het doel.
Waar het botst met AI: Machine learning presteert doorgaans beter met meer data. Meer trainingsdata = betere voorspellingen. Dat staat op gespannen voet met het principe "zo min mogelijk."
Praktische oplossing:
- Gebruik pseudonimisering: vervang identificeerbare gegevens door codes tijdens de trainingsfase
- Anonimiseer waar mogelijk — geanonimiseerde data valt niet onder de AVG
- Train op geaggregeerde patronen in plaats van individuele profielen
- Documenteer waarom elke datavariabele noodzakelijk is voor het model
3. Recht op uitleg (artikel 22 + overweging 71)
Wat de AVG zegt: Wanneer een geautomatiseerd systeem een beslissing neemt die "aanmerkelijke gevolgen" heeft voor een persoon, heeft die persoon het recht op een begrijpelijke uitleg van de logica achter de beslissing.
Waar het botst met AI: Complexe AI-modellen — met name deep learning netwerken — zijn inherent moeilijk uit te leggen. Ze produceren een uitkomst, maar het "waarom" is niet altijd transparant te maken.
Wat zijn "aanmerkelijke gevolgen"?
- Weigering van een verzekering of lening
- Afwijzing van een sollicitatie
- Prijsdiscriminatie op basis van profielen
- Automatische opzegging van een dienst
Praktische oplossing:
- Gebruik interpreteerbare modellen waar mogelijk (decision trees, logistische regressie) boven black-box modellen
- Implementeer een uitleglaag: zelfs als het onderliggende model complex is, kun je de belangrijkste factoren weergeven ("Deze beslissing is gebaseerd op: factuur historie, betaalgedrag en bedrijfsgrootte")
- Bied altijd een mogelijkheid voor menselijke heroverweging
- Lees ons artikel over wat een AI-agent is voor meer context over hoe autonome AI-systemen beslissingen nemen
4. Recht op bezwaar en menselijke tussenkomst (artikel 21 + 22)
Wat de AVG zegt: Betrokkenen hebben het recht om bezwaar te maken tegen geautomatiseerde besluitvorming. Bij beslissingen met juridische of vergelijkbare gevolgen moet er een mogelijkheid zijn voor menselijke tussenkomst.
Waar het botst met AI: Volledig geautomatiseerde processen — een AI die automatisch klachten afhandelt, offertes genereert of werkroosters maakt — moeten een "mens-in-de-loop" hebben bij beslissingen die individuen significant raken.
Praktische oplossing:
- Bouw een escalaticeroute in elk AI-systeem dat beslissingen neemt over personen
- Maak het voor klanten en medewerkers makkelijk om menselijke heroverweging aan te vragen
- Documenteer hoe het bezwaarproces werkt en train je team hierop
5. Privacy by design en by default (artikel 25)
Wat de AVG zegt: Gegevensbescherming moet worden ingebouwd in het ontwerp van systemen, niet achteraf worden toegevoegd.
Waar het botst met AI: Veel AI-projecten beginnen met een technisch prototype dat later wordt "compliant gemaakt." Dat is de omgekeerde volgorde.
Praktische oplossing:
- Neem privacy-eisen op in de projectbriefing, niet in de opleverfase
- Betrek je Data Protection Officer (DPO) of privacy-adviseur bij het ontwerp
- Documenteer privacy-overwegingen per ontwikkelfase
Wanneer is een DPIA verplicht?
Een Data Protection Impact Assessment (DPIA) is verplicht wanneer een verwerking "waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen." De Autoriteit Persoonsgegevens heeft een lijst opgesteld van verwerkingen waarvoor een DPIA verplicht is. Bij AI-toepassingen is een DPIA vrijwel altijd nodig als:
- Het systeem profilering toepast (gedrag analyseren om voorspellingen te doen)
- Het systeem systematisch en grootschalig persoonsgegevens verwerkt
- De gegevens worden gebruikt voor geautomatiseerde besluitvorming met aanmerkelijke gevolgen
- Er nieuwe technologieën worden ingezet (AI wordt expliciet als voorbeeld genoemd)
- Er bijzondere persoonsgegevens worden verwerkt (gezondheid, etniciteit, politieke opvattingen)
Wat staat er in een DPIA?
| Onderdeel | Inhoud |
|---|---|
| Beschrijving verwerking | Wat doet het AI-systeem, welke data wordt verwerkt, waarvoor? |
| Noodzakelijkheid en evenredigheid | Waarom is deze verwerking nodig? Zijn er minder ingrijpende alternatieven? |
| Risicobeoordeling | Welke risico's zijn er voor betrokkenen? Hoe groot en waarschijnlijk? |
| Beheersmaatregelen | Welke technische en organisatorische maatregelen neem je om risico's te beperken? |
| Standpunt DPO | Advies van de Data Protection Officer |
Kosten: Een DPIA kost €2.000–€10.000, afhankelijk van de complexiteit. Het is een investering, geen formaliteit — een goed uitgevoerde DPIA beschermt je tegen boetes die tot 4% van de jaaromzet kunnen oplopen.
De EU AI Act bovenop de AVG
Sinds de EU AI Act van kracht is, hebben bedrijven te maken met twee lagen regelgeving die elkaar overlappen:
| Aspect | AVG | EU AI Act |
|---|---|---|
| Focus | Bescherming persoonsgegevens | Veiligheid en transparantie van AI-systemen |
| Scope | Alle verwerking van persoonsgegevens | AI-systemen, ongeacht of persoonsgegevens worden verwerkt |
| Risicoclassificatie | Niet van toepassing | Vier niveaus: minimaal, beperkt, hoog, onacceptabel |
| Toezichthouder | Autoriteit Persoonsgegevens | Nationale AI-toezichthouder (in oprichting) |
| Boetes | Tot 4% jaaromzet of €20M | Tot 7% jaaromzet of €35M |
De overlap: Als je AI-systeem persoonsgegevens verwerkt (AVG) en als hoog-risico wordt geclassificeerd (AI Act), moet je aan beide sets eisen voldoen. Dat betekent dubbele documentatie, dubbele impact assessments en dubbele verantwoordingsplicht.
Praktische implicatie voor MKB: De meeste MKB AI-toepassingen (chatbots, automatisering, analytics) vallen in de categorie "beperkt risico" onder de AI Act en worden als reguliere verwerking onder de AVG beschouwd. Maar zodra je AI inzet voor HR-screening, financiële besluitvorming of publieke dienstverlening, betreed je het hoog-risico-domein. Lees ons uitgebreide overzicht van de EU AI Act voor de volledige classificatie.
Praktische compliance-checklist voor MKB
Gebruik deze checklist voordat je een AI-systeem implementeert:
Vooraf:
- Rechtsgrond bepaald (toestemming, gerechtvaardigd belang of contract)
- Doelbinding gedocumenteerd
- Dataminimalisatie-analyse uitgevoerd
- DPIA noodzakelijkheid beoordeeld
- Verwerkersovereenkomst met AI-leverancier afgesloten
- Privacyverklaring bijgewerkt
Tijdens ontwikkeling:
- Privacy by design principes toegepast
- Pseudonimisering of anonimisering geïmplementeerd
- Uitlegbaarheid van beslissingen geborgd
- Menselijke tussenkomst mogelijk gemaakt
- Beveiligingsmaatregelen getroffen
Na lancering:
- Bezwaarprocedure gecommuniceerd aan betrokkenen
- Monitoring op bias en discriminatie ingericht
- Regelmatige herziening van data-gebruik en -opslag
- Incidentresponseplan voor datalekken
Wil je weten of je organisatie klaar is voor AI, inclusief de compliance-kant? Lees ons artikel over of je bedrijf klaar is voor AI. Voor een stapsgewijze aanpak, bekijk ook onze AI compliance checklist voor het MKB.
Bespaar 8 uur per week op AVG-compliance audits door vooraf een gestructureerd AI-privacybeleid op te stellen
Veelgestelde vragen
Mag ik klantdata gebruiken om een AI-model te trainen? Dat hangt af van je rechtsgrond. Als klanten toestemming hebben gegeven voor de specifieke verwerking, ja. Als je je baseert op gerechtvaardigd belang, moet je een afweging maken tussen jouw belang en de privacyrechten van de klant. In beide gevallen: documenteer je keuze.
Moet ik klanten vertellen dat ze met een AI praten? Onder de EU AI Act: ja, als het systeem direct interactie heeft met een persoon (chatbots, virtuele assistenten). Onder de AVG: ja, als het systeem geautomatiseerde beslissingen neemt met aanmerkelijke gevolgen. Transparantie is altijd de veiligste keuze.
Wat als mijn AI-leverancier buiten de EU zit? Dan moet je een verwerkersovereenkomst afsluiten die AVG-compliance garandeert. Als de leverancier in de VS zit, moet er een geldig doorgifte-mechanisme zijn (momenteel het EU-VS Data Privacy Framework). Let op: het versturen van persoonsgegevens naar AI-API's van OpenAI, Google of Anthropic is een doorgifte die je moet documenteren.
Hoe hoog zijn de boetes? De AVG kent boetes tot €20 miljoen of 4% van de jaarlijkse wereldwijde omzet. De EU AI Act gaat tot €35 miljoen of 7%. Voor MKB is de kans op maximale boetes klein, maar de Autoriteit Persoonsgegevens legt steeds vaker boetes op — ook aan kleinere organisaties.
Aan de slag met compliant AI
AVG-compliance en AI-implementatie zijn geen tegenstrijdige doelen. De regels dwingen je om bewust na te denken over welke data je verzamelt, waarvoor je het gebruikt en hoe je het beschermt. Dat leidt tot betere AI-systemen, niet tot slechtere.
De sleutel is: begin met de compliance-vragen voordat je begint met bouwen, niet erna. Een AI-adviesgesprek kan je helpen bij het opstellen van een implementatieplan dat zowel technisch als juridisch solide is.
Begin klein, documenteer alles en bouw voort op een stevige basis. Dat is de snelste weg naar AI die werkt en die je mag gebruiken. Wil je weten wie aansprakelijk is als AI een fout maakt? Lees ons artikel over AI-risico's en aansprakelijkheid. Voor de technische kant van AI-agents en hoe je ze verantwoord inzet, kijk ook naar onze diensten.
Meer weten over AI advies?
Bekijk dienst