Beoordeel de privacyrisico's van je AI-toepassingen, bepaal de juiste rechtsgrondslag en voldoe aantoonbaar aan de AVG — inclusief art. 22 GDPR voor geautomatiseerde besluitvorming.
Een Data Protection Impact Assessment (DPIA) is niet optioneel wanneer je AI inzet die persoonsgegevens verwerkt. De AVG schrijft in artikel 35 expliciet voor dat organisaties een DPIA uitvoeren bij verwerkingen die een hoog risico opleveren voor de rechten en vrijheden van betrokkenen. AI-systemen die profielen opstellen, geautomatiseerde beslissingen nemen of grootschalig persoonsgegevens analyseren vallen vrijwel altijd onder deze verplichting.
Toch zien we dat veel MKB-bedrijven AI implementeren zonder deze stap te doorlopen. Soms uit onwetendheid, vaak omdat het als administratieve rompslomp wordt gezien. Dat is riskant. De Autoriteit Persoonsgegevens heeft in 2025 meerdere boetes opgelegd specifiek gerelateerd aan ontbrekende DPIA's bij geautomatiseerde verwerkingen. Boetes die oplopen tot 4% van de jaaromzet of 20 miljoen euro — whichever is higher.
Artikel 22 van de GDPR voegt daar een extra laag aan toe. Dit artikel geeft betrokkenen het recht om niet onderworpen te worden aan een uitsluitend geautomatiseerd besluit met rechtsgevolgen. Denk aan automatische kredietbeoordelingen, sollicitantenscreening door AI of geautomatiseerde verzekeringsbeslissingen. Wanneer je AI-systeem dit type beslissingen neemt, moet je expliciete toestemming hebben, een wettelijke grondslag aantonen of het besluit noodzakelijk maken voor de uitvoering van een overeenkomst.
De rechtsgrondslag bepalen is daarbij cruciaal. De zes grondslagen uit de AVG — toestemming, overeenkomst, wettelijke verplichting, vitaal belang, algemeen belang en gerechtvaardigd belang — hebben elk specifieke implicaties voor AI-verwerkingen. Gerechtvaardigd belang wordt vaak als makkelijkste optie gekozen, maar vereist een gedocumenteerde belangenafweging die bij AI-toepassingen complexer is dan bij traditionele verwerkingen.
Een goed uitgevoerde DPIA voor AI gaat verder dan een standaard privacy-assessment. Je brengt niet alleen in kaart welke data het model verwerkt, maar ook hoe trainingsdata is verzameld, of er bias in het model zit, welke beslissingen het systeem beïnvloedt en hoe betrokkenen hun rechten kunnen uitoefenen. Het resultaat is een levend document dat meegroeit met je AI-toepassing en dat je kunt tonen aan de toezichthouder, aan klanten en aan je eigen organisatie.
Bij CleverTech begeleiden we organisaties door het complete DPIA-traject voor AI-systemen. Van de initiële risicobeoordeling tot de technische en organisatorische maatregelen die je moet treffen. Praktisch, gedocumenteerd en afgestemd op de specifieke AI-toepassing die je inzet.
Concrete onderdelen en wat u kunt verwachten
De Autoriteit Persoonsgegevens hanteert een lijst van verwerkingstypen waarvoor een DPIA verplicht is. Voor AI-systemen zijn vooral deze criteria relevant: systematische en uitgebreide beoordeling van persoonlijke aspecten (profiling), geautomatiseerde besluitvorming met rechtsgevolgen, grootschalige verwerking van bijzondere persoonsgegevens, en innovatief gebruik van technologie. In de praktijk betekent dit dat bijna elke AI-toepassing die persoonsgegevens verwerkt een DPIA vereist. Een AI-chatbot die klantgesprekken analyseert, een HR-tool die cv's screent, een marketingsysteem dat klantgedrag voorspelt — ze vallen allemaal onder de DPIA-plicht. Zelfs wanneer je een third-party AI-dienst zoals ChatGPT of Azure OpenAI inzet met bedrijfsdata, ben je als verwerkingsverantwoordelijke verplicht een DPIA uit te voeren. Het niet uitvoeren van een verplichte DPIA is op zichzelf al een overtreding van de AVG, ongeacht of er daadwerkelijk een datalek of privacyschending plaatsvindt. Preventie en documentatie zijn de kern van de AVG-benadering.
Artikel 22 GDPR is specifiek geschreven voor situaties waarin AI of algoritmen beslissingen nemen zonder menselijke tussenkomst die aanzienlijke gevolgen hebben voor individuen. Dit gaat verder dan alleen financiele beslissingen — het omvat ook geautomatiseerde afwijzingen van sollicitaties, automatische risicoclassificaties en algoritmische content-moderatie die accounts blokkeert. De wet schrijft voor dat betrokkenen het recht hebben om menselijke tussenkomst te vragen, hun standpunt kenbaar te maken en het besluit aan te vechten. Als organisatie moet je deze rechten faciliteren. Dat betekent concreet: een escalatieprocedure inrichten, transparant communiceren dat er een geautomatiseerd besluit is genomen en een medewerker aanwijzen die het besluit handmatig kan herbeoordelen. Daarnaast eist artikel 22 dat je passende maatregelen treft om de rechten van betrokkenen te beschermen. Bij AI-systemen vertaalt zich dat naar explainability — het vermogen om uit te leggen waarom het systeem tot een bepaald besluit is gekomen. Black-box AI-modellen zijn hiermee lastig verenigbaar, wat de keuze voor interpreteerbare modellen of post-hoc uitlegbaarheid relevant maakt.
Bij AI-verwerkingen is de keuze van rechtsgrondslag complexer dan bij traditionele gegevensverwerking. Toestemming (art. 6 lid 1a) lijkt voor de hand te liggen, maar is voor AI-toepassingen vaak problematisch. Toestemming moet specifiek, geïnformeerd en vrij gegeven zijn. Bij complexe AI-modellen is het lastig om vooraf precies uit te leggen hoe persoonsgegevens worden verwerkt, waardoor de toestemming mogelijk niet voldoende geïnformeerd is. Gerechtvaardigd belang (art. 6 lid 1f) wordt veel gebruikt, maar vereist een drieledige toets: is het belang gerechtvaardigd, is de verwerking noodzakelijk voor dat belang, en wegen de belangen van de betrokkene niet zwaarder? Bij AI-toepassingen die profielen opstellen of voorspellingen doen over individuen, valt de belangenafweging vaak in het nadeel van de verwerkingsverantwoordelijke uit. Wij adviseren per AI-toepassing de rechtsgrondslag te bepalen en documenteren. Een klantservice-chatbot kan onder uitvoering van de overeenkomst vallen, terwijl een AI-systeem voor personeelsanalyse eerder een expliciete toestemming of wettelijke grondslag nodig heeft. Deze gedifferentieerde aanpak is precies wat de AP verwacht bij een toezichtcontrole.
Een DPIA is geen papieren exercitie die in een la verdwijnt. Het assessment resulteert in concrete technische en organisatorische maatregelen die je implementeert. Denk aan dataminimalisatie — verwerkt je AI-model niet meer persoonsgegevens dan strikt noodzakelijk? Pseudonimisering van trainingsdata, access controls op modeloutputs, logging van geautomatiseerde beslissingen en retentiebeleid voor verwerkingsresultaten. Op organisatorisch vlak leg je vast wie verantwoordelijk is voor het AI-systeem, hoe je omgaat met verzoeken van betrokkenen (inzage, correctie, verwijdering), welke escalatieprocedure geldt bij geautomatiseerde beslissingen en hoe je het model periodiek evalueert op bias en nauwkeurigheid. De DPIA wordt een levend document: bij elke significante wijziging aan het AI-systeem — nieuw trainingsdata, aangepast model, uitbreiding van use cases — herbeoordeel je de risico's en pas je de maatregelen aan. Bij CleverTech helpen we deze cyclus inrichten als onderdeel van je AI-governance framework.
Concrete voorbeelden van hoe bedrijven dpia voor ai-systemen: avg-assessment en compliance inzetten
Antwoorden op veelgestelde vragen over dpia voor ai-systemen: avg-assessment en compliance
Vraag niet beantwoord?
Neem contact met ons op - ga naar de contactpaginaGDPR-boetes kunnen oplopen tot 20 miljoen of 4% van je jaaromzet. Leer hoe je AI inzet zonder de Autoriteit Persoonsgegevens op je dak te krijgen.
De EU AI Act deadline nadert. Ontdek wat Nederlandse bedrijven nu moeten doen: risicoclassificatie, documentatie-eisen en een praktische compliance checklist.
Elk bedrijf dat AI gebruikt heeft een AI-beleid nodig. Deze praktische gids met template helpt je om in 5 stappen een compleet AI-beleid op te stellen.
Ontdek andere aspecten van onze ai beveiliging dienst
Van prompt injection tot model theft — een systematische audit van je AI-systemen op basis van het internationaal erkende OWASP LLM Top 10 framework.
Meer infoPrompt injection is de SQL injection van het AI-tijdperk. Test je chatbots, AI-assistenten en geautomatiseerde systemen voordat een aanvaller het doet.
Meer infoEen traditioneel incident response plan dekt AI-specifieke risico's niet. Stel een draaiboek op voor prompt injection, model manipulation, data poisoning en hallucination exploits.
Meer infoOntdek kwetsbaarheden in je AI-systemen door gecontroleerde adversarial testing — van prompt injection tot model-manipulatie en gevoelige data-extractie.
Meer infoVan logging en monitoring tot menselijk toezicht en cybersecurity — de concrete technische beveiligingsmaatregelen die de AI Act vereist voor hoog-risico AI-systemen.
Meer infoVan API-afhankelijkheden tot leveranciersbeoordeling — bescherm je organisatie tegen de beveiligingsrisico's van externe AI-diensten, modellen en data-pipelines.
Meer infoOntdek hoe dpia voor ai-systemen: avg-assessment en compliance uw bedrijf kan versterken. Geen verplichtingen.
