Wanneer heb je een DPIA nodig voor AI?

Een DPIA is verplicht voor AI die: (1) persoonsgegevens op grote schaal verwerkt, (2) geautomatiseerde beslissingen neemt met juridische impact, of (3) gevoelige data zoals gezondheids- of financiele gegevens gebruikt. Voor standaard chatbots zonder gevoelige data is een DPIA vaak niet nodig, maar wel aan te raden.

Als mijn AI-vendor GDPR-compliant is, ben ik dan ook compliant?

Nee. De compliance van je vendor ontslaat jou niet van je eigen verplichtingen. Je hebt nog steeds een DPA nodig, moet je eigen rechtsgrondslag documenteren, en bent verantwoordelijk voor hoe je de AI inzet. Vendor compliance is noodzakelijk maar niet voldoende.

Mag ik klantdata gebruiken om AI te trainen?

Dat hangt af van je rechtsgrondslag en het type data. Voor training op persoonsgegevens heb je meestal expliciete toestemming nodig. Beter alternatief: gebruik geanonimiseerde data of retrieval-based AI waar de data niet in het model wordt opgenomen.

Wat als een klant vraagt welke data AI over hen verwerkt?

Je moet dit kunnen beantwoorden. Daarom is logging en documentatie cruciaal. Houd bij welke data naar welke AI-systemen gaat, en zorg dat je dit kunt extraheren voor inzageverzoeken.

Hoe zit het met AI-tools die medewerkers zelf installeren (Shadow IT)?

Dit is een groot risico. Als medewerkers ChatGPT of andere AI-tools gebruiken met bedrijfsdata zonder goedkeuring, ben jij als werkgever verantwoordelijk voor eventuele GDPR-overtredingen. Stel een duidelijk AI-beleid op en bied goedgekeurde alternatieven.

GDPR en AI: Compliance Gids voor MKB

§01 Artikel

GDPR-boetes kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet (Art. 83 AVG), en de Autoriteit Persoonsgegevens (AP) richt haar pijlen steeds nadrukkelijker op AI-toepassingen. Voor MKB-bedrijven die AI inzetten is GDPR-compliance geen optie meer, maar een keiharde noodzaak. Hieronder bespreken we de zeven belangrijkste GDPR-vereisten specifiek voor AI-systemen, inclusief concrete stappen die je vandaag nog kunt nemen. Wil je eerst een breder overzicht van AI-risico`s? Lees dan onze handleiding veilig AI inzetten.

De combinatie van AI en persoonsgegevens stelt bedrijven voor unieke uitdagingen. AI-systemen verwerken vaak grote hoeveelheden data, nemen geautomatiseerde beslissingen en maken gebruik van externe cloudplatformen. Dat raakt direct aan de kern van de GDPR: bescherming van persoonsgegevens en de rechten van betrokkenen.

Drie ontwikkelingen maken dit urgenter dan ooit. Ten eerste is de AP sinds 2023 de coordinerend toezichthouder op algoritmes en AI in Nederland en investeert actief in technische expertise. Ten tweede zijn de eerste Europese AI-boetes een feit: de Italiaanse Garante legde OpenAI op 20 december 2024 een boete van 15 miljoen euro op voor ontbrekende rechtsgrondslag, transparantie-gebreken en het niet melden van een datalek. Ten derde voegt de EU AI Act via Artikel 99 extra verplichtingen toe bovenop de GDPR, met aanvullende sancties voor verboden AI-praktijken — waardoor bedrijven die nu hun basis niet op orde hebben straks met dubbele compliance-problemen kampen.

Voor het MKB is de business case helder. Het oplossen van GDPR-problemen na een boete of onderzoek kost gemiddeld tien keer meer dan vooraf compliant zijn. Juridische kosten, reputatieschade en operationele verstoringen zijn vermijdbaar als je nu investeert in de juiste maatregelen.

1. Rechtmatige grondslag (Lawful Basis)

Elke AI-verwerking van persoonsgegevens vereist een rechtsgrondslag conform Artikel 6 GDPR. Voor AI-toepassingen zijn drie grondslagen relevant: toestemming (consent), uitvoering van een overeenkomst, of gerechtvaardigd belang.

Praktische stappen:

Bepaal per AI-toepassing welke rechtsgrondslag van toepassing is
Bij gerechtvaardigd belang: voer een schriftelijke afwegingstoets uit (jouw belang versus de privacyrechten van de betrokkene)
Documenteer de gekozen grondslag in je verwerkingsregister
Gebruik nooit een generieke rechtsgrondslag voor alle AI-toepassingen tegelijk

2. DPIA (Data Protection Impact Assessment)

Een DPIA is verplicht op grond van Artikel 35 AVG wanneer AI-verwerking een hoog risico vormt voor de rechten van betrokkenen. Het artikel noemt expliciet drie scenario's: (a) systematische en uitgebreide geautomatiseerde evaluatie van persoonlijke aspecten inclusief profiling, (b) grootschalige verwerking van bijzondere categorieen data, en (c) systematische monitoring van publiek toegankelijke ruimtes op grote schaal.

Praktische stappen:

Classificeer elke AI-toepassing op risiconiveau (laag, medium, hoog)
Voer een DPIA uit voordat je hoog-risico AI in productie neemt, niet achteraf
Gebruik een gestructureerd template: beschrijf de verwerking, beoordeel noodzakelijkheid en proportionaliteit, identificeer risico`s, en documenteer mitigerende maatregelen
Herhaal de DPIA jaarlijks of bij significante wijzigingen in het AI-systeem

3. Data minimalisatie

Artikel 5 GDPR vereist dat je alleen de persoonsgegevens verwerkt die strikt noodzakelijk zijn voor het beoogde doel. Bij AI-systemen is de verleiding groot om zoveel mogelijk data te voeden voor betere resultaten, maar dat is een directe compliance-schending.

Praktische stappen:

Strip persoonsgegevens voordat data naar het AI-systeem gaat (pseudonimiseer of anonimiseer)
Voer niet je volledige klantendatabase aan de AI als je alleen specifieke velden nodig hebt
Stel bewaartermijnen in: verwijder verwerkte data zodra het doel is bereikt
Gebruik voor sentimentanalyse of tekstverwerking alleen de inhoud, niet namen of contactgegevens

4. Recht op uitleg bij geautomatiseerde beslissingen

Artikel 22 AVG geeft betrokkenen het recht om niet onderworpen te worden aan een besluit dat uitsluitend op geautomatiseerde verwerking is gebaseerd met juridisch of vergelijkbaar significant effect. De controller moet minimaal het recht op menselijke tussenkomst, het uiten van een standpunt en het aanvechten van het besluit garanderen. Wanneer AI-beslissingen invloed hebben op kredietverlening, sollicitaties of klantacceptatie, moet je uitleg kunnen geven over de gehanteerde logica.

Praktische stappen:

Implementeer human-in-the-loop voor beslissingen met significante impact
Documenteer de beslissingslogica van je AI-systemen in begrijpelijke taal
Gebruik explainable AI (XAI) technieken waar mogelijk in plaats van black box modellen
Richt een procedure in waarmee betrokkenen menselijke heroverweging kunnen aanvragen

Wanneer toestemming je rechtsgrondslag is, stelt de GDPR strenge eisen. Toestemming moet specifiek, geinformeerd en ondubbelzinnig zijn. Je kunt AI-verwerking niet verstoppen in algemene voorwaarden of een brede cookiemelding.

Praktische stappen:

Vraag expliciete toestemming voor specifieke AI-verwerkingen ("Mogen we AI gebruiken om je supporttickets te analyseren?")
Maak intrekken van toestemming net zo eenvoudig als het geven ervan
Bewaar aantoonbaar bewijs van gegeven toestemming (tijdstempel, versie van de tekst, methode)
Herzie je cookiebanners en privacyverklaringen op verwijzingen naar AI-verwerking

6. Verwerkersovereenkomsten met AI-vendors

Artikel 28 GDPR vereist een Data Processing Agreement (DPA) met elke partij die namens jou persoonsgegevens verwerkt. Dit geldt voor alle externe AI-tools en -platformen die je gebruikt, van OpenAI tot Microsoft Azure.

Praktische stappen:

Controleer of je een actieve DPA hebt met elke AI-vendor. Grote aanbieders als OpenAI, Microsoft en Google bieden standaard DPAs aan, maar je moet ze activeren
Laat de DPA specificeren: welke verwerking is toegestaan, bewaartermijnen, lijst van sub-verwerkers, beveiligingsmaatregelen, en data-teruggave bij beeindigen van het contract
Vermijd AI-tools die geen DPA willen tekenen, ongeacht hun eigen compliance-claims
Let op: 68% van MKB-bedrijven heeft geen DPAs met hun AI-tools. Dit is een directe GDPR-overtreding

7. Data portabiliteit

Artikel 20 GDPR geeft betrokkenen het recht om hun persoonsgegevens in een gestructureerd, gangbaar en machineleesbaar formaat te ontvangen en over te dragen aan een andere verwerkingsverantwoordelijke. Bij AI-systemen die klantprofielen, voorkeuren of interactiegeschiedenis opbouwen, moet je dit recht kunnen faciliteren.

Praktische stappen:

Zorg dat je AI-systemen data kunnen exporteren in standaardformaten (JSON, CSV)
Houd klantdata gescheiden van modelparameters zodat export technisch haalbaar is
Gebruik retrieval-based architecturen waar klantdata extern en overdraagbaar blijft, in plaats van data "in te bakken" in getrainde modellen
Richt een procedure in voor portabiliteitsverzoeken met een reactietermijn van maximaal 30 dagen

Concrete maatregelen voor het MKB

Naast de zeven vereisten hierboven zijn er organisatorische maatregelen die elk MKB-bedrijf moet treffen:

Technisch:

Encryptie van data in transit (HTTPS/TLS) en at rest
Role-based toegangscontrole: niet iedereen hoeft toegang te hebben tot AI-systemen
Audit logging: registreer wie welke data via AI heeft verwerkt en wanneer
Kies waar mogelijk voor EU-gehoste AI-oplossingen om datatransfer-problemen te voorkomen

Organisatorisch:

Stel een intern AI-gebruiksbeleid op en communiceer dit naar alle medewerkers
Train medewerkers jaarlijks in verantwoord AI-gebruik en privacy-awareness
Wijs een interne verantwoordelijke aan voor AI-compliance
Pak shadow IT aan: als medewerkers zonder toestemming AI-tools gebruiken met bedrijfsdata, ben jij als werkgever verantwoordelijk voor GDPR-overtredingen

AP-handhaving en boetes

De Autoriteit Persoonsgegevens heeft AI-toepassingen aangemerkt als speerpunt in haar handhavingsstrategie. De AP werkt actief samen met Europese toezichthouders en bouwt technische capaciteit op om AI-systemen te beoordelen.

Boetekader: De GDPR kent twee niveaus van boetes. Voor procedurele overtredingen (zoals het ontbreken van een verwerkingsregister) geldt een maximum van 10 miljoen euro of 2% van de wereldwijde jaaromzet. Voor materiële overtredingen (zoals verwerking zonder rechtsgrondslag of schending van betrokkenenrechten) geldt het dubbele: 20 miljoen euro of 4% van de jaaromzet.

Recente ontwikkelingen:

De Italiaanse toezichthouder beboette OpenAI voor 15 miljoen euro wegens GDPR-schendingen rond ChatGPT-training
De AP onderzoekt actief het gebruik van AI door Nederlandse organisaties
De EDPB nam op 17 december 2024 Opinion 28/2024 aan over de verwerking van persoonsgegevens in AI-modellen, met een drietrapstoets voor legitiem belang en criteria voor anonimiteit van getrainde modellen
De EU AI Act introduceert via Artikel 99 aanvullende boetes voor verboden AI-praktijken (Art. 5) en voor overige overtredingen

Het is niet de vraag of er handhaving komt, maar wanneer. Proactieve compliance is aanzienlijk goedkoper dan reactieve maatregelen na een onderzoek.

Gebruik deze checklist om je AI-gebruik GDPR-proof te maken:

Inventariseer alle AI-tools en -systemen die binnen je organisatie worden gebruikt, inclusief shadow IT
Documenteer per AI-toepassing welke persoonsgegevens worden verwerkt en met welk doel
Stel de rechtsgrondslag vast voor elke AI-verwerking en leg deze vast in je verwerkingsregister
Controleer verwerkersovereenkomsten met alle AI-vendors en activeer ontbrekende DPAs
Voer een DPIA uit voor elke AI-toepassing die als hoog risico is geclassificeerd
Implementeer data minimalisatie door persoonsgegevens te strippen of pseudonimiseren voordat ze naar AI gaan
Richt procedures in voor inzage-, verwijderings-, uitleg- en portabiliteitsverzoeken van betrokkenen
Update je privacybeleid zodat AI-verwerking expliciet wordt benoemd
Train medewerkers in het AI-gebruiksbeleid en bewaar trainingsregistraties als bewijs
Plan doorlopende reviews in: kwartaal compliance-checks, jaarlijkse DPIA-updates en halfjaarlijkse vendor-assessments

Volgende stappen

GDPR-compliance voor AI is geen eenmalig project maar een doorlopend proces. De basis leggen hoeft echter niet overweldigend te zijn. Begin met de inventarisatie, documenteer je rechtsgrondslag en zorg dat je verwerkersovereenkomsten op orde zijn. Van daaruit bouw je stap voor stap aan een robuust compliance-framework.

Hulp nodig? CleverTech biedt een gratis GDPR AI Compliance Scan aan. We inventariseren je huidige AI-gebruik, identificeren risico`s en geven concrete aanbevelingen.

Start je gratis compliance scan

Gerelateerde artikelen:

Opgesteld met AI-tools en gecontroleerd door het redactieteam van CleverTech — tech-leads met ervaring in AI, procesautomatisering en IT-consulting.

GDPR en AI: zo blijf je compliant

1. Rechtmatige grondslag (Lawful Basis)

2. DPIA (Data Protection Impact Assessment)

3. Data minimalisatie

4. Recht op uitleg bij geautomatiseerde beslissingen

6. Verwerkersovereenkomsten met AI-vendors

7. Data portabiliteit

Concrete maatregelen voor het MKB

AP-handhaving en boetes

Volgende stappen

Benieuwd hoe dit werkt bij jou?

GDPR en AI: zo blijf je compliant

1. Rechtmatige grondslag (Lawful Basis)

2. DPIA (Data Protection Impact Assessment)

3. Data minimalisatie

4. Recht op uitleg bij geautomatiseerde beslissingen

6. Verwerkersovereenkomsten met AI-vendors

7. Data portabiliteit

Concrete maatregelen voor het MKB

AP-handhaving en boetes

Volgende stappen

Benieuwd hoe dit werkt bij jou?