AI inzetten zonder je privacy-verplichtingen uit het oog te verliezen.
Zodra AI in beeld komt, stelt security of legal de eerste vraag: mag dit wel onder de AVG? Wij vertalen de privacywet naar concrete keuzes over grondslag, data en leveranciers, zodat je AI verantwoord en met vertrouwen gebruikt.
Mag je AI gebruiken met persoonsgegevens?
Ja, mits je voldoet aan de AVG. Je hebt een geldige grondslag nodig, gebruikt alleen de noodzakelijke gegevens, sluit een verwerkersovereenkomst met de leverancier en bent transparant naar betrokkenen. AI en privacy botsen niet per definitie; het gaat om de juiste inrichting.
- Elke AI-verwerking van persoonsgegevens heeft een AVG-grondslag nodig
- Verwerkersovereenkomst verplicht bij externe AI-leveranciers
- DPIA vaak nodig bij hoog-risico-verwerkingen
- Betrokkenen houden recht op inzage, correctie en verwijdering
Wat betekent de AVG voor jouw AI-gebruik?
De meeste AI-tools draaien op data, en zodra daar persoonsgegevens tussen zitten, is de AVG van toepassing. Denk aan e-mails samenvatten, klantvragen beantwoorden of documenten verwerken: allemaal situaties waarin persoonsgegevens ongemerkt in een AI-tool belanden.
De valkuil is niet dat de AVG AI verbiedt, want dat doet ze niet. De valkuil is dat organisaties niet weten welke tools welke gegevens verwerken, waar die data terechtkomt en of er afspraken met de leverancier zijn. Dat gebrek aan overzicht is het echte risico.
Gaide brengt eerst rust in het overzicht. We inventariseren de gegevensstromen, bepalen per verwerking de grondslag, minimaliseren het datagebruik en zorgen dat de contracten met leveranciers kloppen. Waar nodig voeren we een DPIA uit.
We zijn geen adviesbureau dat een privacyrapport aflevert en vertrekt. Als forward deployed engineers kennen we de tools van binnenuit en richten we de maatregelen in de praktijk in, tot het aantoonbaar op orde is.
De AVG-uitgangspunten voor AI
Grondslag
Waarom mag het?
Voor elke AI-verwerking van persoonsgegevens leggen we vast op welke grondslag uit de AVG die rust: toestemming, gerechtvaardigd belang of een andere basis.
Dataminimalisatie
Alleen wat nodig is
AI-tools verleiden tot het delen van te veel data. We richten in dat alleen de gegevens die echt nodig zijn de tool bereiken, en niet meer.
Verwerkersovereenkomst
Afspraken met leveranciers
Elke AI-leverancier die persoonsgegevens verwerkt heeft een verwerkersovereenkomst nodig. We toetsen de bestaande contracten en vullen de gaten.
Transparantie & rechten
Uitlegbaar naar betrokkenen
Mensen hebben recht om te weten dat AI wordt ingezet en om hun gegevens in te zien of te laten wissen. We zorgen dat je dat kunt waarmaken.
Wat je van ons krijgt
AVG-scan van je AI-gebruik
Een overzicht van alle AI-tools die persoonsgegevens verwerken, welke gegevens dat zijn en waar ze naartoe stromen, inclusief shadow AI.
Grondslagen & verwerkingsregister
Per AI-verwerking de vastgelegde grondslag en de bijbehorende afspraken, klaar om op te nemen in je verwerkingsregister.
DPIA-ondersteuning
Voor hoog-risico-verwerkingen voeren we samen met je een gegevensbeschermingseffectbeoordeling uit, met concrete maatregelen om risico's te verlagen.
Privacy-by-design inrichting
Veilige standaardinstellingen, retentietermijnen en toegangsrechten in de tools zelf, zodat privacy niet op papier blijft maar echt werkt.
Hoe pakken we het aan?
Van gegevensstromen in kaart tot privacy die aantoonbaar op orde is.
-
Inventarisatie AI & gegevensstromen
1 weekWe brengen in kaart welke AI-tools persoonsgegevens verwerken, welke gegevens dat zijn en waar ze naartoe stromen, inclusief tools die medewerkers zelf hebben aangezet.
-
Grondslag & dataminimalisatie
1-2 wekenPer verwerking bepalen we de AVG-grondslag en snijden we het datagebruik terug tot wat strikt nodig is. Zo verdwijnt onnodig risico direct.
-
Verwerkersovereenkomsten & DPIA
1-2 wekenWe toetsen de contracten met je AI-leveranciers en voeren waar nodig een DPIA uit (gegevensbeschermingseffectbeoordeling) voor de zwaardere verwerkingen.
-
Privacy-by-design inrichten
2-3 wekenWe vertalen de bevindingen naar concrete maatregelen in de tools en werkprocessen: retentietermijnen, toegangsrechten en veilige standaardinstellingen.
-
Borging & vervolg
doorlopendPrivacy is nooit af. We richten een licht proces in om nieuwe AI-toepassingen te toetsen voordat er persoonsgegevens in gaan.
Waar helpen we je concreet mee?
Voor de directie
Grip zonder rem op AI
Je wilt AI benutten zonder dat privacy een blinde vlek wordt. Wij geven het MT binnen enkele weken een helder beeld van de risico's en de concrete stappen om ze weg te nemen.
Voor legal & de FG
Dossier dat standhoudt
We leveren grondslagen, verwerkersovereenkomsten en DPIA's die aantoonbaar op orde zijn. Zo kun je richting de Autoriteit Persoonsgegevens en klanten laten zien dat je in control bent.
Voor IT & security
Veilige inrichting van tools
We vertalen privacy-eisen naar instellingen die kloppen: waar data staat, wie erbij kan en hoe lang ze bewaard blijft. Techniek en beleid die op elkaar aansluiten.
Privacy en de bredere AI-wetgeving pak je het beste samen aan. Lees hoe we je voorbereiden op de EU AI Act, of ontdek hoe een AI in je eigen omgeving het privacyrisico structureel verkleint doordat je data binnen je eigen grenzen blijft.
Eerst weten hoe AI-volwassen je organisatie is?
De AI Readiness Scan laat zien waar je staat, van datakwaliteit tot beleid en privacy. Een goed startpunt vóór je AI met persoonsgegevens inzet.
Doe de AI Readiness ScanVeelgestelde vragen over AI en de AVG
Mag ik AI gebruiken met persoonsgegevens?
Ja, mits je aan de AVG voldoet. Dat betekent: een geldige grondslag voor de verwerking, alleen de gegevens gebruiken die echt nodig zijn, een verwerkersovereenkomst met de leverancier en transparantie richting de betrokkenen. Het knelpunt zit meestal niet in de wet zelf, maar in het feit dat organisaties niet weten welke AI-tools welke persoonsgegevens verwerken. Dat brengen wij eerst in kaart.
Waar staat mijn data als ik AI gebruik?
Dat hangt af van de tool. Bij de standaard-consumentenversies van veel AI-diensten staan gegevens vaak buiten de EU en kunnen ze onder omstandigheden voor training worden gebruikt. Bij zakelijke of Europese varianten kun je vaak afdwingen dat data binnen de EU blijft en niet voor training wordt ingezet. We inventariseren per tool waar je data staat en adviseren over een omgeving die past bij je risicoprofiel.
Heb ik een DPIA nodig voor AI?
Vaak wel. Een gegevensbeschermingseffectbeoordeling (DPIA) is verplicht bij verwerkingen met een hoog risico voor betrokkenen, en AI valt daar geregeld onder, zeker bij grootschalige of gevoelige gegevens. We beoordelen per toepassing of een DPIA nodig is en voeren die waar dat zo is samen met je uit.
Wat is het verschil tussen de AVG en de AI Act?
De AVG gaat over de bescherming van persoonsgegevens en geldt al sinds 2018. De AI Act is nieuwer en stelt eisen aan AI-systemen zelf, ongeacht of er persoonsgegevens in het spel zijn. Ze overlappen op punten als transparantie en menselijk toezicht. In de praktijk pak je ze het beste in samenhang aan.
Kan Gaide ook de verwerkersovereenkomsten regelen?
We toetsen de bestaande verwerkersovereenkomsten met je AI-leveranciers, signaleren waar afspraken ontbreken of tekortschieten en helpen je die aan te vullen. Voor de juridische eindtoetsing werken we samen met je eigen jurist of privacy-jurist, zodat techniek en recht op elkaar aansluiten.
Wil je AI inzetten zonder privacyzorgen?
Plan een vrijblijvend gesprek. In 30 minuten vertellen we welke privacyverplichtingen op jouw AI-gebruik van toepassing zijn en wat een logische eerste stap is.


