AI & AVG

AI inzetten zonder je privacy-verplichtingen uit het oog te verliezen.

Zodra AI in beeld komt, stelt security of legal de eerste vraag: mag dit wel onder de AVG? Wij vertalen de privacywet naar concrete keuzes over grondslag, data en leveranciers, zodat je AI verantwoord en met vertrouwen gebruikt.

Mag je AI gebruiken met persoonsgegevens?

Ja, mits je voldoet aan de AVG. Je hebt een geldige grondslag nodig, gebruikt alleen de noodzakelijke gegevens, sluit een verwerkersovereenkomst met de leverancier en bent transparant naar betrokkenen. AI en privacy botsen niet per definitie; het gaat om de juiste inrichting.

  • Elke AI-verwerking van persoonsgegevens heeft een AVG-grondslag nodig
  • Verwerkersovereenkomst verplicht bij externe AI-leveranciers
  • DPIA vaak nodig bij hoog-risico-verwerkingen
  • Betrokkenen houden recht op inzage, correctie en verwijdering

Wat betekent de AVG voor jouw AI-gebruik?

De meeste AI-tools draaien op data, en zodra daar persoonsgegevens tussen zitten, is de AVG van toepassing. Denk aan e-mails samenvatten, klantvragen beantwoorden of documenten verwerken: allemaal situaties waarin persoonsgegevens ongemerkt in een AI-tool belanden.

De valkuil is niet dat de AVG AI verbiedt, want dat doet ze niet. De valkuil is dat organisaties niet weten welke tools welke gegevens verwerken, waar die data terechtkomt en of er afspraken met de leverancier zijn. Dat gebrek aan overzicht is het echte risico.

Gaide brengt eerst rust in het overzicht. We inventariseren de gegevensstromen, bepalen per verwerking de grondslag, minimaliseren het datagebruik en zorgen dat de contracten met leveranciers kloppen. Waar nodig voeren we een DPIA uit.

We zijn geen adviesbureau dat een privacyrapport aflevert en vertrekt. Als forward deployed engineers kennen we de tools van binnenuit en richten we de maatregelen in de praktijk in, tot het aantoonbaar op orde is.

De AVG-uitgangspunten voor AI

Grondslag

Waarom mag het?

Voor elke AI-verwerking van persoonsgegevens leggen we vast op welke grondslag uit de AVG die rust: toestemming, gerechtvaardigd belang of een andere basis.

Dataminimalisatie

Alleen wat nodig is

AI-tools verleiden tot het delen van te veel data. We richten in dat alleen de gegevens die echt nodig zijn de tool bereiken, en niet meer.

Verwerkersovereenkomst

Afspraken met leveranciers

Elke AI-leverancier die persoonsgegevens verwerkt heeft een verwerkersovereenkomst nodig. We toetsen de bestaande contracten en vullen de gaten.

Transparantie & rechten

Uitlegbaar naar betrokkenen

Mensen hebben recht om te weten dat AI wordt ingezet en om hun gegevens in te zien of te laten wissen. We zorgen dat je dat kunt waarmaken.

Wat je van ons krijgt

AVG-scan van je AI-gebruik

Een overzicht van alle AI-tools die persoonsgegevens verwerken, welke gegevens dat zijn en waar ze naartoe stromen, inclusief shadow AI.

Grondslagen & verwerkingsregister

Per AI-verwerking de vastgelegde grondslag en de bijbehorende afspraken, klaar om op te nemen in je verwerkingsregister.

DPIA-ondersteuning

Voor hoog-risico-verwerkingen voeren we samen met je een gegevensbeschermingseffectbeoordeling uit, met concrete maatregelen om risico's te verlagen.

Privacy-by-design inrichting

Veilige standaardinstellingen, retentietermijnen en toegangsrechten in de tools zelf, zodat privacy niet op papier blijft maar echt werkt.

Hoe pakken we het aan?

Van gegevensstromen in kaart tot privacy die aantoonbaar op orde is.

  1. Inventarisatie AI & gegevensstromen

    1 week

    We brengen in kaart welke AI-tools persoonsgegevens verwerken, welke gegevens dat zijn en waar ze naartoe stromen, inclusief tools die medewerkers zelf hebben aangezet.

  2. Grondslag & dataminimalisatie

    1-2 weken

    Per verwerking bepalen we de AVG-grondslag en snijden we het datagebruik terug tot wat strikt nodig is. Zo verdwijnt onnodig risico direct.

  3. Verwerkersovereenkomsten & DPIA

    1-2 weken

    We toetsen de contracten met je AI-leveranciers en voeren waar nodig een DPIA uit (gegevensbeschermingseffectbeoordeling) voor de zwaardere verwerkingen.

  4. Privacy-by-design inrichten

    2-3 weken

    We vertalen de bevindingen naar concrete maatregelen in de tools en werkprocessen: retentietermijnen, toegangsrechten en veilige standaardinstellingen.

  5. Borging & vervolg

    doorlopend

    Privacy is nooit af. We richten een licht proces in om nieuwe AI-toepassingen te toetsen voordat er persoonsgegevens in gaan.

Waar helpen we je concreet mee?

Voor de directie

Grip zonder rem op AI

Je wilt AI benutten zonder dat privacy een blinde vlek wordt. Wij geven het MT binnen enkele weken een helder beeld van de risico's en de concrete stappen om ze weg te nemen.

Voor legal & de FG

Dossier dat standhoudt

We leveren grondslagen, verwerkersovereenkomsten en DPIA's die aantoonbaar op orde zijn. Zo kun je richting de Autoriteit Persoonsgegevens en klanten laten zien dat je in control bent.

Voor IT & security

Veilige inrichting van tools

We vertalen privacy-eisen naar instellingen die kloppen: waar data staat, wie erbij kan en hoe lang ze bewaard blijft. Techniek en beleid die op elkaar aansluiten.

Privacy en de bredere AI-wetgeving pak je het beste samen aan. Lees hoe we je voorbereiden op de EU AI Act, of ontdek hoe een AI in je eigen omgeving het privacyrisico structureel verkleint doordat je data binnen je eigen grenzen blijft.

Eerst weten hoe AI-volwassen je organisatie is?

De AI Readiness Scan laat zien waar je staat, van datakwaliteit tot beleid en privacy. Een goed startpunt vóór je AI met persoonsgegevens inzet.

Doe de AI Readiness Scan

Veelgestelde vragen over AI en de AVG

Mag ik AI gebruiken met persoonsgegevens?

Ja, mits je aan de AVG voldoet. Dat betekent: een geldige grondslag voor de verwerking, alleen de gegevens gebruiken die echt nodig zijn, een verwerkersovereenkomst met de leverancier en transparantie richting de betrokkenen. Het knelpunt zit meestal niet in de wet zelf, maar in het feit dat organisaties niet weten welke AI-tools welke persoonsgegevens verwerken. Dat brengen wij eerst in kaart.

Waar staat mijn data als ik AI gebruik?

Dat hangt af van de tool. Bij de standaard-consumentenversies van veel AI-diensten staan gegevens vaak buiten de EU en kunnen ze onder omstandigheden voor training worden gebruikt. Bij zakelijke of Europese varianten kun je vaak afdwingen dat data binnen de EU blijft en niet voor training wordt ingezet. We inventariseren per tool waar je data staat en adviseren over een omgeving die past bij je risicoprofiel.

Heb ik een DPIA nodig voor AI?

Vaak wel. Een gegevensbeschermingseffectbeoordeling (DPIA) is verplicht bij verwerkingen met een hoog risico voor betrokkenen, en AI valt daar geregeld onder, zeker bij grootschalige of gevoelige gegevens. We beoordelen per toepassing of een DPIA nodig is en voeren die waar dat zo is samen met je uit.

Wat is het verschil tussen de AVG en de AI Act?

De AVG gaat over de bescherming van persoonsgegevens en geldt al sinds 2018. De AI Act is nieuwer en stelt eisen aan AI-systemen zelf, ongeacht of er persoonsgegevens in het spel zijn. Ze overlappen op punten als transparantie en menselijk toezicht. In de praktijk pak je ze het beste in samenhang aan.

Kan Gaide ook de verwerkersovereenkomsten regelen?

We toetsen de bestaande verwerkersovereenkomsten met je AI-leveranciers, signaleren waar afspraken ontbreken of tekortschieten en helpen je die aan te vullen. Voor de juridische eindtoetsing werken we samen met je eigen jurist of privacy-jurist, zodat techniek en recht op elkaar aansluiten.

Wil je AI inzetten zonder privacyzorgen?

Plan een vrijblijvend gesprek. In 30 minuten vertellen we welke privacyverplichtingen op jouw AI-gebruik van toepassing zijn en wat een logische eerste stap is.