AI en de AVG: wat mag wel en niet met bedrijfsdata?
Zodra je AI inzet met gegevens van klanten, medewerkers of andere personen, kom je in aanraking met de privacywetgeving, de AVG. Veel ondernemers weten dit wel ergens, maar onderschatten hoe snel je in de praktijk persoonsgegevens in een AI-tool stopt: een klantmail laten samenvatten, een lijst met namen laten ordenen, een gespreksverslag laten maken. Stuk voor stuk handig, en stuk voor stuk een moment waarop de AVG meekijkt.
In dit artikel lees je in begrijpelijke taal hoe AI en de AVG zich tot elkaar verhouden: wat in grote lijnen wel en niet mag, waar de risico's zitten, en hoe je AI privacyvriendelijk inzet. Belangrijk vooraf: dit artikel geeft algemene uitleg om je bewust te maken van de aandachtspunten, geen juridisch advies. Voor je specifieke situatie raadpleeg je een privacydeskundige of de officiële bronnen, want de details en de uitleg van de regels kunnen veranderen.
Waarom AI en de AVG elkaar raken
De AVG gaat over de bescherming van persoonsgegevens: alle informatie die te herleiden is tot een persoon, zoals namen, e-mailadressen, klantgegevens en personeelsdossiers. De wet stelt eisen aan hoe je met die gegevens omgaat: je moet er een goede reden voor hebben, zorgvuldig zijn, en niet meer doen dan nodig.
AI raakt hieraan op het moment dat je persoonsgegevens in een AI-tool invoert of door AI laat verwerken. Op dat moment verwerk je persoonsgegevens met een nieuw middel, en gelden de gewone AVG-regels onverkort. De AVG is niet "uitgezet" omdat het om AI gaat; integendeel, AI brengt juist extra aandachtspunten met zich mee.
Het kernrisico: waar gaan je gegevens heen?
Het belangrijkste AVG-risico bij AI draait om wat er met de ingevoerde gegevens gebeurt. Twee vragen zijn cruciaal.
Worden de gegevens gebruikt om de AI te trainen? Bij sommige AI-diensten kunnen ingevoerde gegevens worden gebruikt om het model te verbeteren. Als je daar persoonsgegevens in stopt, raken die mogelijk buiten je controle, wat op gespannen voet staat met de AVG. Dit is precies waarom je voorzichtig moet zijn met welke tool je gebruikt (zie ChatGPT zakelijk gebruiken).
Waar staan de gegevens en wie heeft er toegang? De AVG stelt eisen aan waar gegevens worden verwerkt en bewaard, zeker als dat buiten de Europese Unie gebeurt. Bij AI-diensten van buitenlandse aanbieders is dit een reëel aandachtspunt.
De praktische gouden regel die hieruit volgt: wees uiterst terughoudend met het invoeren van persoonsgegevens in AI-tools, zeker bij consumentenversies waarvan je niet zeker weet wat er met de gegevens gebeurt.
Wat in grote lijnen wel kan
De AVG betekent niet dat je geen AI mag gebruiken. Het betekent dat je het zorgvuldig moet doen. In grote lijnen is er veel mogelijk, mits je verstandig omgaat met persoonsgegevens.
AI gebruiken zonder persoonsgegevens. Veel nuttige AI-toepassingen vragen helemaal geen persoonsgegevens: een algemene tekst opstellen, iets uitleggen, een idee uitwerken. Hier speelt de AVG nauwelijks, omdat er geen persoonsgegevens in het spel zijn.
AI gebruiken met geanonimiseerde gegevens. Als je gegevens zo bewerkt dat ze niet meer tot een persoon te herleiden zijn voordat je ze in AI stopt, verklein je het AVG-risico aanzienlijk.
AI gebruiken via een zakelijke variant met goede waarborgen. Sommige zakelijke AI-diensten bieden duidelijke afspraken: gegevens worden niet voor training gebruikt, er gelden verwerkersafspraken, en de verwerking is beter geregeld. Dat maakt verantwoord gebruik met gegevens beter mogelijk. AI binnen je eigen beveiligde omgeving, zoals Microsoft Copilot, valt vaak in deze categorie, mits goed ingericht.
Wat je verstandig regelt
Om AI en de AVG goed samen te laten gaan, zijn een paar maatregelen verstandig.
Maak afspraken over persoonsgegevens. Leg vast dat persoonsgegevens niet zomaar in AI-tools mogen, en onder welke voorwaarden het wel mag. Dit hoort in je AI-beleid.
Kies de juiste tools. Gebruik voor werk met gegevens een zakelijke variant met goede waarborgen, niet een gratis consumentenversie waarvan je de verwerking niet kent.
Wees transparant. De AVG vraagt dat je open bent over hoe je met persoonsgegevens omgaat. Als AI daar een rol in speelt, hoort dat in je informatie naar betrokkenen thuis.
Raadpleeg een deskundige bij twijfel. Bij gevoelige verwerkingen of als je het niet zeker weet, is advies van een privacydeskundige verstandig. De boetes en reputatieschade van een AVG-overtreding zijn aanzienlijk, dus voorzichtigheid loont.
Veelgestelde vragen
Mag ik AI gebruiken met persoonsgegevens?
Het mag, maar onder voorwaarden, want de AVG geldt onverkort zodra je persoonsgegevens met AI verwerkt. Het belangrijkste is dat je weet wat er met de ingevoerde gegevens gebeurt en dat je een tool gebruikt met goede waarborgen, niet een gratis versie die gegevens mogelijk voor training gebruikt. Bij gevoelige gegevens en twijfel is terughoudendheid en advies van een deskundige verstandig.
Wat is het grootste AVG-risico bij AI?
Dat ingevoerde persoonsgegevens buiten je controle raken, bijvoorbeeld doordat ze gebruikt worden om de AI te trainen of doordat ze buiten de EU worden verwerkt zonder de juiste waarborgen. Daarom is de gouden regel om uiterst terughoudend te zijn met persoonsgegevens in AI-tools, zeker bij consumentenversies waarvan je niet zeker weet wat er met de gegevens gebeurt.
Kan ik AI gebruiken zonder met de AVG in aanraking te komen?
Ja, voor veel toepassingen wel. Als je AI gebruikt zonder persoonsgegevens, bijvoorbeeld om een algemene tekst op te stellen, iets uit te leggen of een idee uit te werken, speelt de AVG nauwelijks. De wet komt pas in beeld zodra er persoonsgegevens in het spel zijn. Veel waarde uit AI is te halen zonder ooit persoonsgegevens in te voeren.
Is AI binnen Microsoft 365 veiliger voor de AVG?
Vaak wel, omdat AI binnen je eigen beveiligde Microsoft-omgeving werkt onder de afspraken die daar gelden, in plaats van dat je gegevens in een losse externe tool plakt. Dat biedt doorgaans betere waarborgen. Het ontslaat je niet van je AVG-verplichtingen, maar het maakt verantwoord gebruik met gegevens beter mogelijk. Controleer altijd de actuele voorwaarden en richt het goed in.
Is dit artikel juridisch advies?
Nee. Dit artikel geeft algemene uitleg om je bewust te maken van de aandachtspunten rond AI en de AVG, geen juridisch advies dat is toegesneden op jouw situatie. Voor concrete vragen, gevoelige verwerkingen of zekerheid over wat in jouw geval mag, raadpleeg je een privacydeskundige of de officiële bronnen. Regels en hun uitleg kunnen veranderen, dus baseer beslissingen op actuele, deskundige informatie.
---