AVG en AI: wat moet vooraf geregeld zijn?

AVG en AI vechten op drie fronten: grondslag, doelbinding en doorgifte. Wij adresseren dit in de scope-fase, niet aan het einde van een traject.

Grondslag

Voor elke verwerking van persoonsgegevens heb je een AVG-grondslag nodig. Bij AI is dat zelden uitvoering-van-overeenkomst en bijna altijd gerechtvaardigd-belang of toestemming. Allebei vraagt om een onderbouwde afweging die schriftelijk vastligt. "Het zit erin" is geen grondslag.

Doelbinding

Data verzameld voor doel A mag niet zomaar voor doel B gebruikt worden. Een AI-functie die "alle klantgegevens als context gebruikt" stuit hier vaak op. Wat wij doen: doel per use-case scherp definieren, en de context-set per functie beperken.

Doorgifte

Data die naar OpenAI, Anthropic of Microsoft Azure gaat, gaat soms ook fysiek buiten de EU. Dat raakt aan de doorgifte-regels. Per provider verschilt dit (Microsoft Azure heeft EU-residency-opties, Anthropic in EU sinds 2025). De keuze voor een provider en regio is dus geen tooling-keuze maar een compliance-keuze.

Wat wij regelen in de scope-fase

- Vastleggen van grondslag per use-case - Beperken van context-set tot wat nodig is voor het doel - Provider-keuze met EU-residency waar mogelijk - Verwerkersovereenkomst aanpassen of nieuw afsluiten als de bestaande het niet dekt - Logging en auditeerbaarheid van prompt en response

Niet aan het eind, want dan is het duurder. Niet vergeten, want anders is het project niet auditeerbaar.

Voor de NIS2-raakvlakken, zie de [NIS2-scan](/scan/nis2). Voor de bredere AI-aanpak: [AI-hub](/ai). Voor specifiek over AI-automatisering: [/services/ai-automation](/services/ai-automation).