De AVG / GDPR
AI werkt met data. Veel van die data gaan over mensen. Dan geldt de AVG (ook als je gewoon ChatGPT gebruikt op het werk). Hier lees je wat je moet weten.
Wat is de AVG?
De AVG staat voor Algemene Verordening Gegevensbescherming, de Engelse naam is GDPR. Het is een Europese wet die regelt wat organisaties mogen doen met informatie over mensen. Van kracht sinds 25 mei 2018.
Eenvoudig gezegd: als je iets weet over een persoon en je legt dat vast of doet er iets mee, dan gelden er regels. De AVG beschermt mensen tegen willekeurig gebruik van hun gegevens.
Voor wie geldt de AVG?
De AVG geldt voor elke organisatie die persoonsgegevens verwerkt van mensen die in de EU wonen, ongeacht waar de organisatie zelf gevestigd is.
"Verwerken" is een breed begrip: opslaan, verzamelen, bekijken, doorsturen, analyseren, verwijderen. Allemaal valt het eronder.
Wat zijn persoonsgegevens?
Alle gegevens die herleidbaar zijn tot een specifiek persoon (direct of indirect).
Naam, e-mail, telefoonnummer, IP-adres, foto's, geboortedatum, functietitel, gedragsdata, aankoophistorie
Gezondheidsgegevens, biometrie, ras, religie, politieke opvattingen, seksuele geaardheid, vakbondslidmaatschap. Verwerking is in beginsel verboden, tenzij een wettelijke uitzondering geldt.
Gegevens over strafbare feiten of veroordelingen. Hiervoor gelden aparte, strenge regels. Verwerking mag alleen als daarvoor een specifieke wettelijke uitzondering bestaat.
Zeven basisbeginselen
Rechtmatigheid, behoorlijkheid en transparantie
Persoonsgegevens mogen alleen worden verwerkt op een eerlijke, uitlegbare en rechtmatige manier. Vertel mensen wat je met hun data doet (vastgelegd in een privacyverklaring).
Doelbinding
Gebruik data alleen voor het doel waarvoor je ze hebt verzameld. Niet voor iets anders gebruiken zonder nieuwe grondslag.
Dataminimalisatie
Verzamel alleen wat je echt nodig hebt voor het doel. Niet alvast maar alles opslaan voor later.
Juistheid
Zorg dat persoonsgegevens correct en actueel zijn. Onjuiste gegevens moeten worden gecorrigeerd of verwijderd.
Opslagbeperking
Bewaar data niet langer dan nodig. Stel een bewaartermijn in en verwijder daarna.
Integriteit en vertrouwelijkheid
Bescherm persoonsgegevens technisch en organisatorisch tegen onbevoegde toegang, verlies of vernietiging.
Verantwoordingsplicht
Je moet niet alleen aan de AVG voldoen, maar ook kunnen aantonen dat je dat doet. Documenteer je verwerkingen en beleidskeuzes.
Wanneer heb je een verwerkersovereenkomst nodig?
Als een externe partij persoonsgegevens verwerkt namens jouw organisatie, is in de meeste gevallen een verwerkersovereenkomst verplicht. Dit is geen basisbeginsel, maar een aparte juridische verplichting uit de AVG.
Wanneer is het relevant?
- Softwareleveranciers die toegang hebben tot klantdata
- Cloudtools waarbij persoonsgegevens worden opgeslagen (bv. CRM, HR-systemen)
- AI-diensten waarbij medewerkers persoonsgegevens invoeren of verwerken
- Marketingplatforms met e-mailadressen of gedragsdata
Let op: de kwalificatie van een aanbieder als verwerker en de exacte inrichting van de verwerking vragen soms nadere beoordeling.
Zes grondslagen voor verwerking
Je mag persoonsgegevens alleen verwerken als je kunt bouwen op een van deze zes grondslagen. Toestemming is er maar één van.
Wat kan iemand van jou vragen?
Iedereen van wie je gegevens hebt, heeft wettelijke rechten. Jouw organisatie moet binnen één maand reageren op een verzoek.
Inzagerecht
Opvragen welke gegevens je over hem of haar hebt en waarom je die verwerkt.
Rectificatie
Foute of onvolledige gegevens laten corrigeren of aanvullen.
Vergeetrecht
Gegevens laten verwijderen (het recht om "vergeten" te worden). Niet altijd mogelijk, maar vaak wel.
Dataportabiliteit
Gegevens ontvangen in een bruikbaar formaat, om mee te nemen naar een andere aanbieder.
Bezwaarrecht
Bezwaar maken tegen specifiek gebruik van gegevens, bv. voor direct marketing of profilering.
Geen geautomatiseerde beslissing
Recht op menselijke beoordeling bij uitsluitend geautomatiseerde besluiten met rechtsgevolgen of vergelijkbaar significante gevolgen voor de betrokkene (ook door AI).
Wanneer speelt de AVG bij AI-gebruik?
ChatGPT gebruiken met klantgegevens
Een medewerker plakt klantgegevens in ChatGPT voor een samenvatting. Dat zijn persoonsgegevens die naar een derde partij (OpenAI) gaan. De AVG vereist dat dit organisatorisch is afgedekt, via een verwerkersovereenkomst of door dit expliciet te verbieden.
AI-tool voor CV-screening
Je gebruikt een AI-tool om sollicitanten te beoordelen. Namen, foto's, werkervaring: allemaal persoonsgegevens. Je hebt een grondslag nodig, je moet betrokkenen informeren, én ze hebben recht op menselijke heroverweging van de beslissing.
Chatbot in klantenservice
Een chatbot registreert gesprekken. Als die gesprekken namen of andere herleidbare informatie bevatten, geldt de AVG. Je hebt een verwerkersovereenkomst nodig met de chatbot-aanbieder.
Ziekteverzuim analyseren met AI
HR gebruikt een AI-tool om ziekteverzuimpatronen te analyseren. Gezondheidsdata zijn bijzondere persoonsgegevens. Hier gelden extra strenge regels: een expliciete wettelijke uitzondering én grondslag zijn verplicht.
Wat moet jij weten?
- Deel nooit klant- of patiëntgegevens met externe AI-tools tenzij dit organisatorisch is goedgekeurd
- Naam + e-mail in een AI-tool plakken? Dat is al een verwerking van persoonsgegevens
- Bijzondere gegevens (gezondheid, religie, ras) zijn altijd extra gevoelig
- Ontvang je een verzoek van iemand over hun gegevens? Weet hoe je dat doorverwijst
AVG én AI Act, allebei tegelijk
De AVG gaat over persoonsgegevens. De EU AI Act gaat over AI-systemen als technologie. Zodra een AI-systeem persoonsgegevens verwerkt, gelden beide wetten naast elkaar.
De AVG beschermt de privacy van mensen. De AI Act zorgt dat het AI-systeem veilig en eerlijk is. Twee aparte compliance-trajecten; ze raken elkaar voortdurend.
Lees ook over de AI Act →