Waarom AVG-compliance niet optioneel is
De Algemene Verordening Gegevensbescherming (AVG, internationaal GDPR) is geen suggestie. Het is een wet met boetes tot 20 miljoen euro of 4% van je wereldwijde jaaromzet. En de handhaving wordt strenger, niet milder.
Als je een AI agent inzet die klantdata verwerkt - namen, e-mailadressen, gesprekken, IP-adressen - val je onder de AVG. Geen uitzondering.
Dit artikel geeft je een concrete handleiding om je AI agent AVG-proof in te richten. Geen juridisch jargon, maar praktische stappen.
De AVG-eisen voor AI agents
De AVG stelt zes eisen aan de verwerking van persoonsgegevens. Hier is wat ze betekenen voor je AI agent:
1. Rechtmatigheid en doelbinding
Je mag alleen persoonsgegevens verwerken als je daar een wettelijke grondslag voor hebt. Voor de meeste AI agents is dat "gerechtvaardigd belang" (klantenservice verbeteren) of "toestemming" (klant gaat akkoord via chatwidget).
Wat je moet doen: - Bepaal je grondslag voordat je de agent lanceert - Vermeld in je privacyverklaring dat je een AI agent inzet - Verwerk alleen data die noodzakelijk is voor het doel
2. Dataminimalisatie
Verwerk niet meer gegevens dan strikt nodig. Als je agent klantenservice biedt, hoeft hij geen geboortedatum of BSN te vragen.
Wat je moet doen: - Configureer de agent om geen onnodige persoonsgegevens op te vragen - Sla gesprekslogs alleen op als dat functioneel nodig is - Verwijder persoonsgegevens uit logs na een redelijke termijn (30 tot 90 dagen)
3. Transparantie
Klanten moeten weten dat ze met een AI agent praten en wat er met hun data gebeurt.
Wat je moet doen: - Vermeld duidelijk dat de chat wordt gevoerd door een AI agent - Link naar je privacyverklaring vanuit de chatwidget - Geef aan waar de data wordt opgeslagen en hoe lang
4. Beveiliging
Persoonsgegevens moeten beveiligd zijn tegen ongeautoriseerde toegang, verlies en misbruik.
Wat je moet doen: - Gebruik versleutelde verbindingen (HTTPS/TLS) - Sla data op met encryptie at rest - Beperk toegang tot de data tot geautoriseerde personen - Gebruik sterke authenticatie voor beheeraccounts
5. Bewaartermijn
Je mag persoonsgegevens niet langer bewaren dan nodig voor het doel.
Wat je moet doen: - Stel een bewaartermijn vast (bijvoorbeeld 90 dagen voor gesprekslogs) - Automatiseer het verwijderen van verouderde data - Documenteer je bewaartermijnen in je verwerkingsregister
6. Rechten van betrokkenen
Klanten hebben het recht om hun data in te zien, te corrigeren, te laten verwijderen en mee te nemen.
Wat je moet doen: - Zorg dat je data per klant kunt opvragen en exporteren - Richt een proces in voor verwijderverzoeken - Reageer binnen 30 dagen op verzoeken
De verwerkersovereenkomst: je belangrijkste document
Als je een externe partij (aanbieder) inschakelt om je AI agent te draaien, verwerkt die partij persoonsgegevens namens jou. De AVG vereist dan een verwerkersovereenkomst (DPA, Data Processing Agreement).
Wat er minimaal in moet staan: - Welke persoonsgegevens worden verwerkt - Het doel van de verwerking - De duur van de verwerking - De beveiligingsmaatregelen - Dat de verwerker de data niet voor eigen doeleinden mag gebruiken - Dat de verwerker subverwerkers meldt - Dat de verwerker meewerkt aan verzoeken van betrokkenen
Check bij je aanbieder: - Bieden ze standaard een verwerkersovereenkomst aan? - Is die overeenkomst specifiek voor hun dienst of een generiek template? - Staan de subverwerkers (hostingpartij, modelaanbieder) erin vermeld?
Geen verwerkersovereenkomst = geen AVG-compliance. Zo simpel is het.
EU-hosting: waarom het ertoe doet
De AVG staat doorgifte van persoonsgegevens naar landen buiten de EU alleen toe onder strikte voorwaarden. De VS heeft sinds juli 2023 het EU-US Data Privacy Framework, maar de juridische zekerheid hiervan is omstreden.
De veiligste keuze: hosting binnen de EU, bij een EU-bedrijf.
| Hosting optie | AVG-risico | Aanbeveling |
|---|---|---|
| EU-server, EU-bedrijf | Laag | Aanbevolen |
| EU-server, VS-bedrijf | Middel | Acceptabel met DPA en Standard Contractual Clauses |
| VS-server, VS-bedrijf | Hoog | Vermijden voor persoonsgegevens |
| VS-server, EU-bedrijf | Middel-hoog | Niet ideaal, SCC nodig |
Waar je op moet letten: - Waar staat de fysieke server? (niet het hoofdkantoor, maar de server) - Heeft de aanbieder een EU-entiteit? - Is er een Data Processing Addendum beschikbaar? - Worden gespreksdata naar een niet-EU locatie verstuurd voor modeltraining?
Dat laatste punt is kritiek. Veel AI-modellen worden getraind op gebruikersdata. Als klantgesprekken worden meegestuurd naar een VS-server voor modelverbetering, is dat een AVG-overtreding.
De modelaanbieder: een vergeten risico
Je AI agent draait op een taalmodel. Dat model wordt gehost door een aanbieder (Anthropic, OpenAI, Mistral, Google). Elke aanroep stuurt data naar die aanbieder.
Vragen die je moet stellen:
- Wordt de input gebruikt voor modeltraining? (Als ja: AVG-risico)
- Is Zero Data Retention (ZDR) beschikbaar? (Input wordt niet opgeslagen)
- Waar draaien de servers van de modelaanbieder?
- Is er een verwerkersovereenkomst beschikbaar?
| Modelaanbieder | ZDR beschikbaar | EU-servers | DPA beschikbaar |
|---|---|---|---|
| Anthropic (Claude) | Ja (API) | Via AWS EU | Ja |
| Mistral | Ja | Ja (Parijs) | Ja |
| OpenAI | Ja (API, enterprise) | Via Azure EU | Ja |
| Google (Gemini) | Ja (enterprise) | Via GCP EU | Ja |
Mistral is als Frans bedrijf met EU-servers de meest straightforward keuze voor AVG-gevoelige toepassingen. Maar alle grote aanbieders bieden inmiddels EU-opties.
Concrete AVG-checklist voor je AI agent
Gebruik deze checklist voordat je live gaat:
Juridisch: - [ ] Verwerkersovereenkomst getekend met platformaanbieder - [ ] Verwerkersovereenkomst getekend met modelaanbieder (of via platform) - [ ] Privacyverklaring bijgewerkt met vermelding van AI agent - [ ] Grondslag voor verwerking bepaald en gedocumenteerd - [ ] Verwerkingsregister bijgewerkt
Technisch: - [ ] Hosting op EU-servers - [ ] HTTPS/TLS voor alle verbindingen - [ ] Data-encryptie at rest - [ ] Zero Data Retention ingeschakeld bij modelaanbieder - [ ] Bewaartermijn ingesteld voor gesprekslogs - [ ] Automatische verwijdering van verouderde data
Organisatorisch: - [ ] Medewerkers geinformeerd over de AI agent en privacyregels - [ ] Proces ingericht voor inzage- en verwijderverzoeken - [ ] Duidelijke melding in chatwidget dat klant met AI praat - [ ] Link naar privacyverklaring in chatinterface - [ ] Contactgegevens functionaris gegevensbescherming beschikbaar
Veelgemaakte fouten
Geen verwerkersovereenkomst - De meest voorkomende overtreding. Veel bedrijven tekenen een abonnement en vergeten de DPA. Vraag er actief om.
Modeltraining niet uitgeschakeld - Als je ChatGPT Team of een vergelijkbare dienst gebruikt zonder enterprise-licentie, kunnen gesprekken gebruikt worden voor modeltraining. Check de instellingen.
Onduidelijk over AI-gebruik - Klanten niet vertellen dat ze met een AI praten is een schending van het transparantiebeginsel. Een simpele regel bovenaan de chat is voldoende: "Je praat met onze digitale medewerker."
Geen bewaartermijn - Gesprekslogs die voor altijd bewaard worden, zijn een AVG-overtreding. Stel een termijn in en automatiseer de verwijdering.
VS-hosting zonder SCC - Data naar een VS-server sturen zonder Standard Contractual Clauses of adequaatheidsbesluit is niet toegestaan.
Wat te doen bij een datalek
Als er toch iets misgaat (en de kans is nooit nul), moet je snel handelen:
1. Binnen 72 uur melden bij de Autoriteit Persoonsgegevens als er risico is voor betrokkenen 2. Direct de oorzaak identificeren en dichten 3. Betrokkenen informeren als het risico hoog is 4. Documenteren wat er is gebeurd en welke maatregelen je hebt genomen
Je aanbieder moet je hierbij ondersteunen. Dat staat in de verwerkersovereenkomst. Staat het er niet in? Dan heb je de verkeerde aanbieder.
De kosten van compliance
AVG-compliance kost geen fortuin: - Verwerkersovereenkomst: gratis (de aanbieder levert die) - Privacyverklaring bijwerken: 1 tot 2 uur of 200 tot 500 euro via een jurist - EU-hosting kiezen: geen meerkosten in de meeste gevallen - Bewaartermijnen instellen: 30 minuten configuratie
De kosten van niet-compliance zijn vele malen hoger. Niet alleen de boetes, maar ook reputatieschade en verlies van klantvertrouwen.
Samenvatting
AVG-proof AI inzetten is geen raketwetenschap. Het vereist bewuste keuzes: EU-hosting, een verwerkersovereenkomst, transparantie naar klanten en een model dat geen data opslaat voor training.
Kies een aanbieder die dit standaard regelt, niet als optie achteraf. En als je twijfelt: vraag een jurist of functionaris gegevensbescherming om je setup te reviewen. Die investering verdient zichzelf terug bij de eerste AVG-controle.
