GDPR en AI-tools komen samen op een cruciaal punt voor elke organisatie die persoonsgegevens van Europese inwoners verwerkt met behulp van systemen voor kunstmatige intelligentie. De verordening is volledig van toepassing op AI-implementaties. Dit betekent dat elke tool die persoonsgegevens verzamelt, verwerkt of daarop handelt, moet voldoen aan de eisen van de GDPR met betrekking tot rechtsgrondslag, transparantie en gegevensminimalisatie, of het risico loopt op ingrijpende handhavingsmaatregelen.
Veel organisaties hebben snel AI ingevoerd, zonder zich af te vragen of hun nieuwe tools onder het Europese gegevensbeschermingsrecht eigenlijk wel rechtmatig zijn. Het antwoord is niet altijd geruststellend. AI introduceert gegevensverwerkingsactiviteiten die de GDPR oorspronkelijk niet beoogde te regelen, maar die volledig binnen het bestaande kader vallen. Geautomatiseerde profilering, grootschalige verwerking van persoonsgegevens, grensoverschrijdende doorgiften die door cloud-AI-infrastructuur worden veroorzaakt, en ondoorzichtige besluitvormingssystemen vallen alle onmiskenbaar binnen het toepassingsgebied van de GDPR. Precies begrijpen waar de verplichtingen liggen en hoe AI-implementaties op te zetten die hieraan voldoen, is voor bedrijven die in Europese markten actief zijn of daarheen verkopen niet langer optioneel. Deze gids beschrijft wat compliance daadwerkelijk vereist en waar de meeste teams meestal de mist in gaan.
Waarom de GDPR breder van toepassing is op AI-tools dan de meeste teams beseffen
Elke AI-interactie met persoonsgegevens is een verwerkingsgebeurtenis
De GDPR definieert gegevensverwerking ruim. Elke bewerking die op persoonsgegevens wordt uitgevoerd, waaronder verzameling, opslag, opvraging, gebruik, openbaarmaking en wissing, valt binnen het toepassingsgebied van de verordening. Wanneer een AI-tool een naam, een e-mailadres, een gedragspatroon, een spraakopname of andere informatie ontvangt die betrekking heeft op een identificeerbare persoon, verwerkt deze tool vanaf het moment dat de gegevens het systeem binnenkomen persoonsgegevens in de zin van de GDPR.
Dit overvalt veel organisaties, omdat het intuïtieve mentale model van GDPR-compliance is gericht op databases en opslag. U slaat klantgegevens op, u houdt zich aan de opslagregels. Maar AI-verwerking is verwerking, ongeacht of er iets blijvend wordt opgeslagen. Een AI-tool die een transcript van klantenservice analyseert om de sentimentwaarde te classificeren en het transcript daarna onmiddellijk verwijdert, heeft toch persoonsgegevens verwerkt. De rechtsgrondslag daarvoor en de daarmee samenhangende transparantieverplichtingen zijn van toepassing op die interactie.
De praktische consequentie is dat uw GDPR-compliance-beoordeling niet mag stoppen bij uw databases en CRM-systemen. Voor elke AI-tool die uw organisatie gebruikt, moet worden beoordeeld welke persoonsgegevens deze raakt, op welke rechtsgrondslag en onder welke voorwaarden.
Het probleem van de rechtsgrondslag bij AI-tools
De GDPR vereist dat elke verwerkingsactiviteit waarbij persoonsgegevens betrokken zijn, een geldige rechtsgrondslag heeft. De zes beschikbare grondslagen zijn toestemming, uitvoering van een overeenkomst, wettelijke verplichting, vitale belangen, taak van algemeen belang en gerechtvaardigd belang. Voor de meeste commerciële AI-implementaties zijn de relevante opties toestemming, uitvoering van een overeenkomst en gerechtvaardigd belang.
De moeilijkheid bij AI-tools is dat de verwerkingsactiviteiten die zij uitvoeren vaak lastig voldoende specifiek te beschrijven zijn om te voldoen aan de transparantievereisten van de GDPR voor toestemming of de belangenafweging bij gerechtvaardigd belang. Gebruikers vertellen dat hun gegevens door AI-systemen worden verwerkt ten behoeve van dienstverbetering, is niet specifiek genoeg. Wat de verordening daadwerkelijk vereist, is een precieze uitleg welke gegevens via welk AI-systeem stromen, voor welk doel, hoe lang ze worden bewaard, met welke verwerkers ze worden gedeeld en welke besluiten ze ondersteunen.
Organisaties die hun AI-gegevensstromen niet in detail in kaart hebben gebracht, kunnen deze eis niet vervullen omdat zij echt niet weten wat zij bekendmaken. Het werk voor compliance en het werk voor transparantie zijn hetzelfde werk.
| Rechtsgrondslag | Wanneer van toepassing op AI | Belangrijkste vereiste |
|---|---|---|
| Toestemming | AI-verwerking niet noodzakelijk voor de dienst, duidelijk optioneel | Vrijelijk gegeven, specifiek, geïnformeerd, ondubbelzinnig |
| Uitvoering van overeenkomst | AI direct noodzakelijk voor het leveren van een gecontracteerde dienst | Verwerking beperkt tot wat het contract vereist |
| Gerechtvaardigd belang | Bedrijfsbelang bestaat en weegt niet zwaarder dan individuele rechten | Beoordeling van gerechtvaardigd belang gedocumenteerd |
| Wettelijke verplichting | AI gebruikt om aan een wettelijke verplichting te voldoen | Specifieke wettelijke verplichting moet bestaan en gedocumenteerd zijn |
| Taak van algemeen belang | Overheidsinstanties en organisaties met publieke taken | Moet gegrond zijn in Unie- of lidstaatrecht |
Door AI security en de documentatie van de rechtsgrondslag al vroeg in een implementatie op elkaar af te stemmen, voorkomt u dat een technisch veilig AI-systeem op een juridisch ondeugdelijke basis draait.
Wat de GDPR-veranderingen specifiek voor AI betekenen
De evoluerende regelgevende interpretatie
De GDPR is in 2016 vastgesteld en in 2018 in werking getreden, jaren vóór de huidige generatie Large Language Models. De tekst van de verordening noemt Generative AI, Foundation Models of Inference-pipelines niet. Wat de tekst wel bevat, is een op beginselen gebaseerd kader dat ruim genoeg is om deze technologieën te omvatten. Toezichthouders voor gegevensbescherming in alle EU-lidstaten geven gestaag richtsnoeren uit die verduidelijken hoe deze beginselen van toepassing zijn.
Het handhavingsoptreden van de Italiaanse toezichthouder voor gegevensbescherming tegen ChatGPT in 2023 was het duidelijkste signaal dat regelgevers bereid waren om in te grijpen bij AI-specifieke GDPR-zorgen. Het optreden was gericht op het ontbreken van een duidelijke rechtsgrondslag bij OpenAI voor de verwerking van gegevens van Italiaanse gebruikers, het ontbreken van leeftijdsverificatiemechanismen en onvoldoende transparantie over de manier waarop persoonsgegevens in de modeltraining werden gebruikt. De tool werd in Italië tijdelijk geschorst en pas hersteld nadat OpenAI specifieke compliance-aanpassingen had doorgevoerd.
Andere nationale toezichthouders voor gegevensbescherming in de EU hebben sindsdien richtsnoeren uitgebracht over AI-trainingsdata, geautomatiseerde besluitvorming en de voorwaarden waaronder AI-gegenereerde output verwerking inhoudt van persoonsgegevens over de personen wier gegevens zijn gebruikt om het model te trainen.
De richting is duidelijk. GDPR-handhaving beweegt steeds dieper het AI-specifieke gebied in, en organisaties die AI-compliance als een toekomstprobleem hebben behandeld, merken dat het inmiddels een actueel probleem is geworden.
Hoe de EU AI Act zich op de GDPR stapelt
De EU AI Act, die in 2024 in werking is getreden, voegt een parallelle laag regelgeving toe die naast de GDPR functioneert en deze niet vervangt. Waar de GDPR regelt wat er met persoonsgegevens gebeurt, regelt de AI Act de kenmerken en het gedrag van AI-systemen zelf, met name die welke als hoog risico worden geclassificeerd.
Voor bedrijven die AI-tools inzetten die met persoonsgegevens omgaan, zijn beide kaders gelijktijdig van toepassing. Een AI-systeem dat wordt gebruikt voor het screenen van sollicitanten, kredietbeoordeling of medische triage valt onder de AI Act-eisen rondom transparantie, menselijk toezicht en nauwkeurigheid en tegelijkertijd onder de GDPR-eisen voor elk persoonsgegeven dat het verwerkt.
Inzicht in hoe keuzes op het gebied van AI architecture compliance onder beide kaders beïnvloeden, helpt organisaties systemen te ontwerpen die voldoen aan het volledige regelgevingsplaatje, in plaats van te optimaliseren voor de ene regeling ten koste van de andere.
Artikel 22 en geautomatiseerde besluitvorming
Wat artikel 22 daadwerkelijk verbiedt
Artikel 22 van de GDPR geeft personen het recht om niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit dat rechtsgevolgen heeft of hen op vergelijkbare wijze in aanmerkelijke mate treft. Dit is een van de bepalingen in de verordening die het meest direct relevant is voor AI en tegelijkertijd een van de meest verkeerd begrepen bepalingen.
Het verbod ziet niet op het gebruik van AI in besluitvormingsprocessen. Het ziet specifiek op besluiten die uitsluitend door geautomatiseerde systemen worden genomen zonder dat een mens de uitkomst betekenisvol beoordeelt voordat deze de persoon raakt. Een AI voor credit scoring die een aanbeveling genereert, die vervolgens door een menselijke kredietbehandelaar wordt beoordeeld en bevestigd of overruled, brengt artikel 22 niet in werking. Een systeem dat leningaanvragen op basis van algoritmische output automatisch goedkeurt of afwijst zonder mens in de besluitvormingslus wel.
Voor AI-tools die worden gebruikt in HR, klantsegmentatie, fraudedetectie en vergelijkbare contexten is de analyse op grond van artikel 22 essentieel. Als uw AI-tool besluiten neemt die de toegang van mensen tot diensten, werkkansen of financiële producten beïnvloeden, en geen mens beoordeelt die besluiten daadwerkelijk voordat ze effect krijgen, heeft u een compliance-probleem onder artikel 22.
De drie uitzonderingen op artikel 22 zijn contractuele noodzaak, uitdrukkelijke toestemming en wettelijke machtiging. Elk daarvan vereist specifieke aanvullende voorwaarden, waaronder het recht op menselijke beoordeling, het recht het besluit aan te vechten en het recht op uitleg over de gehanteerde logica.
| Type geautomatiseerd besluit | Artikel 22 van toepassing? | Compliance-pad |
|---|---|---|
| AI-aanbeveling beoordeeld door mens voorafgaand aan handeling | Nee | Standaard GDPR-verwerkingsverplichtingen zijn van toepassing |
| Volledig geautomatiseerde goedkeuring of afwijzing met rechtsgevolg | Ja | Moet steunen op een uitzondering met recht op menselijke beoordeling |
| Geautomatiseerde profilering om marketinglijsten te segmenteren | Afhankelijk van significantie | Beoordeel of de gevolgen juridisch significant zijn |
| AI-gegenereerde content-score die wervingsbesluiten beïnvloedt | Ja | Uitzondering op grond van contract of toestemming plus menselijke beoordeling |
| Fraudemelding die menselijk onderzoek vereist voor actie op de rekening | Nee | Menselijke beoordeling doorbreekt de uitsluitend geautomatiseerde keten |
Het beoordelen van AI features in tools die u overweegt in te zetten, helpt vast te stellen welke daarvan betekenisvolle menselijke controlepunten bevatten en welke besluiten automatisch routeren zonder menselijke beoordeling.
Artikel 37 en de eis van een Data Protection Officer
Wanneer AI-implementaties een DPO vereisen
Artikel 37 van de GDPR vereist dat bepaalde organisaties een Data Protection Officer aanwijzen. De eis geldt voor overheidsinstanties en -instellingen, organisaties waarvan de kernactiviteiten grootschalige stelselmatige monitoring van personen vereisen, en organisaties waarvan de kernactiviteiten bestaan uit grootschalige verwerking van bijzondere categorieën van gegevens of van gegevens betreffende strafrechtelijke veroordelingen.
AI-tools brengen deze beoordeling vaak in werking. Een retailbedrijf dat AI inzet voor gedragsanalyse over miljoenen klantinteracties verricht grootschalige stelselmatige monitoring. Een zorgorganisatie die AI gebruikt om patiëntdossiers op schaal te verwerken, verwerkt op grote schaal bijzondere categorieën van persoonsgegevens. Beide scenario's wijzen in de richting van een verplichte DPO.
Ook waar de verplichting tot het aanwijzen van een DPO niet strikt geldt, is de functie die deze vervult — toezicht op gegevensverwerking, contact met toezichthoudende autoriteiten en onafhankelijk compliance-advies — in de praktijk onontbeerlijk voor organisaties die AI-systemen draaien die aanzienlijke hoeveelheden persoonsgegevens raken. Veel bedrijven die technisch gezien niet verplicht zijn een DPO aan te wijzen, doen dit toch omdat de operationele waarde dit rechtvaardigt.
De DPO moet bij AI-implementaties worden betrokken voordat ze live gaan, en niet pas worden geraadpleegd wanneer er problemen opduiken. De DPO meenemen in de toolevaluatie, de Data Protection Impact Assessment en de beoordeling van leveranciersovereenkomsten zorgt voor het gedocumenteerde toezichtsspoor dat toezichthouders verwachten te zien.
Data Protection Impact Assessments voor AI
Artikel 35 van de GDPR vereist een Data Protection Impact Assessment voorafgaand aan elke verwerking die waarschijnlijk een hoog risico voor personen oplevert. AI-systemen waarbij grootschalige profilering, stelselmatige monitoring of geautomatiseerde besluitvorming met aanzienlijke gevolgen aan de orde is, brengen deze eis vrijwel altijd in werking.
Een goede DPIA voor een AI-tool gaat in op welke persoonsgegevens het systeem verwerkt en waarom, op de noodzaak en evenredigheid van de verwerking, op de risico's voor personen en hoe deze worden gemitigeerd, en op de maatregelen om de compliance aan te tonen. Het is geen eenmalig document. Wanneer de AI-tool verandert, de gegevensinvoer wijzigt of de bedrijfscontext wezenlijk verandert, moet de DPIA worden herzien.
Een praktische AI guide over DPIA-methodologie voor AI-systemen helpt compliance-teams beoordelingen te structureren die voldoen aan de verwachtingen van toezichthouders, in plaats van documentatie te produceren die er grondig uitziet maar de inhoudelijke risicoanalyse waar toezichthouders naar zoeken mist.
Zaken om te weten
Enkele belangrijke punten over GDPR en AI-tools die pas vaak naar voren komen nadat problemen al zijn opgetreden:
Het trainen van AI-modellen op persoonsgegevens vereist een eigen beoordeling van de rechtsgrondslag. Als u een model fine-tunet op klantgegevens, werknemersgegevens of andere persoonsgegevens die uw organisatie houdt, is die trainingsactiviteit een afzonderlijk verwerkingsdoel dat een eigen rechtsgrondslag nodig heeft, los van het oorspronkelijke verzameldoel.
De rechten van betrokkenen zijn ook van toepassing op door AI verwerkte gegevens. Personen behouden het recht om toegang te krijgen tot hun persoonsgegevens, deze te rectificeren, te wissen en over te dragen, ook wanneer deze door een AI-systeem zijn verwerkt. Als uw AI-tool deze rechten operationeel niet kan ondersteunen, is dat een compliance-gat, hoe goed de andere beveiligingsmaatregelen van de tool ook zijn.
Verwerkers en sub-verwerkers moeten worden gedocumenteerd. Elke AI-leverancier die persoonsgegevens namens u verwerkt, moet in uw Records of Processing Activities staan. Hun sub-verwerkers — de infrastructuurleveranciers, hostingbedrijven en andere leveranciers waarop zij steunen — moeten worden bekendgemaakt in de met hen gesloten Data Processing Agreements.
Pseudonimisering vermindert risico, maar heft GDPR-verplichtingen niet op. Gepseudonimiseerde gegevens, dat wil zeggen gegevens waarvan identifiers door codes zijn vervangen, blijven persoonsgegevens onder de GDPR als heridentificatie redelijkerwijs mogelijk is. AI-tools die gepseudonimiseerde gegevens verwerken, verwerken nog steeds persoonsgegevens.
Grensoverschrijdende doorgiften die door AI-infrastructuur worden veroorzaakt, vereisen doorgiftemechanismen. Als uw AI-leverancier gegevens verwerkt op infrastructuur buiten de EU of EER, heeft u een geldig doorgiftemechanisme nodig, zoals Standard Contractual Clauses of een transfer impact assessment. Veel cloud-AI-diensten routeren verwerking standaard via Amerikaanse of Aziatische datacenters.
Voor door AI verwerkte gegevens moeten bewaartermijnen worden vastgesteld. De GDPR vereist dat persoonsgegevens niet langer dan noodzakelijk worden bewaard. AI-systemen die conversatielogs, invoergegevens of uitvoergegevens onbeperkt bewaren zonder gedocumenteerd bewaarbeleid, zijn niet compliant, ongeacht andere waarborgen.
Een GDPR-bestendige AI-praktijk opbouwen
Organisaties die succesvol omgaan met GDPR en AI-tools delen een gemeenschappelijke aanpak. Zij beoordelen compliance vóór de implementatie in plaats van erna, zij onderhouden levende documentatie van hun AI-gegevensstromen en zij behandelen GDPR-compliance als een doorlopende operationele discipline en niet als een project met een einddatum.
De regelgevende omgeving rond AI in Europa wordt strikter, niet losser. De combinatie van GDPR-handhaving die meer op AI focust en de EU AI Act die een parallel kader toevoegt, betekent dat organisaties met zwakke AI-governance-fundamenten met elke nieuwe tool die zij inzetten meer compliance-risico opbouwen.
Dat fundament leggen is niet zo ingewikkeld als het klinkt. Breng uw gegevensstromen in kaart. Leg rechtsgrondslagen vast. Documenteer uw verwerkingen. Beoordeel uw hoogrisico-implementaties. Krijg uw leveranciersovereenkomsten op orde. Dit zijn bestaande compliance-praktijken, toegepast op een nieuwe technologiecategorie. Organisaties die dit systematisch aanpakken, ontdekken dat compliance en een effectieve AI-adoptie elkaar niet bijten. Goed uitgevoerd versterken ze elkaar.
Veelgestelde vragen
Vallen AI-tools onder de GDPR?
Ja, AI-tools vallen volledig onder de GDPR zodra zij persoonsgegevens verwerken die betrekking hebben op personen in de EU, ongeacht waar het AI-bedrijf gevestigd is of waar zijn servers staan. De verordening is van toepassing op basis van de locatie van de betrokkenen, niet van de technologieleverancier. Dat betekent dat elke AI-tool die op Europese klant- of werknemersgegevens wordt toegepast, compliant moet zijn.
Wat is de 30%-regel voor AI?
De 30%-regel voor AI is een praktische richtlijn die suggereert dat AI-automatisering ongeveer 30% van een workflow zou moeten afdekken, terwijl menselijke beoordeling en toezicht de resterende 70% afhandelen. In de context van de GDPR is dit kader bijzonder nuttig voor compliance met artikel 22. Het helpt organisaties AI-implementaties te ontwerpen waarin mensen daadwerkelijk betrokken blijven bij besluiten, in plaats van geautomatiseerde output enkel af te stempelen.
Wat zijn de wijzigingen in de GDPR voor AI?
De GDPR zelf is niet formeel aangepast voor AI, maar toezichthouders voor gegevensbescherming in de hele EU geven steeds specifiekere richtsnoeren uit die bestaande GDPR-beginselen toepassen op AI-systemen, met name rond rechtsgrondslagen voor trainingsdata, geautomatiseerde besluitvorming en transparantievereisten voor AI-gegenereerde output. De EU AI Act, die naast de GDPR functioneert en deze niet vervangt, voegt aanvullende verplichtingen toe voor hoogrisico-AI-systemen die persoonsgegevens verwerken.
Wat is artikel 22 van de GDPR en AI?
Artikel 22 van de GDPR geeft personen het recht om niet te worden onderworpen aan besluiten die uitsluitend op geautomatiseerde verwerking zijn gebaseerd en die rechtsgevolgen of vergelijkbaar significante gevolgen voor hen hebben. Dit is direct van toepassing op AI-systemen die ingrijpende besluiten over mensen nemen zonder betekenisvolle menselijke beoordeling. Organisaties die AI inzetten voor credit scoring, sollicitatiescreening of toegang tot diensten moeten ervoor zorgen dat ofwel een mens de output van AI daadwerkelijk beoordeelt voordat besluiten effect krijgen, ofwel een van de drie wettelijke uitzonderingen van toepassing is met alle vereiste aanvullende waarborgen.
Wat is artikel 37 van de GDPR?
Artikel 37 van de GDPR legt voor bepaalde organisaties de verplichting vast om een Data Protection Officer aan te wijzen. Deze rol wordt in de praktijk onmisbaar voor elk bedrijf dat AI-systemen draait die grote hoeveelheden persoonsgegevens verwerken of stelselmatige gedragsmonitoring uitvoeren. Organisaties waarvan de kernactiviteiten op AI-gebied grootschalige profilering, verwerking van bijzondere categorieën van gegevens of stelselmatige monitoring van personen omvatten, zullen onder dit artikel waarschijnlijk verplicht een DPO moeten aanwijzen.