GDPR & AI — Gegevensbescherming begrijpen
AI verwerkt enorme hoeveelheden gegevens — vaak over mensen die dat niet weten. GDPR geeft je als betrokkene rechten. Als operator heb je verplichtingen. Beide kennen is een basisvoorwaarde voor verantwoord AI-gebruik.
Je begrijpt de 6 AVG-beginselen, kent je rechten als betrokkene en weet welke verplichtingen op het gebied van gegevensbescherming ontstaan bij het gebruik van AI.
GDPR en AI — de basisprincipes
~15 MinAVG en AI — de Basisprincipes
Wat is persoonsgegevens?
Persoonsgegevens = alle informatie die betrekking heeft op een identificeerbare persoon.
Niet alleen naam en e-mail. Ook: IP-adres, locatiegegevens, koopgedrag, klikpatronen, apparaat-ID's — en alle combinaties die tot identificatie kunnen leiden.
AI-systemen verwerken bijna altijd persoonsgegevens. De AVG is van toepassing.
De 6 Basisprincipes — beknopt
| Principe | Wat het vereist | AI-Relevantie |
|---|---|---|
| Rechtmatigheid | Rechtsgrondslag voor elke verwerking | Toestemming, contract of legitiem belang expliciet vaststellen |
| Doelbinding | Alleen voor het opgegeven doel | AI-training ≠ Gebruiksrecht voor andere doeleinden |
| Dataminimalisatie | Minimum aan gegevens | Feature-engineering: alleen relevante variabelen |
| Juistheid | Gegevens actueel houden | Verouderde trainingsgegevens → verouderde discriminatie |
| Opslagbeperking | Niet langer dan nodig | Retentiebeleid voor trainingsgegevens |
| Integriteit & Vertrouwelijkheid | Bescherming tegen misbruik | Toegangscontroles, encryptie |
Uw rechten als betrokkene
| Recht | Art. | Wat u kunt eisen |
|---|---|---|
| Inzage | 15 | Welke gegevens? Waarvoor? Hoe lang? |
| Rectificatie | 16 | Onjuiste gegevens corrigeren |
| Verwijdering | 17 | „Recht op vergetelheid" |
| Beperking | 18 | Verwerking tijdelijk stoppen |
| Bezwaar | 21 | Bezwaar maken tegen verwerking |
| Geen Volledige Automatisering | 22 | Menselijke beoordeling bij significante beslissingen |
Art. 22 is bijzonder relevant voor AI: Geautomatiseerde beslissingen met significante impact op personen (kredietafwijzing, afwijzing van een baan, verzekeringsprijs) moeten aanvechtbaar zijn.
Bijzondere gegevenscategorieën — verhoogde bescherming
Deze gegevens mogen in principe niet worden verwerkt — behalve met expliciete toestemming:
- Gezondheidsgegevens
- Etnische afkomst
- Politieke opvattingen
- Religieuze overtuigingen
- Lidmaatschap van een vakbond
- Biometrische gegevens
- Seksuele geaardheid
Voor AI-ontwikkelaars: Als trainingsgegevens zelfs maar impliciet conclusies over deze categorieën mogelijk maken — verhoogd risico.
Korte controle
1. Welke AVG-beginsel vereist dat alleen noodzakelijke gegevens worden verzameld?
2. Wat betekent GDPR Art. 22?
AVG in één oogopslag
- 6 Grundsätze: Rechtmäßigkeit, Zweckbindung, Sparsamkeit, Richtigkeit, Begrenzung, Sicherheit
- Art. 15: Du kannst fragen welche Daten gespeichert sind
- Art. 16: Du kannst falsche Daten korrigieren lassen
- Art. 17: Du kannst Löschung beantragen
- Art. 22: Automatische Entscheidungen können angefochten werden
AVG bij AI-gebruik — Verplichtingen voor operators
~15 MinAVG-verplichtingen bij AI-gebruik
Voor de start: Drie verplichtingen
1. Rechtsgrondslag vaststellen
Geen gegevensverwerking zonder grondslag. De belangrijkste voor AI:
| Grondslag | Wanneer geschikt | Voorzichtigheid |
|---|---|---|
| Toestemming (Art. 6 lid 1 a) | Duidelijk vrijwillig, specifiek | Moet te allen tijde herroepbaar zijn |
| Contract (Art. 6 lid 1 b) | AI nodig voor contractuitvoering | Alleen als echt noodzakelijk |
| Legitiem belang (Art. 6 lid 1 f) | Interne optimalisatie | Belangenafweging documenteren |
Let op: „We willen de AI verbeteren" is geen legitiem belang dat automatisch geldt. Er is een gedocumenteerde belangenafweging nodig.
2. DPIA controleren — wanneer is het verplicht?
Een gegevensbeschermingseffectbeoordeling (DPIA) is volgens Art. 35 AVG verplicht bij:
- Systematische profilering van personen
- Verwerking van bijzondere gegevenscategorieën (→ Module 1)
- Geautomatiseerde beslissingen met aanzienlijke impact
- AI-ondersteunde monitoring van medewerkers
Hoe uitgebreid? De DPIA documenteert: Wat wordt verwerkt? Waarom? Welke risico's ontstaan? Welke beschermingsmaatregelen worden genomen?
3. Betrokkenen informeren
Voor de verwerking moeten betrokkenen weten:
- Wie verwerkt de gegevens (naam, contact)
- Waarom (doel en rechtsgrondslag)
- Hoe lang
- Aan wie wordt doorgegeven
- Of geautomatiseerde beslissingen plaatsvinden (Art. 13 lid 2 f)
In bedrijf: Twee kritische verplichtingen
Gegevenslekken melden (Art. 33)
Bij gegevensverlies, diefstal of ongeoorloofde toegang:
- 72 uur om melding te doen aan de gegevensbeschermingsautoriteit
- Bij hoog risico voor betrokkenen: ook directe informatie aan de betrokkenen (Art. 34)
Geen uitzondering voor AI-systemen. Een gegevenslek uit een AI-systeem roept dezelfde verplichtingen op.
Retentiebeleid naleven
AI-trainingsgegevens vallen onder dezelfde verwijderingsverplichtingen als alle andere persoonsgegevens. „We hebben de gegevens nodig voor natraining" is geen onbeperkte bewaartermijn.
Praktijkgeval: De lerende chatbot
Een klantenservice-chatbot registreert alle gesprekken „om beter te worden". In gesprekken worden af en toe gezondheidsgegevens genoemd.
AVG-overtredingen:
- Ontbrekende toestemming voor gezondheidsgegevens (Art. 9 — bijzondere categorie)
- Doelbinding geschonden: Gesprek voor klantenservice ≠ Toestemming voor AI-training
- Betrokkenen werden niet geïnformeerd over AI-gebruik
Wat te doen:
- Gezondheidsgegevens onmiddellijk uit trainingsgegevens verwijderen
- Gegevensbeschermingsautoriteit informeren (bij aanzienlijk risico)
- Proces aanpassen: Toestemming verkrijgen voor gebruik voor training
Samenvatting: De AVG-checklist voor AI
Voor de inzet:
☐ Rechtsgrondslag gedocumenteerd
☐ DPIA gecontroleerd (en indien nodig uitgevoerd)
☐ Betrokkenen geïnformeerd
☐ Gegevenscategorieën gecontroleerd (bijzondere categorieën?)
In bedrijf:
☐ Retentiebeleid gedefinieerd en geïmplementeerd
☐ Toegangscontroles actief
☐ Proces voor gegevenslekken aanwezig (72u-termijn!)
☐ Proces voor rechten van betrokkenen gedefinieerd
Terug: AVG-Grondslagen | Assessment starten →
Praxisgeval: De chatbot en de gevoelige gegevens
Een klantenservice-chatbot verzamelt gespreksgeschiedenissen om "beter te worden". Een gebruiker klaagt dat de chatbot zijn gezondheidsgegevens uit een eerder gesprek kent — hoewel hij nooit expliciet heeft ingestemd met het opslaan daarvan.
Lösung anzeigen
Minstens twee AVG-overtredingen:
- Ontbrekende rechtsgrondslag (Art. 6): Voor gezondheidsgegevens (Art. 9 — bijzondere categorie) is expliciete toestemming vereist. "Trainingsgegevens verzamelen" is geen voldoende grondslag.
- Schending van het doelbindingsprincipe (Art. 5): Gegevens uit een gesprek mogen niet zomaar voor training worden gebruikt.
Wat het bedrijf moet doen:
- Onmiddellijk: Gezondheidsgegevens uit trainingsgegevens verwijderen
- Betrokkenen informeren (Art. 34 bij hoog risico)
- Meld de gegevensbeschermingsautoriteit als de schending aanzienlijk is (Art. 33, 72-uurs termijn)
- Proces aanpassen: Toestemming verkrijgen vóór gebruik voor training
Je gegevens
Bij welke digitale diensten heb je het gevoel dat ze meer over je weten dan ze zouden moeten?
- Werbung die zu gut zu meinen Gesprächen passt
- Empfehlungen die zeigen dass mein Verhalten beobachtet wird
- Systeme die mich 'kennen' ohne dass ich mich erinnere Daten gegeben zu haben
Dit neem je mee
- Als Betreiber: Rechtsgrundlage vor Datenverarbeitung klären
- Zweckbindung: Daten nur für den angegebenen Zweck nutzen
- DPIA: Bei Hochrisiko-Verarbeitung Datenschutz-Folgenabschätzung Pflicht
- ⏰ Panne: 72 Stunden Zeit um Datenschutzbehörde zu informieren