AI biedt bedrijven kansen om processen te verbeteren en klanten beter te bedienen. Maar zodra u persoonsgegevens gebruikt in AI-systemen, moet u aan de AVG voldoen.
De Autoriteit Persoonsgegevens houdt toezicht op alle verwerkingen van persoonsgegevens, ongeacht welke technologie u gebruikt.
De belangrijkste uitdaging is dat u vooraf moet vaststellen of uw AI-toepassing aan de privacywetgeving voldoet, ook bij pilots en testprojecten. Veel bedrijven starten enthousiast met AI, maar komen later in conflict met de toezichthouder.
Dit leidt tot boetes, reputatieschade en stilgelegde projecten.
Wat is de relatie tussen de AVG en het gebruik van AI in bedrijven?
De AVG en AI Act zijn twee verschillende wetten die samen bepalen hoe u AI mag gebruiken in uw bedrijf. De AVG beschermt persoonsgegevens, terwijl de AI Act zorgt voor veilig gebruik van AI-systemen.
Definitie en doelen van de AVG en AI Act
De AVG (of GDPR in het Engels) is de Europese wet die regelt hoe u met persoonsgegevens moet omgaan. Deze wet geldt voor alle bedrijven in de EU die persoonlijke informatie van klanten, medewerkers of bezoekers gebruiken.
De AVG is techniek-neutraal opgesteld, wat betekent dat de wet geldt voor alle manieren waarop u persoonsgegevens verwerkt. De AI Act is een nieuwe wet die specifiek gaat over kunstmatige intelligentie.
Deze wet richt zich op de veiligheid, transparantie en ethiek van AI-systemen. De AI Act deelt AI-systemen in volgens risico: van laag risico tot hoog risico.
De Autoriteit Persoonsgegevens houdt toezicht op alle verwerkingen van persoonsgegevens, ook wanneer u AI gebruikt. Dit betekent dat uw organisatie aan beide wetten moet voldoen wanneer uw AI-systeem persoonsgegevens verwerkt.
Semantische overlap en verschillen tussen de AVG en de AI Act
De AVG en AI Act hebben verschillende doelen maar overlappen op belangrijke punten. De AVG beschermt de privacy van personen en hun gegevens.
De AI Act regelt hoe AI-systemen werken en of ze veilig zijn.
Belangrijkste verschillen:
| Aspect | AVG | AI Act |
|---|---|---|
| Focus | Bescherming persoonsgegevens | Veilig gebruik AI-systemen |
| Toepassingsgebied | Alle verwerkingen van persoonsgegevens | Specifiek AI-systemen |
| Doel | Privacy waarborgen | AI-risico’s beheren |
De overlap zit vooral in geautomatiseerde besluitvorming. Wanneer uw AI-systeem automatisch beslissingen neemt over personen, gelden beide wetten.
De AVG stelt specifieke regels voor deze situaties, zoals het recht op menselijke tussenkomst.
Waarom bedrijven met beide wetgevingen te maken hebben
U moet aan beide wetten voldoen wanneer uw AI-systeem persoonsgegevens gebruikt. Dit geldt voor bijna alle praktische toepassingen van AI in bedrijven, van chatbots tot personeelssystemen.
De AVG blijft de basis voor gegevensbescherming in de EU. Wanneer u AI inzet, moet u eerst vaststellen of u aan de AVG kunt voldoen.
Dit geldt ook voor pilots, tests of proefprojecten. U moet de privacyrisico’s in kaart brengen voordat u start.
De AI Act voegt daar extra eisen aan toe voor AI-systemen met een hoog risico. Uw onderneming moet dus twee verschillende maar samenhangende regelgevingen volgen.
De Autoriteit Persoonsgegevens kan optreden wanneer u de AVG overtreedt bij het gebruik van AI.
Persoonsgegevens en AI: Belangrijkste risico’s en uitgangspunten
AI-systemen verwerken vaak grote hoeveelheden persoonsgegevens, van klantdata tot sollicitaties. Dit roept belangrijke vragen op over gegevensbescherming, doelbinding en profilering die u als organisatie niet kunt negeren.
Welke persoonsgegevens zijn relevant bij AI-systemen?
AI-systemen verwerken verschillende soorten persoonsgegevens. Denk aan klantgegevens zoals namen, e-mailadressen en aankoopgeschiedenis.
Ook sollicitaties bevatten persoonsgegevens die AI-tools kunnen analyseren bij werving en selectie. Bijzondere persoonsgegevens vragen extra aandacht.
Dit zijn gegevens over gezondheid, etnische afkomst, geloofsovertuiging of biometrische gegevens. De AVG stelt strenge regels aan het verwerken van deze gevoelige informatie.
Financiële gegevens vormen een aparte categorie. Banktransacties, kredietscores en betalingsgedrag zijn populaire databronnen voor AI-toepassingen.
Deze gegevens brengen extra privacyrisico’s met zich mee. Let op dat AI vaak indirecte persoonsgegevens verzamelt.
IP-adressen, browsegedrag en locatiedata lijken onschuldig, maar kunnen personen identificeren. Ook metadata en gebruikerspatronen vallen onder de AVG wanneer ze herleidbaar zijn tot individuen.
Privacyuitdagingen: dataminimalisatie en doelbinding
Gegevensminimalisatie botst regelmatig met AI-technologie. AI-modellen werken het beste met grote datasets, maar de AVG vereist dat u alleen noodzakelijke gegevens verzamelt.
U moet dus een balans vinden tussen effectiviteit en privacy. Doelbinding stelt grenzen aan uw datagebruik.
Verzamelt u klantdata voor orderverwerking? Dan mag u deze gegevens niet zomaar gebruiken om AI-modellen te trainen.
Elk nieuw doel vraagt om een eigen rechtsgrondslag. Trainen van AI-modellen creëert specifieke uitdagingen.
U verwerkt mogelijk miljoenen datapunten waarvan het oorspronkelijke doel onduidelijk is. De recente Digital Omnibus biedt meer ruimte door gerechtvaardigd belang als basis voor AI-training te erkennen.
Bewaar persoonsgegevens niet langer dan nodig. AI-systemen die continu leren kunnen verleiden tot oneindige opslag, maar de AVG verplicht u tot tijdige verwijdering.
Stel duidelijke bewaartermijnen vast per gegevenscategorie.
Profilering en geautomatiseerde besluitvorming
Geautomatiseerde besluitvorming zonder menselijke tussenkomst is volgens de AVG in principe verboden. Gebruikt uw AI-systeem klantgegevens om automatisch kredietaanvragen af te wijzen? Dan schendt u mogelijk privacyrechten.
Profilering brengt specifieke risico’s met zich mee. Het systematisch analyseren van persoonsgegevens om gedrag te voorspellen valt onder strikte AVG-regels.
U moet betrokkenen informeren over de logica achter uw AI-systeem. Betekenisvolle menselijke tussenkomst is cruciaal.
Een medewerker moet daadwerkelijk invloed kunnen uitoefenen op AI-beslissingen, niet alleen een stempel drukken. Dit vereist training en duidelijke procedures binnen uw organisatie.
Mensen hebben recht op bezwaar tegen profilering. Biedt u klanten de mogelijkheid om te weigeren dat AI hun gedrag analyseert?
Dit recht geldt vooral bij direct marketing en gedragsvoorspelling. Maak deze optie makkelijk vindbaar in uw systemen.
AVG-regels en vereisten voor het gebruik van AI in uw bedrijf
Bij het inzetten van AI-systemen die persoonsgegevens verwerken moet u aan strikte AVG-eisen voldoen. U heeft een geldige wettelijke grondslag nodig, moet transparant zijn over uw gegevensverwerking, en dient de gegevensminimalisatie toe te passen met duidelijke bewaartermijnen en logging.
Wettelijke grondslagen en rechtsmatigheid van gegevensverwerking
U mag pas persoonsgegevens verwerken met AI als u een geldige wettelijke grondslag heeft. De AVG kent zes grondslagen: toestemming, overeenkomst, wettelijke verplichting, vitaal belang, publieke taak, of gerechtvaardigd belang.
Toestemming is vaak moeilijk te gebruiken voor AI-systemen. De betrokkene moet namelijk specifiek, geïnformeerd en vrijwillig akkoord geven.
Bij complexe AI-toepassingen is het lastig om vooraf precies uit te leggen hoe het systeem werkt en welke gevolgen dit heeft. Als verwerkingsverantwoordelijke bepaalt u waarom en hoe persoonsgegevens worden verwerkt.
Gebruikt u een externe AI-dienst? Dan treedt die partij vaak op als verwerker.
U sluit dan een verwerkersovereenkomst af waarin u afspreekt hoe de verwerker met de gegevens omgaat. Let op: de rechtmatigheid van uw gegevensverwerking moet u kunnen aantonen.
Documenteer daarom welke grondslag u gebruikt en waarom deze in uw situatie geldt.
Transparantie en de rol van toestemming
U moet mensen duidelijk informeren over hoe u hun gegevens verwerkt met AI. Dit doet u via uw privacyverklaring en bij het verzamelen van de gegevens zelf.
Leg uit welk algoritme u gebruikt, welk doel het heeft, en wat de mogelijke gevolgen zijn voor de betrokkene. Bij geautomatiseerde besluitvorming moet u specifiek vermelden dat een systeem beslissingen neemt zonder menselijke tussenkomst.
Privacyrechten blijven volledig van kracht bij AI-gebruik. Mensen kunnen inzage vragen, gegevens laten corrigeren of verwijderen, en bezwaar maken tegen de verwerking.
Bij belangrijke geautomatiseerde beslissingen hebben zij recht op menselijke beoordeling. Baseer belangrijke besluiten nooit uitsluitend op geautomatiseerde verwerking.
Een medewerker moet altijd de eindcontrole hebben. Dit voorkomt dat mensen volledig afhankelijk zijn van algoritmes bij beslissingen die grote impact hebben op hun leven.
Bewaartermijn, logging en gegevensminimalisatie
U mag alleen persoonsgegevens verzamelen die echt nodig zijn voor uw AI-systeem. Dit is gegevensminimalisatie: werk met zo min mogelijk gegevens en verwijder overbodige informatie.
Stel vooraf een bewaartermijn vast en verwijder gegevens zodra het doel bereikt is. Logging is essentieel bij AI-gebruik.
U registreert welke gegevens wanneer zijn verwerkt, welke beslissingen het systeem heeft genomen, en welke logica daarbij is gebruikt. Dit helpt bij het aantonen van rechtmatigheid en bij het beantwoorden van privacyvragen.
Bewaar trainingsdata niet langer dan nodig. Zodra uw AI-model getraind is, kunt u vaak de onderliggende persoonsgegevens verwijderen.
Gebruik indien mogelijk geanonimiseerde of gepseudonimiseerde data voor verdere ontwikkeling. Maak een verwerkingsregister waarin u alle AI-toepassingen met persoonsgegevens vastlegt.
Dit overzicht is verplicht en helpt u grip te houden op uw gegevensverwerkingen.
Rol en toezicht van de Autoriteit Persoonsgegevens
De Autoriteit Persoonsgegevens houdt in Nederland toezicht op alle verwerkingen van persoonsgegevens, inclusief AI-systemen. De AP controleert of uw bedrijf of organisatie zich aan de AVG houdt en kan handhavend optreden bij overtredingen.
AP-controles en handhaving
De AP controleert of uw organisatie persoonsgegevens volgens de AVG verwerkt bij AI-toepassingen. De toezichthouder kan onderzoek starten op eigen initiatief of naar aanleiding van klachten.
Bij overtredingen beschikt de AP over verschillende handhavingsmiddelen. Ze kan boetes opleggen, waarschuwingen geven of een tijdelijk verwerkingsverbod uitvaardelen.
De hoogte van boetes hangt af van de ernst en duur van de overtreding. De AP heeft als taken vastgelegd in de wet: toezicht houden, voorlichting geven en handhaven.
Voor AI-systemen met hoog risico gelden extra controles. Uw bedrijf moet aantonen dat u vooraf privacyrisico’s in kaart heeft gebracht en passende maatregelen heeft genomen.
Veelgemaakte fouten door bedrijven
Veel organisaties starten met AI-projecten zonder eerst na te gaan of ze aan de AVG kunnen voldoen. Dit geldt ook voor pilots, tests of proefprojecten waar persoonsgegevens bij gebruikt worden.
Een andere veelgemaakte fout is het ontbreken van betekenisvolle menselijke tussenkomst bij algoritmische besluitvorming. Bedrijven vertrouwen te veel op geautomatiseerde systemen zonder menselijke controle.
Daarnaast verzuimen organisaties regelmatig om te werken met correcte data. Onjuiste gegevens of data gebaseerd op foutieve aannames brengen grote risico’s voor burgers met zich mee.
Het niet registreren van algoritmes is ook een veelvoorkomend probleem. Steeds meer organisaties worden afhankelijk van algoritmes zonder de bijbehorende risico’s te documenteren.
Samenwerking met de Europese Unie en andere toezichthouders
De Autoriteit Persoonsgegevens werkt samen met andere Europese toezichthouders binnen de Europese Unie. De AVG is een Europese wet die in alle EU-lidstaten geldt, wat grensoverschrijdende samenwerking noodzakelijk maakt.
Europese toezichthouders maken zich gezamenlijk zorgen over de impact van AI op privacy-rechten. Ze wisselen kennis en ervaringen uit over AI-toepassingen en handhavingsstrategieën.
Deze samenwerking zorgt voor een consistente aanpak van privacy-bescherming binnen de Europese Unie. Voor uw bedrijf betekent dit dat overtredingen in één land gevolgen kunnen hebben in andere EU-landen.
De toezichthouders delen informatie over organisaties die de AVG schenden bij AI-gebruik.
Praktische aanpak: Hoe voorkomt u dataklemmen bij AI-projecten?
Een grondige voorbereiding en structurele aanpak zijn nodig om problemen met de Autoriteit Persoonsgegevens te voorkomen. U moet vooraf privacyrisico’s identificeren, passende beveiligingsmaatregelen treffen en menselijke controle inbouwen in uw AI-systemen.
Uitvoeren van Data Protection Impact Assessment (DPIA)
U bent verplicht een Data Protection Impact Assessment uit te voeren voordat u AI-systemen met persoonsgegevens inzet. Deze impact assessment helpt u systematisch te bepalen welke privacyrisico’s uw AI-toepassing met zich meebrengt.
Een DPIA moet minimaal het volgende bevatten:
- Beschrijving van de verwerking: Welke persoonsgegevens gebruikt uw AI-systeem en met welk doel?
- Noodzakelijkheidstoets: Waarom is deze gegevensverwerking nodig en proportioneel?
- Risicoanalyse: Welke concrete bedreigingen bestaan er voor de rechten van betrokkenen?
- Mitigerende maatregelen: Welke technische en organisatorische maatregelen neemt u?
Bij hoog-risico AI-toepassingen zoals geautomatiseerde personeelsselectie of kredietbeoordelingen is een DPIA altijd verplicht. U moet deze assessment documenteren en regelmatig actualiseren wanneer uw systeem verandert.
Stap-voor-stap risicobeheersing en documentatie
Effectieve risicobeheersing begint met het in kaart brengen van alle processtappen in uw AI-project. U moet documenteren hoe uw organisatie omgaat met persoonsgegevens in elke fase.
Belangrijke documentatiestappen:
- Verzamel informatie over databronnen en de herkomst van trainingsdata
- Leg vast welke algoritmes u gebruikt en hoe deze werken
- Beschrijf wie toegang heeft tot persoonsgegevens en AI-systemen
- Noteer welke beveiligingsmaatregelen u hebt getroffen
Wijs duidelijke privacyrollen toe binnen uw AI-projecten. Bepaal wie verantwoordelijk is voor naleving van de AVG en wie toezicht houdt op datakwaliteit.
Deze toewijzing van verantwoordelijkheden voorkomt onduidelijkheid bij controles door de Autoriteit Persoonsgegevens. Bewaar alle documentatie toegankelijk en actueel.
Dit toont aan dat u bewust omgaat met privacy en helpt u bij het aantonen van compliance.
Menselijke tussenkomst en toezicht bij AI-besluitvorming
Uw AI-systeem mag niet volledig autonoom beslissingen nemen die grote impact hebben op personen. De AVG vereist betekenisvolle menselijke tussenkomst bij geautomatiseerde besluitvorming.
Betekenisvol menselijk toezicht houdt in dat een gekwalificeerde medewerker:
- De uitkomst van het AI-systeem kritisch kan beoordelen
- Beschikt over voldoende kennis om het algoritme te begrijpen
- De bevoegdheid heeft om de AI-beslissing te wijzigen of verwerpen
- Daadwerkelijk invloed uitoefent op de uiteindelijke beslissing
U moet voorkomen dat medewerkers blind vertrouwen op AI-aanbevelingen. Train uw personeel om AI-output te controleren en geef hen de tijd en middelen om deze controle goed uit te voeren.
Menselijke controle is geen formaliteit maar een essentiële waarborg tegen verkeerde of discriminerende beslissingen.
Technische en organisatorische maatregelen
U bent verplicht passende beveiligingsmaatregelen te treffen bij AI-projecten met persoonsgegevens. Deze maatregelen beschermen tegen datalekken en onrechtmatig gebruik.
Technische maatregelen omvatten:
- Versleuteling van persoonsgegevens in rust en tijdens transport
- Toegangscontroles en authenticatie voor AI-systemen
- Logging van alle verwerkingen voor audit trails
- Pseudonimisering of anonimisering waar mogelijk
Organisatorische maatregelen zijn:
- Privacytraining voor medewerkers die met AI werken
- Procedures voor het melden van datalekken
- Contractuele afspraken met AI-leveranciers over gegevensverwerking
- Regelmatige evaluatie van beveiligingsmaatregelen
Test uw maatregelen regelmatig op effectiviteit. De Autoriteit Persoonsgegevens verwacht dat u aantoonbaar werk maakt van informatiebeveiliging, ook tijdens pilots of testfases van AI-toepassingen.
Transparantie, uitlegbaarheid en vertrouwen bij AI-toepassingen
De AVG verplicht organisaties om helder te zijn over hoe AI-systemen werken en welke persoonsgegevens zij verwerken. U moet klanten concrete informatie geven over de logica achter algoritmes en de mogelijke gevolgen voor hun privacy.
Uitlegbaarheid van algoritmes en AI-modellen
U moet de werking van uw AI-systemen kunnen uitleggen aan betrokkenen. Dit betekent niet dat u technische details hoeft te delen, maar wel dat u in begrijpelijke taal uitlegt hoe het algoritme tot een besluit komt.
De mate van uitlegbaarheid hangt af van het type AI-model dat u gebruikt. Eenvoudige beslisbomen zijn gemakkelijker uit te leggen dan complexe neurale netwerken.
Toch blijft uitleg ook bij geavanceerde modellen een verplichting. Let op welke factoren uw AI-model gebruikt bij besluitvorming.
U moet aangeven welke persoonsgegevens een rol spelen en hoe zwaar deze meewegen. Bij belangrijke beslissingen over personen moet u altijd menselijke controle inbouwen.
Communicatie over AI-gebruik richting klanten
Uw privacyverklaring moet duidelijk vermelden dat u AI gebruikt. Beschrijf welk doel het systeem dient en welke persoonsgegevens het verwerkt.
Vage termen zoals “voor verbetering van onze dienst” zijn niet voldoende. Informeer klanten actief wanneer AI een rol speelt bij een product of dienst.
Dit kan via uw website, app of direct in het contactmoment. Geef ook aan welke rechten zij hebben, zoals het recht op menselijke tussenkomst bij geautomatiseerde beslissingen.
Maak gebruik van heldere voorbeelden. Leg uit wat uw AI doet in concrete situaties die klanten herkennen.
Certificering en externe audits
Een externe audit helpt u aantonen dat uw AI-systemen aan de AVG voldoen. Een onafhankelijke partij beoordeelt dan of u de juiste maatregelen heeft genomen voor gegevensbescherming.
Certificering is niet verplicht, maar biedt voordelen. Het geeft klanten zekerheid en maakt aannemelijk dat u privacyrisico’s serieus neemt.
Bij een eventuele controle door de Autoriteit Persoonsgegevens toont een certificaat aan dat u proactief werkt. Overweeg jaarlijkse audits voor AI-systemen die veel persoonsgegevens verwerken.
Laat vooral de beveiliging, doelbinding en rechtmatigheid toetsen.
Privacy by Design en operationele fase
Privacy by Design betekent dat u privacy inbouwt vanaf het eerste ontwerp van uw AI-systeem. U kiest dan voor technieken die zo min mogelijk persoonsgegevens nodig hebben en beveiligingsmaatregelen die passen bij de risico’s.
In de operationele fase blijft uw verantwoordelijkheid bestaan. Monitor regelmatig of uw algoritmes nog steeds werken zoals bedoeld.
AI-modellen kunnen veranderen door nieuwe data, wat onverwachte effecten heeft op de nauwkeurigheid en eerlijkheid. Test uw systemen op bias en discriminatie.
Controleer of bepaalde groepen onevenredig worden benadeeld. Pas uw model aan als u problemen constateert en documenteer deze aanpassingen in uw verwerkingsregister.
Veelgestelde vragen
Bedrijven die AI willen gebruiken met persoonsgegevens moeten zich houden aan strenge regels van de AVG. De Autoriteit Persoonsgegevens controleert of u deze regels naleeft, ongeacht welke technologie u gebruikt.
Wat zijn de richtlijnen van de AVG voor het implementeren van AI-systemen in mijn bedrijf?
U moet vooraf vaststellen of u aan de AVG kunt voldoen voordat u AI-systemen gaat gebruiken. Dit geldt ook voor pilots, tests of proefprojecten.
Breng eerst alle privacyrisico’s in kaart. U moet weten welke persoonsgegevens het AI-systeem verwerkt en wat de mogelijke gevaren zijn voor de mensen van wie u data gebruikt.
Zorg voor passende maatregelen om de gegevens van uw klanten, burgers of patiënten te beschermen. De AVG is techniek-neutraal opgesteld, dus dezelfde regels gelden voor AI als voor andere manieren van gegevensverwerking.
Hoe kan ik ervoor zorgen dat mijn AI-toepassingen voldoen aan de privacywetgeving?
Werk aan anonimiteit van de gegevens die u in AI-modellen gebruikt. Dit is de belangrijkste manier om AI-modellen verantwoord te ontwikkelen en te gebruiken volgens Europese privacytoezichthouders.
Zorg voor betekenisvolle menselijke tussenkomst bij beslissingen die het AI-systeem maakt. Een persoon moet kunnen ingrijpen als het systeem verkeerde beslissingen neemt of onverwachte resultaten geeft.
Stel productstandaarden op voor AI-systemen met een hoog risico. Deze standaarden helpen u om systematisch aan alle eisen te voldoen.
Op welke manier moet ik gegevens verwerken om te voldoen aan de eisen van de Autoriteit Persoonsgegevens bij gebruik van AI?
U moet rechtmatig, transparant en veilig omgaan met persoonsgegevens in uw AI-toepassingen. Dit zijn drie basisregels die altijd gelden.
Verzamel alleen de gegevens die u echt nodig heeft voor het specifieke doel van uw AI-systeem. U mag geen extra gegevens verzamelen omdat ze misschien later nog eens nuttig zijn.
Bewaar de gegevens niet langer dan noodzakelijk. Zodra u het doel bereikt heeft waarvoor u de data verzamelde, moet u ze verwijderen of anonimiseren.
Welke stappen kan ik ondernemen om een datalek te voorkomen bij het gebruik van AI in mijn organisatie?
Beveilig uw AI-systemen met sterke technische maatregelen. Gebruik versleuteling voor opgeslagen en verzonden gegevens.
Beperk de toegang tot het AI-systeem en de persoonsgegevens. Alleen medewerkers die het echt nodig hebben voor hun werk mogen toegang krijgen.
Test uw beveiligingsmaatregelen regelmatig. Controleer of er zwakke plekken zijn waar kwaadwillenden misbruik van kunnen maken.
Train uw medewerkers in veilig omgaan met AI-systemen en persoonsgegevens. Menselijke fouten zijn een veelvoorkomende oorzaak van datalekken.
Hoe documenteer ik de gegevensverwerking van mijn AI-toepassingen om aan de AVG te voldoen?
Houd een register bij van algoritmes die u gebruikt in uw organisatie. Steeds meer organisaties zijn verplicht om algoritmes te registreren.
Beschrijf welke persoonsgegevens het AI-systeem verwerkt, waarom u deze data nodig heeft en hoe lang u ze bewaart. Deze informatie moet u kunnen laten zien aan de Autoriteit Persoonsgegevens.
Leg vast hoe het AI-systeem werkt en welke beslissingen het kan maken. Dit helpt u om transparant te zijn naar de mensen van wie u gegevens verwerkt.
Documenteer de privacyrisico’s die u in kaart heeft gebracht en de maatregelen die u genomen heeft. Bij AI-systemen met een hoog risico moet u een data protection impact assessment (DPIA) uitvoeren en vastleggen.
Welke verantwoordelijkheden heb ik als bedrijf bij het inzetten van AI in relatie tot de bescherming van persoonsgegevens?
U bent verantwoordelijk voor alle verwerkingen van persoonsgegevens die uw AI-systeem uitvoert. Dit geldt ook als u een AI-systeem van een externe leverancier gebruikt.
Informeer mensen duidelijk over het gebruik van AI bij beslissingen die over hen gaan. Zij hebben recht om te weten dat een algoritme gebruikt wordt en hoe dit werkt.
Geef mensen de mogelijkheid om bezwaar te maken tegen geautomatiseerde besluitvorming. U moet ook een procedure hebben waarbij een persoon de beslissing opnieuw kan bekijken.
Meld datalekken binnen 72 uur aan de Autoriteit Persoonsgegevens. Als het datalek grote risico’s geeft voor mensen, moet u ook de getroffen personen zelf waarschuwen.
