Wat is de AVG ook alweer?

De AVG, of GDPR in het Engels, is sinds 2018 de privacywetgeving in de hele Europese Unie. De wet heeft als doel om burgers meer controle te geven over hun persoonsgegevens. Organisaties zijn verplicht om zorgvuldig, transparant en rechtmatig om te gaan met deze gegevens. Dat betekent dat ze alleen data mogen verzamelen als daar een duidelijke reden voor is, en dat mensen het recht hebben om te weten wat er met hun gegevens gebeurt.

In het kort: als je persoonsgegevens verzamelt, moet je kunnen uitleggen waarom, hoe en met welk doel, en je mag niet meer data verzamelen dan nodig is.

Waar raakt AI aan de AVG?

AI raakt de AVG op meerdere manieren, vooral wanneer AI-algoritmes worden gevoed met persoonsgegevens. Denk aan:

• AI-systemen die sollicitaties beoordelen;
• Chatbots die klantgegevens gebruiken;
• Leerplatforms die leerlingprestaties analyseren;
  
• Gezondheidsapps die medische gegevens verwerken.

Het gaat hier dus niet alleen om directe persoonsgegevens (zoals naam of e-mailadres), maar ook om indirecte data zoals IP-adressen, gedragspatronen of voorkeuren, die tot een persoon herleidbaar kunnen zijn. Zodra AI werkt met zulke gegevens, moet de AVG worden toegepast.

Wat mag wél met AI onder de AVG?

✅ AI gebruiken op basis van geanonimiseerde data

Als de data volledig geanonimiseerd is, dus op geen enkele manier terug te leiden tot een persoon, dan valt deze buiten de AVG. Let op: pseudonimiseren is niet hetzelfde als anonimiseren.

✅ Duidelijke toestemming vragen

Als je expliciet toestemming vraagt voor een specifieke AI-toepassing, en mensen kunnen die toestemming makkelijk weigeren of intrekken, dan mag je hun gegevens gebruiken binnen dat kader.

✅ AI inzetten met gerechtvaardigd belang

Soms mag je AI inzetten als je als organisatie een gerechtvaardigd belang hebt én je de privacy van betrokkenen niet onevenredig schaadt. Denk bijvoorbeeld aan fraudedetectie. Maar: je moet wel een belangenafweging maken en dit kunnen onderbouwen.

✅ Transparant zijn over AI-gebruik

Zodra je uitlegt wat je AI doet, waarom, met welke data en welke gevolgen het heeft, voldoe je aan de transparantieverplichting van de AVG.

Wat mag beslist niet?

❌ Geheime profiling of geautomatiseerde beslissingen zonder uitleg

Je mag niet ongemerkt iemands gedrag analyseren of profileren zonder dat diegene het weet. Ook mag je geen volledig geautomatiseerde beslissingen nemen die aanzienlijke gevolgen hebben voor mensen (zoals een afwijzing van een lening of sollicitatie)

❌ AI inzetten zonder duidelijke verwerkingsgrondslag

Als je geen geldige reden hebt (zoals toestemming, contractuele noodzaak of wettelijke verplichting), mag je geen persoonsgegevens verwerken voor AI.

❌ AI gebruiken met bias of discriminatie

Als je AI-systeem onbedoeld discrimineert (bijvoorbeeld door vrouwen of mensen met een migratieachtergrond systematisch slechter te beoordelen), dan overtreed je niet alleen de AVG, maar mogelijk ook de gelijke behandelingswetgeving. Bias moet dus actief worden opgespoord en gecorrigeerd.

AI, AVG en de Toekomst

De Europese Commissie werkt aan aanvullende wetgeving voor AI: de AI Act. Deze zal AI-systemen indelen in risiconiveaus (laag, gemiddeld, hoog risico), waarbij zwaardere eisen gelden voor gevoelige toepassingen zoals gezichtsherkenning of AI in het onderwijs. De AI Act vult straks de AVG aan, niet vervangt deze, en verplicht organisaties om transparant, eerlijk en controleerbaar te blijven werken met AI.

Tot slot

AI biedt veel kansen, maar roept ook terecht vragen op over privacy en controle. De AVG is geen rem op innovatie – het is een kompas dat organisaties helpt om ethisch en verantwoord met data om te gaan. Wie zorgvuldig werkt, transparant is en mensen centraal blijft stellen, kan AI inzetten op een manier die zowel effectief als rechtvaardig is.

Wil je zeker weten dat jouw organisatie AVG-proof werkt met AI? Overweeg een privacy-impact assessment (DPIA) of een AI-audit.