WerkstroomAI
Terug naar de kennisbank
Privacy·5 min lezen·11 mei 2026·Laatst bijgewerkt: 24 mei 2026

AI en de AVG — wat mag wel, en wat niet?

Een praktische uitleg van de AVG-regels rondom AI: wat mag, wat moet, en hoe je AI-automatisering inzet zonder in de problemen te komen.

AI en de AVG lijken soms lastig te combineren: AI heeft data nodig om taken uit te voeren, terwijl de AVG zegt dat je niet meer persoonsgegevens mag gebruiken dan nodig is. Toch is de combinatie goed te doen, mits je een paar dingen vooraf vastlegt. Dit artikel zet op een rij wat de wet eigenlijk zegt, en hoe je het in de praktijk regelt.

Eerst de hoofdregel

De AVG (Algemene Verordening Gegevensbescherming) zegt: persoonsgegevens mag je verwerken als je dat nodig hebt voor een doel dat rechtmatig is, en als je de betrokkene transparant informeert. Daarbij geldt dataminimalisatie: gebruik niet meer dan strikt nodig.

Dat principe verandert niet doordat er een AI-model in het proces zit. Sterker nog — de wet maakt geen onderscheid tussen "een spreadsheet draait erover" en "een taalmodel leest het". Wie verwerkingen doet, moet ze kunnen verantwoorden.

Drie rollen die je moet kennen

In AVG-termen heeft elk gegeven drie betrokkenen:

  1. Verantwoordelijke (controller). De partij die bepaalt waarom en hoe de gegevens worden verwerkt. Meestal het MKB-bedrijf zelf.
  2. Verwerker (processor). De partij die in opdracht verwerkt. Bij AI-automatisering meestal de leverancier (zoals wij) plus de onderliggende AI-aanbieder.
  3. Sub-verwerker. De partij die de verwerker inschakelt. Een AI-model van OpenAI, hosting bij Hetzner, monitoring bij Sentry — allemaal sub-verwerkers.

Wat moet je hiermee? Voor elke verwerker een verwerkersovereenkomst afsluiten waarin staat wat ze met de data mogen, hoe lang ze het bewaren, en wie hun sub-verwerkers zijn.

Drie veelvoorkomende AI-scenario's

Scenario 1 — Algemene cloud-modellen (GPT, Claude, Gemini)

Wie OpenAI, Anthropic of Google gebruikt, stuurt prompt-data naar een Amerikaans of Iers datacenter van die aanbieder. Mag dat? Ja, mits je:

  • Een verwerkersovereenkomst hebt met de tussenliggende leverancier.
  • De cloud-aanbieder een opt-out hebt aangezet voor het gebruiken van jouw data voor model-training (standaard bij de business-tiers).
  • Voor gevoelige data: Standard Contractual Clauses (SCC's) voor de transfer naar de VS.
  • Geen bijzondere persoonsgegevens (BSN, medische, religieuze, biometrische gegevens) doorstuurt zonder expliciete grondslag.

Scenario 2 — Lokaal-gehoste open modellen

Llama, Mistral of Qwen op een server in Nederland of elders binnen de EU. Voor AVG is dit het schoonst — geen data verlaat je netwerk, geen internationale transfer, geen sub-verwerker buiten je controle. Wel moet je je eigen hosting nog steeds afdekken: server-leverancier heeft ook een DPA nodig.

Scenario 3 — Hybride

Algemene of geanonimiseerde verwerking via cloud-modellen; bedrijfsgevoelige of bijzondere persoonsgegevens via lokale modellen. Vaak het meest praktisch in het MKB — je krijgt de kracht van grote modellen waar het mag, en de privacy van lokale modellen waar het moet.

Wat moet je documenteren?

Drie documenten die je in elk geval op orde wilt hebben:

  1. Register van verwerkingsactiviteiten. Welk doel, welke persoonsgegevens, welke grondslag, welke bewaartermijn, welke verwerkers. Verplicht onder de AVG, ook zonder AI.
  2. Verwerkersovereenkomsten. Met elke partij die jouw data ziet, inclusief de AI-leverancier en hun sub-verwerkers.
  3. Een korte AI-paragraaf in je privacyverklaring. Wat het systeem doet, dat het geen geautomatiseerde besluiten neemt met rechtsgevolgen (tenzij dat wel zo is, dan moet er meer in staan), en hoe iemand bezwaar kan maken.

Dit is geen ingewikkeld werk maar wel werk waaraan je dagen kunt besteden. Een goede leverancier helpt je met de teksten en levert ze mee bij de oplevering.

Wat mag echt niet?

Twee dingen waar de Autoriteit Persoonsgegevens streng op is:

  • Geautomatiseerde besluiten met rechtsgevolgen zonder menselijke tussenkomst. Een AI-model dat zelfstandig kredieten afwijst, mensen van een dienst uitsluit, of vacatures afkeurt — dat mag onder de AVG niet zonder strikte voorwaarden (artikel 22). Bouw er een mens-in-de-lus omheen.
  • Bijzondere persoonsgegevens verwerken zonder expliciete grondslag. Gezondheid, religie, politieke voorkeur, seksuele geaardheid, BSN, biometrie. Hier zijn de regels strenger; raadpleeg een jurist voor je iets bouwt.

Privacy is een kant van betrouwbaarheid; inhoudelijke juistheid is de andere. Een AI-model kan met overtuiging onjuiste feiten genereren — dat moet je actief beheersen voor je het op klantcommunicatie loslaat. Zie AI-hallucinatie beheersen in het MKB.

Een concreet voorbeeld van hoe je deze regels toepast op een werkstroom staat in AI in de mailbox: wat mag je automatisch beantwoorden onder de AVG? — met onderscheid tussen interne triage, conceptantwoorden en volautomatische verzending.

Een nuchter eindplaatje

De AVG is geen blokkade voor AI-automatisering. Het is een set randvoorwaarden die overzichtelijk te regelen zijn als je ze voor de bouw vastlegt: rollen, leveranciers, bewaartermijnen, opt-outs. De bedrijven die later in de problemen komen, zijn niet de bedrijven die AI inzetten — het zijn de bedrijven die het inzetten zonder na te denken over wat er met de data gebeurt.

Voor het MKB betekent dat: kies een leverancier die de AVG-kant standaard meeneemt, vraag schriftelijk hoe en waar data wordt verwerkt, en zorg dat menselijke goedkeuring de standaard is voor alles wat impact heeft op een persoon.

Wil je weten of jouw werkstroom een formele risico-analyse vereist? Lees ook DPIA bij AI-automatisering: wanneer en hoe.

Verder lezen

Verwante artikelen.

AI in de mailbox: wat mag je automatisch beantwoorden onder de AVG?

Praktische AVG-uitleg voor AI in de mailbox: wat je veilig kunt automatiseren, waar de risico's zitten en wanneer menselijke goedkeuring nodig blijft.

Chatbot vs AI-assistent: wat heb je nodig?

Wat is het verschil tussen een klassieke chatbot en een AI-assistent op je eigen kennisbase? Gebruik cases, hallucinatierisico en wanneer welke keuze past.

DPIA bij AI-automatisering: wanneer en hoe

Wanneer ben je verplicht een DPIA uit te voeren bij AI-automatisering? Een praktische uitleg van de AVG-verplichting, de stappen en de relatie met AI Act compliance.

Meer lezen

Bekijk de hele kennisbank

Alle artikelen over AI-automatisering voor het MKB op één plek.

Hoe wij dit aanpakken

Onze diensten.

AI-assistenten

Een interne assistent die jouw kennisbank kent, beleid begrijpt en je team direct antwoorden geeft.

Slimme inbox

Inkomende e-mail wordt gefilterd, beantwoord of doorgestuurd — met de juiste context bij elk bericht.

Klaar wanneer jij dat bent

Meer weten over wat dit voor jouw situatie betekent?

Een vrijblijvend gesprek van 30 minuten. We kijken samen waar AI voor jouw organisatie meetbaar verschil maakt — en wat het kost om er te komen.

Of stuur een bericht
Geen verkooppraat · Geen verplichtingen