Alisina Nawabi"Doe maar geen AI op onze klantdata, dat is veel te gevoelig." Ik hoor die zin vaker dan me lief is, en hij klopt van geen kant. Niet omdat AI ongevaarlijk is, maar omdat de conclusie de verkeerde is. Het AVG-risico zit zelden in het model. Het zit in de rommelige manier waarop veel organisaties al jaren met persoonsgegevens omgaan, en een AI-systeem maakt die rommel alleen zichtbaar en schaalbaar.
Mijn stelling is simpel: bedrijven die AI loslaten op klantdata onderschatten structureel hun AVG-risico, maar de oplossing is niet minder AI. De oplossing is betere datascheiding, scherpe doelbinding en sluitende verwerkersovereenkomsten, vanaf het ontwerp en niet als pleister achteraf.
De AVG veranderde niet, je blootstelling wel
De AVG bestaat sinds 2018 en is sindsdien geen letter veranderd door de komst van generatieve AI. Een chatbot die klantvragen beantwoordt, een model dat e-mails samenvat, een zoekfunctie die door je CRM graait: het zijn allemaal gewoon verwerkingen van persoonsgegevens. De Autoriteit Persoonsgegevens is daar onverbiddelijk over: wie persoonsgegevens verwerkt met een algoritme, moet onverkort aan de AVG voldoen, met een grondslag, een doel en de gebruikelijke waarborgen.
Wat AI wél verandert, is je blootstelling. Een mens die een dossier opvraagt raakt één record aan. Een AI-pijplijn raakt in één run je hele klantenbestand aan, kopieert het naar een vectordatabase, stuurt fragmenten naar een model van een Amerikaanse leverancier en logt de tussenstappen. Dezelfde slordigheid die jaren onzichtbaar bleef in een mappenstructuur, wordt met AI ineens een geautomatiseerde lek op schaal. Het probleem is niet nieuw. Het wordt alleen vele malen sneller en groter.
Waar het in de praktijk misgaat
Doelbinding (purpose limitation) is het principe dat je persoonsgegevens alleen gebruikt voor het doel waarvoor je ze hebt verzameld. Het is de regel die bij AI als eerste sneuvelt, omdat data die ooit voor facturatie of support binnenkwam plots dient als trainings- of zoekvoer. In de praktijk concentreert het AVG-risico zich op vijf plekken:
- Trainingsdata: klantdata gebruiken om een model bij te trainen of te finetunen is een nieuw verwerkingsdoel waarvoor je oorspronkelijke grondslag bijna nooit dekt. Het klakkeloos scrapen van persoonsgegevens van het internet als trainingsvoer kent vrijwel nooit een geldige grondslag, oordeelt de toezichthouder.
- Chatbot-inputs: medewerkers en klanten plakken moeiteloos NAW-gegevens, medische details of contractinformatie in een prompt. Komt die input bij een externe dienst terecht die erop traint, dan ben jij de verantwoordelijke die dat had moeten voorkomen, en die het bovendien onder de transparantieplicht uit artikel 50 van de AI Act moet melden.
- RAG op HR- en klantdata: een zoeksysteem dat antwoorden ophaalt uit je personeels- of klantbestand is krachtig, maar het zet ook alle gevoelige data bij elkaar in één doorzoekbare index. Dat is precies het soort geconcentreerde buit waar AI-gedreven aanvallen steeds vaker op mikken, zoals bij de Odido-datalek.
- Logging en prompts: prompts, antwoorden en tussenstappen worden standaard gelogd, vaak met persoonsgegevens erin, op plekken die niemand als persoonsgegevens-opslag beschouwt. Het is het zichtbaarheidsgat dat ontstaat als AI-agents data aanraken buiten je reguliere monitoring om.
- Modellen van derden: zodra je een API van een externe aanbieder aanroept, deel je persoonsgegevens met een verwerker. Zonder verwerkersovereenkomst, en zonder zicht op waar de data landt, is dat een AVG-overtreding op zichzelf.
De oplossing is meer discipline, niet minder AI
Het verleidelijke antwoord is: dan doen we het gewoon niet. Maar dat is bang zijn voor het verkeerde. De vijf risico’s hierboven zijn geen AI-problemen, het zijn datahuishouding-problemen die AI uitvergroot. En ze zijn stuk voor stuk oplosbaar met ontwerpkeuzes, niet met onthouding.
Wat werkt is datascheiding: gevoelige velden maskeren of pseudonimiseren voordat ze het model bereiken, zodat het systeem zijn werk doet zonder dat namen en BSN’s ooit de deur uitgaan. Wat werkt is doelbinding by design: per AI-toepassing vastleggen welk doel en welke grondslag erbij hoort, en de datastroom daarop inrichten. En wat werkt is grip op je verwerkers: een verwerkersovereenkomst met elke modelaanbieder, of, waar de data écht gevoelig is, een open-weight model dat je self-hosted in eigen beheer draait zodat er helemaal geen data naar buiten gaat.
Dat dit geen kwestie is van alles verbieden, bevestigt de wetgever zelf. De Europese Commissie bevestigde eind 2025 dat je AI-modellen mág trainen en inzetten op persoonsgegevens op basis van gerechtvaardigd belang, mits je de balanstest doorstaat, dataminimalisatie toepast en het recht van bezwaar respecteert. Met andere woorden: de ruimte ís er. De flessenhals is niet de regelgeving, maar of je je data-architectuur op orde hebt. Voor het concrete stappenwerk hoef je het wiel niet zelf uit te vinden; daarvoor is er een praktisch stappenplan om als MKB aan de AI Act te voldoen. Dit stuk gaat over de keuze ervóór: of je AI durft in te zetten, en hoe je dat verantwoord doet.
"Maar de regels versoepelen toch?"
Het sterkste tegenargument is dat dit allemaal soepeler wordt. En dat is deels waar: het Europees Parlement keurde de AI Omnibus goed en verzwakte daarmee rechtenwaarborgen nog voordat ze gingen gelden, en het Digital Omnibus-voorstel schrijft gerechtvaardigd belang voor AI-training expliciet in de AVG. Wie nu investeert in strakke datadiscipline, zou zomaar voor niets streng kunnen zijn.
Dat is een denkfout. Versoepeling schrapt de balanstest niet, schrapt het recht van bezwaar niet en schrapt dataminimalisatie niet. Een soepelere tekst betekent niet dat de verplichting verdwijnt, alleen dat de lat iets anders ligt. En de handhaving is springlevend: de Italiaanse toezichthouder gaf OpenAI een boete van 15 miljoen euro voor het verwerken van gebruikersdata zonder geldige grondslag, en chatbot DeepSeek werd in Italië geblokkeerd nadat die geen opheldering gaf over dataverwerking. Bovendien is de boete niet eens het grootste risico. Reputatieschade, een klant die zijn verwerkersovereenkomst opvraagt en niets aantreft, een datalek dat de voorpagina haalt: dat raakt je harder dan een sanctie. Wie zijn dataschoonheid ophangt aan de minimaal verplichte lat, bouwt op drijfzand.
Tot slot
De bedrijven die AI verstandig inzetten, zijn niet de bedrijven die het hardst op de rem trapten. Het zijn de bedrijven die hun datahuishouding op orde brachten voordat ze het model erop loslieten. Doelbinding, scheiding en grip op je verwerkers zijn geen rem op innovatie, het is de goedkoopste verzekering die er is, en je betaalt hem het liefst vooraf in ontwerpkeuzes in plaats van achteraf in boetes en verloren vertrouwen. AVG-risico is geen reden om AI te mijden. Het is een reden om je data eindelijk serieus te nemen.
