Een hangslot bovenop een computertoetsenbord als beeld voor gegevensbescherming.
Nieuws14 juli · 12:124 min leestijd

AP publiceert twee nieuwe AVG-richtlijnen voor generatieve AI

De privacytoezichthouder AP brengt twee nieuwe AVG-richtlijnen uit voor generatieve AI: een juridische handreiking voor bouwers van AI-modellen en een praktische checklist voor organisaties die de technologie willen inkopen en verantwoord inzetten.

De Autoriteit Persoonsgegevens publiceert twee nieuwe AVG-richtlijnen voor generatieve AI: een juridische handreiking voor organisaties die AI-modellen bouwen, en een praktische checklist voor organisaties die zulke AI willen inkopen en inzetten.

Voor elke Nederlandse organisatie die generatieve AI bouwt of aanschaft, verschuift dit de aanpak van gokken naar afvinken. De AP vertaalt haar eerdere visie op generatieve AI naar concrete stappen: welke grondslag je nodig hebt, welke waarborgen, en als eerste vraag of je de tool überhaupt kunt gebruiken zonder persoonsgegevens te verwerken. Wie dat niet vooraf regelt, loopt hetzelfde risico als de gemeente die haar Copilot-uitrol door de toezichthouder onrechtmatig zag verklaren.

Twee documenten, twee doelgroepen

De eerste publicatie is een handreiking die beschrijft hoe je generatieve AI-modellen rechtmatig ontwikkelt en in gebruik neemt. Ze is bedoeld voor organisaties die zulke modellen bouwen of verantwoordelijk zijn voor de ingebruikname, en geeft een eerste interpretatie van de AVG. Concreet gaat het over de voorwaarden waaronder je persoonsgegevens mag verwerken, welke grondslagen kunnen gelden en welke waarborgen de rechten van betrokkenen beschermen. Ook het beheren, opschonen, verrijken en bewaren van data komt aan bod, net als indirecte dataverzameling en het gebruik van persoonsgegevens bij het trainen van modellen.

Het tweede document is een checklist waarmee organisaties stap voor stap beoordelen of ze generatieve AI willen, kunnen en mogen inzetten. Die is gemaakt voor privacyprofessionals, projectleiders en anderen die verantwoordelijk zijn voor een aanschaf. Het advies van de AP begint bij een nuchtere vraag: onderzoek eerst of je de tool kunt gebruiken zonder persoonsgegevens te verwerken. Is dat wel nodig, dan helpt de checklist om vanaf het begin te bepalen welke AVG-verplichtingen gelden en welke technische en organisatorische maatregelen erbij horen. Voor wie het gebruik van AI-tools intern wil vastleggen, sluit dat aan op het opstellen van een AI-toolbeleid dat shadow-AI tegengaat en aan de AVG voldoet.

Katja Mur, bestuurslid van de AP, vat de toon samen: generatieve AI verhoogt de productiviteit, maar dezelfde versnelling geldt voor de omvang en ernst van de risico’s. Innovatie is welkom, maar wel voorzien van stevige vangrails, zegt ze.

De Copilot-zaak laat de lat zien

Hoe streng die lat is, blijkt uit een advies dat de AP tegelijk publiceerde. De gemeente Haarlemmermeer vroeg een voorafgaande raadpleging aan over de inzet van Microsoft 365 Copilot. De conclusie: de voorgenomen verwerking zou inbreuk maken op de AVG. Om dat te voorkomen moet de gemeente extra maatregelen nemen, bijvoorbeeld medewerkers voldoende opleiden, en meer duidelijkheid van Microsoft zien te krijgen. Werkt Microsoft onvoldoende mee, dan kan de gemeente Copilot niet rechtmatig gebruiken.

Dat is geen randgeval. Copilot en ChatGPT staan bij talloze Nederlandse organisaties al aan, vaak zonder dat iemand de grondslag of de dataroute heeft vastgelegd. Het advies laat zien dat een breed uitgerolde, alledaagse tool bij een zorgvuldige toets alsnog onrechtmatig kan blijken, en dat de verantwoordelijkheid bij de gebruikende organisatie ligt, niet bij de leverancier.

De lijn wordt strakker

De richtlijnen zetten een lijn voort die de toezichthouder de afgelopen maanden strakker trok. Twee weken geleden waarschuwde vertrekkend AP-voorzitter Aleid Wolfsen dat gegevens die je in een publieke chatbot plakt er nooit meer uitkomen; nu ligt er het kader waarmee organisaties dat risico kunnen beheersen. De onderliggende boodschap blijft dezelfde: de AVG verbiedt AI niet, maar het risico zit niet in het model, maar in hoe je je data beheert. Wie de handreiking en de checklist naast zijn eigen AI-plannen legt, weet nu waar de toezichthouder straks naar kijkt.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

AI die de AVG aankan

Van de eerste grondslagvraag tot een werkend systeem: ik denk mee, ontwerp en bouw generatieve AI die persoonsgegevens netjes binnen je eigen muren houdt, self-hosted waar dat kan.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Gerelateerde artikelen

AI-toolbeleid opstellen voor je bedrijf: van goedgekeurde lijst tot AVG-conforme gebruiksregels
Gids
9 min

26 jun 21:02

AI-toolbeleid opstellen voor je bedrijf: van goedgekeurde lijst tot AVG-conforme gebruiksregels

Je mensen gebruiken al AI, met of zonder toestemming. Zo stel je een werkbaar AI-toolbeleid op: breng het gebruik in kaart, kies goedgekeurde tools, leg vast welke data erin mag en rol het uit zonder weerstand.

Vertrekkend AP-baas Wolfsen: gegevens die je in chatbots gooit, krijg je er nooit meer uit
Nieuws
5 min

29 jun 12:44

Vertrekkend AP-baas Wolfsen: gegevens die je in chatbots gooit, krijg je er nooit meer uit

Afzwaaiend privacytoezichthouder Aleid Wolfsen waarschuwt dat persoonsgegevens in chatbots permanent buiten bereik raken. Voor elk bedrijf dat ChatGPT inzet, is dat een direct AVG-beslismoment.

Welke privacy-veilige AI-chatbot voor je MKB: Proton Lumo, Mistral Le Chat of zelf hosten
Gids
Uitgebreide gids11 min

8 jul 09:00

Welke privacy-veilige AI-chatbot voor je MKB: Proton Lumo, Mistral Le Chat of zelf hosten

Geen bedrijfsdata bij Amerikaanse AI, maar welke Europese of self-hosted route past bij jou? Een koperskeuzegids die Proton Lumo, Mistral Le Chat en zelf hosten afweegt op prijs, EU-databodem en beheerslast.

Digitale soevereiniteit is in Den Haag van praat een breekijzer geworden
Signaal
6 min

5 jul 14:54

Digitale soevereiniteit is in Den Haag van praat een breekijzer geworden

In zes weken blokkeerde de staat een Amerikaanse overname, trok DigiD naar een eigen cloud en koos Europees voor zijn supercomputer. Los is het beleid, samen laat het zien dat soevereiniteit van ambitie een instrument werd.

Vier zaken, één beweging: de AP neemt de datastromen van het AI-tijdperk onder handen
Signaal
6 min

4 jul 18:06

Vier zaken, één beweging: de AP neemt de datastromen van het AI-tijdperk onder handen

Uber, Yango, Odido, tien gemeenten. Los zijn het losse boetes, samen laten ze zien hoe de Autoriteit Persoonsgegevens de datastromen van het AI-tijdperk onder handen neemt. En waar dat jou raakt.

Proton lanceert Lumo 2.0: privacy-chatbot moet ChatGPT en Copilot evenaren
Nieuws
4 min

1 jul 00:29

Proton lanceert Lumo 2.0: privacy-chatbot moet ChatGPT en Copilot evenaren

Proton lanceert Lumo 2.0, een flink krachtigere AI-chatbot die op Europese servers draait onder Zwitsers privacyrecht en zo een concreet, betaalbaar alternatief biedt voor ChatGPT en Copilot.