AI Act vs. GDPR/AVG: Wat jij als ondernemer écht moet weten over AI en datalekken
AI is hot. De gratis ChatGPT-prompts vliegen je om de oren, en iedereen lijkt ineens AI-expert. Maar hoe zit het eigenlijk met de regels? 🤔
Twee Europese wetten steken daar met kop en schouders bovenuit: de AI Act en de GDPR/AVG. Belangrijk? Ja. Maar ook complex. Zeker voor zelfstandige ondernemers (ZZP'ers) die geen juridische dienst op hun speed dial hebben staan.
In deze blog krijg je een helder overzicht van wat deze wetten betekenen, hoe ze elkaar aanvullen én – het belangrijkste – wat jij concreet moet doen om compliant te zijn. Geen juridisch jargon, wél duidelijkheid.
Wat is de AI Act?
De AI Act is een nieuwe Europese wet die focust op veilig en transparant gebruik van AI-systemen. Deze wet kijkt niet alleen naar wat je met data doet, maar ook naar hoe een AI-systeem werkt, wat de risico’s zijn en of het systeem wel betrouwbaar is.
Bijvoorbeeld: gebruik je AI voor medische diagnoses of kredietbeoordelingen? Dan val je onder een streng risiconiveau. Maar ook een simpele chatbot moet straks voldoen aan duidelijke transparantie-eisen.
Belangrijk: AI-geletterdheid is nu al verplicht. Dat betekent dat je als ondernemer moet snappen wat AI is, hoe het werkt, en wat de risico’s zijn.
De AI Act is de allereerste Europese wet die specifiek focust op het gebruik van kunstmatige intelligentie. Het doel? Zorgen dat AI veilig, transparant en in lijn met Europese waarden wordt ingezet.
Wat was de GDPR/AVG ook alweer?
De GDPR (General Data Protection Regulation) of in Nederland AVG (Algemene Verordening Gegevensbescherming) is dé Europese privacywet die bepaalt hoe je met persoonsgegevens moet omgaan.
Alles draait hier om persoonlijke data. Denk aan e-mailadressen, namen, klantgegevens … alles wat terug te leiden is naar een persoon. De regels zijn streng en duidelijk: als jij data verzamelt, moet je precies weten wat je ermee doet, hoe je het beveiligt en waarom je het bewaart.
Gebruik je een AI-tool die toegang heeft tot klantdata? Dan is de GDPR/AVG van toepassing. Punt.
Overeenkomsten en verschillen tussen AI Act en GDPR/AVG
Beide wetten willen dat jij:
- Verantwoord omgaat met technologie
- Transparant bent naar je gebruikers
- Privacy en veiligheid serieus neemt
- Tools gebruikt die je kunt uitleggen én controleren
Gebruik je AI-tools waarin klantdata verwerkt worden? Dan geldt: dubbele compliance. Zowel de AI Act als de GDPR/AVG zijn dan van toepassing. Geen of-of, maar én-én
AI en datalekken – enkele voorbeelden
Veel ondernemers beseffen het nog niet, maar AI-tools kunnen serieuze datalekken veroorzaken.
Enkele voorbeelden:
Je vraagt aan ChatGPT om een e-mail te herschrijven en plakt de originele tekst met naam, adres en situatie van een klant erin.
➡️ Gevaar: De gegevens worden verwerkt door de AI-tool. Als die data wordt opgeslagen of doorgestuurd naar servers buiten de EU, is dat een potentieel datalek onder de GDPR/AVG.
Sommige ondernemers vragen AI-tools om evaluaties of rapporten op te stellen over medewerkers of klanten.
➡️ Gevaar: Je verwerkt gevoelige persoonsgegevens (zoals prestaties, gedrag, of zelfs medische info) zonder dat de persoon in kwestie daar expliciet toestemming voor gaf.
Je gebruikt ChatGPT/ DALL-E, Canva AI of Midjourney en laadt daarin een foto van een klant, van jezelf, een teamlid of familie.
➡️ Gevaar: Je deelt biometrische gegevens, die onder de strengste GDPR/AVG-regels vallen. Zeker als de tool in een niet-EU-land gehost wordt.
Je gebruikt een AI-tool om een Zoom-opname of e-mailcorrespondentie te vertalen of te transcriberen.
➡️ Gevaar: Zonder te controleren waar die gegevens worden verwerkt, geef je mogelijk vertrouwelijke info uit handen. Denk aan afspraken, prijzen, of contractdetails.
Je koppelt AI-tools aan je CRM of boekhoudsysteem, zodat je sneller analyses of klantinzicht krijgt.
➡️ Gevaar: Als je niet weet hoe die tool met jouw data omgaat of ze lokaal vs. extern verwerkt worden, riskeer je een (ongeautoriseerde) data-export. Zorg voor een duidelijke verwerkersovereenkomst!
Je laat CHatGPT jouw evaluatie van een collega (her)schrijven. Zelfs zonder expliciete namen kun je in prompts onbewust herleidbare info geven zoals:
"Schrijf een ontslagbrief voor een medewerker die al 12 jaar op de marketingafdeling werkt en gisteren een klant heeft beledigd."
➡️ Gevaar: Combineerbare data is óók persoonsgegevens. AI-tools kunnen op die manier gevoelige informatie oppikken en verwerken zonder toestemming of noodzaak.
Wat kun je nú doen?
Breng je tools in kaart: welke AI-tools gebruik je en wat doen ze met data?
Check of ze GDPR/AVG-proof zijn: kijk of je gegevens worden verwerkt binnen de EU.
Pas de privacy-instellingen aan: bij tools als ChatGPT kan je kiezen of je data wordt gebruikt om het model te trainen of niet.
Train jezelf in AI-geletterdheid: begrijp hoe AI werkt en waar de risico’s liggen.
Voer menselijke eindcontrole uit: geloof niet blind wat AI zegt, vooral bij gevoelige info.
Investeer in een duidelijk AI-beleid: dat is straks geen luxe meer, maar een vereiste.
Conclusie
AI-tools zijn geen veilige kladblokken. Alles wat je erin stopt, kan (tijdelijk of permanent) verwerkt worden. En als die verwerking niet GDPR/AVG-conform gebeurt? Dan ben jij als ondernemer verantwoordelijk.
Met de AI Compliance Kit word je snel en eenvoudig AI compliant én daar leggen we jou ook uit hoe je jouw privacy voorwaarden AI-proof maakt.
