AI in je organisatie? Dit moet de Privacy Officer regelen

AI is inmiddels verweven met tal van processen binnen organisaties. Het wordt toegepast in recruitmenttools, kredietbeoordelingen, chatbots, spamfilters en zelfs medische analyses. Organisaties zetten AI in om sneller beslissingen te nemen, efficiënter te werken en beter te kunnen voorspellen. Het gebruik van AI vraagt daarbij om aandacht voor risico’s zoals discriminatie door bias in datasets, beperkte transparantie in besluitvorming, fouten met grote impact en systemen die moeilijk te controleren of uit te leggen zijn. In deze context vervult de Privacy Officer een belangrijke rol. De Privacy Officer draagt eraan bij dat technologische vernieuwing zorgvuldig, controleerbaar en verantwoord wordt ingericht en toegepast binnen de organisatie.

 

Wat is eigenlijk een AI-systeem?

De term AI-systeem wordt vaak breed gebruikt. De AI-Act geeft er een juridische definitie aan. Volgens de AI Act is een AI-systeem:

‘Een op een machine gebaseerd systeem dat met verschillende niveaus van autonomie werkt, zich na inzet kan aanpassen en op basis van input output genereert, zoals voorspellingen, aanbevelingen of beslissingen, die invloed hebben op fysieke of virtuele omgevingen.

In gewone taal:

Een AI-systeem is een computersysteem dat data analyseert, patronen herkent en op basis daarvan voorspellingen of beslissingen doet. Soms kan het systeem leren van nieuwe data en zich aanpassen, waardoor het steeds nauwkeuriger wordt.

Een herkenbaar voorbeeld: spamfilters

Een spamfilter in je e-mail is een herkenbaar voorbeeld van AI.

  • Het is een machinegebaseerd systeem (software).
  • Het analyseert data (de inhoud van e-mails).
  • Het herkent patronen (woorden, afzenders, structuren).
  • Het genereert output (spam of geen spam).
  • Het leert van gebruikersfeedback (markeren als spam).

Op het eerste gezicht lijkt dit misschien onschuldig. Hetzelfde mechanisme wordt echter ook toegepast bij kredietbeoordelingen, sollicitatieselectie en fraudedetectie, waar de gevolgen aanzienlijk groter zijn. In zulke toepassingen kan een geautomatiseerde beslissing directe invloed hebben op iemands baan, financiële positie of reputatie. AI draait daarom niet uitsluitend om technologie of efficiëntie. Het gaat om besluitvorming die mensen direct raakt en die we daarom zorgvuldig, transparant en verantwoord moeten inzetten.

 

Waarom is AI anders dan ‘gewone’ gegevensverwerking?

Bij traditionele verwerking stel je vragen als:

  • Hebben we een rechtsgrond?
  • Verwerken we niet te veel data?
  • Is alles goed beveiligd?

Bij AI komen daar extra vragen bij:

  • Is het systeem eerlijk?
  • Zit er bias in de trainingsdata?
  • Kunnen we uitleggen hoe een beslissing tot stand komt?
  • Wat als het systeem zich na verloop van tijd anders gaat gedragen?

AI voegt een nieuwe dimensie toe aan gegevensverwerking: systemen kunnen zelfstandig patronen herkennen, conclusies trekken en zich aanpassen op basis van nieuwe data. Daarmee ontstaat meer autonomie en leervermogen dan bij traditionele software.

Juist die zelflerende en deels autonome werking vraagt om extra governance. Duidelijke kaders, toezicht, documentatie en periodieke controle zijn nodig om grip te houden op de werking, de uitkomsten en de risico’s van AI-systemen.

 

AVG en AI Act: hoe werken ze samen?

De AVG beschermt persoonsgegevens en geeft mensen rechten, zoals:

  • op inzage van je persoonsgegevens;
  • je persoonsgegevens aan te passen (rectificatie);
  • je persoonsgegevens te wissen (vergetelheid);
  • de verwerking van je persoonsgegevens te beperken;
  • je persoonsgegevens over te hevelen (dataportabiliteit);
  • bezwaar te maken tegen het gebruik van je persoonsgegevens;
  • menselijke tussenkomst bij besluitvorming en profilering.

Artikel 22 AVG beschermt mensen tegen uitsluitend geautomatiseerde besluitvorming met rechtsgevolgen.

De AI-Act hanteert een bredere benadering en werkt met een risicogebaseerd systeem, waarbij de verplichtingen toenemen naarmate de impact van een AI-toepassing groter is. Denk daarbij aan:

  • Minimale risico’s → lichte verplichtingen
  • Beperkte risico’s → transparantie-eisen
  • Hoog-risico AI → zware compliance-eisen

 

Bij hoog-risico AI moet je denken aan:

  • Verplichte risicobeoordelingen;
  • Mogelijk een FRIA (Fundamental Rights Impact Assessment);
  • Menselijk toezicht;
  • Strenge documentatie;
  • Incidentmeldingsprocedures.

 

Waar de AVG primair het individu beschermt tegen onrechtmatige of volledig geautomatiseerde besluitvorming, legt de AI-Act de verantwoordelijkheid nadrukkelijk bij de organisaties zelf. De AI-Act verplicht organisaties om al vóór ingebruikname van een AI-systeem controlemechanismen, risicobeoordelingen en waarborgen in te bouwen. Het accent verschuift daarmee van reageren op individuele klachten naar het vooraf structureel organiseren van toezicht, documentatie en risicobeheersing.

 

Wat moet een Privacy Officer concreet regelen?
  1. Risico’s vóór het gebruik van AI in kaart brengen

AI mag niet ‘even getest’ worden zonder kader.

De Privacy Officer moet toetsen:

  • Is dit een AI-systeem volgens de AI Act?
  • In welke risicocategorie valt het?
  • Is een DPIA verplicht?
  • Is een FRIA nodig?
  • Welke fundamentele rechten kunnen worden geraakt?

Zonder inzicht is effectieve controle simpelweg niet mogelijk.

 

  1. Doel en rechtsgrond scherp krijgen

In de praktijk starten AI-projecten vaak vanuit de vraag wat er mogelijk is met de beschikbare data. Juridisch gezien moet het vertrekpunt echter liggen bij het doel van de verwerking. Eerst moet duidelijk zijn welk concreet en expliciet doel wordt nagestreefd. Daarna volgt de vraag welke gegevens zijn daarvoor daadwerkelijk noodzakelijk of is er een geldige rechtsgrond aanwezig en of wordt de data niet voor andere doeleinden wordt hergebruikt. Ook bij de inzet van AI blijven doelbinding en dataminimalisatie fundamentele uitgangspunten.

 

  1. Transparantie organiseren

Mensen moeten weten wanneer zij met AI te maken hebben, welke gegevens daarbij worden gebruikt en op hoofdlijnen hoe besluiten tot stand komen. Alleen met duidelijke en begrijpelijke uitleg kunnen zij hun rechten daadwerkelijk uitoefenen. Zonder transparantie blijven die rechten in de praktijk vaak theoretisch.

 

  1. Rechten van betrokkenen mogelijk maken

Wanneer iemand door een AI-systeem wordt afgewezen, moet het mogelijk zijn om inzicht te krijgen in de gebruikte persoonsgegevens, onjuiste gegevens te laten corrigeren en waar passend of mogelijk gegevens te laten verwijderen. Daarnaast moet er ruimte zijn voor een menselijke heroverweging van het besluit. Juist in dit soort situaties is artikel 22 van de AVG van groot belang.

 

  1. Bias en datakwaliteit serieus nemen

AI-systemen leren op basis van historische data, en die data kan bestaande vooroordelen of ongelijkheden bevatten. Dat vergroot het risico op discriminatie of ongewenste uitkomsten. De Privacy Officer moet daarom stimuleren dat trainingsdata zorgvuldig wordt gecontroleerd, dat systemen worden getest op mogelijke discriminatie en dat uitkomsten periodiek worden gemonitord. Daarnaast moet het mogelijk zijn om tijdig in te grijpen wanneer ongewenste effecten optreden. Privacy raakt hier direct aan de bescherming van fundamentele rechten.

 

  1. Beveiliging opschalen

AI-systemen kennen specifieke beveiligingsrisico’s, zoals manipulatie van trainingsdata, onbevoegde toegang tot modellen en onbedoeld gedrag van zelflerende systemen. Dat vraagt om meer dan alleen de gebruikelijke technische en organisatorische maatregelen. Structurele logging en monitoring, strikte toegangscontrole en duidelijke incidentprocedures zijn belangrijk om grip te houden op de werking van het systeem. Beveiliging bij AI is daarmee geen eenmalige inrichting, maar een doorlopend proces van toezicht en bijsturing.

 

  1. Alles kunnen uitleggen en aantonen

De belangrijkste vraag is uiteindelijk of we kunnen aantonen dat het AI-systeem verantwoord is ingericht. Dat vraagt om goede documentatie, vastgelegde risicobeoordelingen, duidelijke governance en periodieke evaluatie. Compliance betekent niet alleen dat je grip hebt op het systeem, maar ook dat je kunt bewijzen dat je die grip daadwerkelijk hebt.

 

De nieuwe rol van de Privacy Officer

Bij AI is de Privacy Officer geen controleur die alleen achteraf toetst of regels worden nageleefd. Het is ook geen rem op innovatie. Integendeel: een goede Privacy Officer denkt vanaf het begin mee, zodat technologische vernieuwing verantwoord en toekomstbestendig kan worden ingezet. De Privacy Officer opereert midden in het speelveld, in nauwe samenwerking met IT, data-specialisten, juristen en bestuur. Juist bij AI-toepassingen, waar technologie, ethiek en regelgeving samenkomen, is die verbindende en adviserende rol erg belangrijk.

De rol is juist die van risico-analist en sparringpartner voor IT en bestuur. Iemand die fundamentele rechten bewaakt en de brug slaat tussen techniek en wetgeving.

 

Het belang van AI-geletterdheid

Organisaties zijn op grond van de AI Act verplicht om actief te zorgen voor voldoende AI-geletterdheid binnen hun organisatie, zodat medewerkers die met AI-systemen werken begrijpen wat deze systemen doen, welke risico’s eraan verbonden zijn en hoe zij daar verantwoord mee moeten omgaan. Medewerkers die met AI-systemen werken, moeten begrijpen wat AI is, welke risico’s daarbij horen en hoe ze deze systemen verantwoord inzetten. AI-governance werkt alleen als mensen weten wat ze doen. AVG-trainingen ondersteunt daarbij met een complete e-learningoplossing, met thema’s over onder andere:

  • AI-awareness
  • Security
  • Privacy
  • Phishing

Zo wordt compliance niet alleen een papieren werkelijkheid, maar een onderdeel van de dagelijkse praktijk.

Veelgestelde vragen

Wat is volgens de AI Act een AI-systeem?

Volgens de AI Act is een AI-systeem een op een machine gebaseerd systeem dat met een zekere mate van autonomie werkt, zich na inzet kan aanpassen en op basis van input output genereert, zoals voorspellingen, aanbevelingen of beslissingen. Denk aan recruitmenttools, kredietbeoordelingen of spamfilters die leren van data en zelfstandig conclusies trekken.

Wanneer valt een AI-toepassing onder de AVG?

Zodra een AI-systeem persoonsgegevens verwerkt, is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er een geldige rechtsgrond moet zijn, dataminimalisatie moet worden toegepast en betrokkenen hun rechten moeten kunnen uitoefenen, zoals inzage, correctie en bezwaar.

Wat is het verschil tussen de AVG en de AI Act?

De AVG beschermt vooral persoonsgegevens en individuele rechten. De AI Act werkt risicogebaseerd en stelt aanvullende eisen aan organisaties die AI ontwikkelen of inzetten, vooral bij hoog-risico toepassingen. Waar de AVG focust op gegevensbescherming, richt de AI Act zich breder op veiligheid, transparantie en fundamentele rechten bij AI-systemen.

Wanneer is een DPIA verplicht bij AI?

Een DPIA (Data Protection Impact Assessment) is verplicht wanneer een AI-systeem waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van personen. Dit is bijvoorbeeld het geval bij grootschalige profiling, geautomatiseerde besluitvorming of het gebruik van gevoelige gegevens.

Wat is artikel 22 AVG en waarom is dat belangrijk bij AI?

Artikel 22 van de Algemene verordening gegevensbescherming geeft mensen het recht om niet uitsluitend te worden onderworpen aan geautomatiseerde besluitvorming met rechtsgevolgen. Bij AI betekent dit dat er vaak recht is op menselijke tussenkomst, uitleg over het besluit en de mogelijkheid om het besluit aan te vechten.

Wat is hoog-risico bij AI?

Onder de AI Act vallen bepaalde toepassingen in de categorie “hoog-risico”, zoals AI in werving en selectie, kredietbeoordeling, onderwijs, kritieke infrastructuur en medische toepassingen. Voor deze systemen gelden strenge eisen zoals risicobeoordelingen, documentatie, menselijk toezicht en incidentmeldingen.

Moet je medewerkers trainen als je AI gebruikt?

Ja. De AI Act verplicht organisaties om te zorgen voor voldoende AI-geletterdheid. Medewerkers moeten begrijpen hoe AI-systemen werken, welke risico’s eraan verbonden zijn en hoe zij verantwoord met deze systemen omgaan. AI-governance werkt alleen als kennis en bewustzijn op orde zijn.

Wat moet een Privacy Officer concreet vastleggen bij AI?

Een Privacy Officer moet onder meer documenteren:

  • de risicoclassificatie van het AI-systeem;

  • uitgevoerde DPIA’s of FRIA’s;

  • de rechtsgrond en het doel van verwerking;

  • transparantie-informatie richting betrokkenen;

  • maatregelen tegen bias en discriminatie;

  • beveiligingsmaatregelen en monitoring;

  • procedures voor menselijke heroverweging.

Goede documentatie is essentieel om te kunnen aantonen dat het AI-systeem verantwoord is ingericht.

Mag je AI “even testen” met echte persoonsgegevens?

Nee, niet zonder kader. Ook testfases zijn verwerkingen onder de AVG. Dat betekent dat er een rechtsgrond moet zijn, risico’s vooraf moeten worden beoordeeld en passende beveiligingsmaatregelen moeten zijn ingericht.

Waarom is bias bij AI een privacy- en compliancevraagstuk?

AI leert van historische data. Als die data vooroordelen bevat, kan het systeem discriminerende uitkomsten produceren. Dat raakt direct aan fundamentele rechten. De Privacy Officer moet daarom toezien op datakwaliteit, periodieke controles en corrigerende maatregelen.

Deel dit artikel via:

Gerelateerde artikelen

Menu