AVG-checklist voor dagelijks AI-gebruik

De Autoriteit Persoonsgegevens heeft in 2024 voor het eerst boetes uitgedeeld voor onzorgvuldig AI-gebruik. Toch weten de meeste medewerkers niet eens dat de AVG ook geldt wanneer ze tekst in ChatGPT typen. Hieronder vind je een praktische checklist om direct te controleren of je AVG-compliant werkt met AI.

Waarom de AVG belangrijk is bij AI-gebruik

Veel medewerkers realiseren zich niet dat het invoeren van tekst in een AI-tool een vorm van dataverwerking is. Als die tekst persoonsgegevens bevat, namen, e-mailadressen, gezondheidsdata, financiële informatie, dan is de AVG van toepassing.

De gevolgen van niet-naleving zijn serieus:

• Boetes tot €20 miljoen of 4% van de jaarlijkse wereldwijde omzet
• Reputatieschade bij een datalek
• Verlies van klantvertrouwen
• Juridische aansprakelijkheid voor individuele medewerkers

Expert tip: Maak een sneltoets of tekstexpander die automatisch je anonimiseringstemplate invoegt voordat je tekst in een AI-tool plakt. Dit maakt AVG-compliant werken een automatisme in plaats van een extra stap.

De kern van de AVG in drie zinnen

1. Je mag alleen persoonsgegevens verwerken als je daar een geldige reden (grondslag) voor hebt
2. Je moet zo min mogelijk gegevens verwerken (dataminimalisatie)
3. Je moet gegevens adequaat beschermen tegen onbevoegde toegang

De dagelijkse AVG-checklist

Gebruik dit model samen met onze AVG-checklist voor dagelijks AI-gebruik elke keer dat je AI-tools gebruikt met werkgerelateerde informatie.

Checklist vóór het invoeren

✅ Stap 1: Bevat mijn input persoonsgegevens?

Controleer of je tekst een van de volgende bevat:

• Namen van personen
• E-mailadressen of telefoonnummers
• Adressen of locatiegegevens
• BSN of identiteitsdocumentnummers
• Financiële gegevens (rekeningnummers, salarissen)
• Gezondheidsgegevens
• Foto's of afbeeldingen van personen
• Andere informatie die direct of indirect naar een persoon leidt

Als het antwoord "ja" is → ga naar stap 2. Als "nee" → ga naar stap 4.

✅ Stap 2: Kan ik de data anonimiseren?

Vervang persoonsgegevens door fictieve of generieke alternatieven:

| Origineel | Geanonimiseerd |

|---|---|

| Jan de Vries | Medewerker A |

| [email protected] | [e-mailadres] |

| Klantnummer 12345 | Klantnummer [XXXX] |

| Salaris €65.000 | Salaris in schaal [X] |

Als anonimisering mogelijk is → anonimiseer en ga naar stap 4.

Als anonimisering niet mogelijk is → ga naar stap 3.

✅ Stap 3: Heb ik een grondslag en toestemming?

Als je persoonsgegevens niet kunt anonimiseren, heb je een geldige AVG-grondslag nodig:

• Gerechtvaardigd belang, Kun je aantonen dat de verwerking noodzakelijk is?
• Toestemming, Heeft de betrokken persoon toestemming gegeven?
• Overeenkomst, Is het noodzakelijk voor de uitvoering van een contract?

Belangrijke vuistregel: Als je twijfelt, voer de data dan niet in. Overleg met je privacy-officer.

✅ Stap 4: Gebruik ik een goedgekeurde tool?

Controleer:

• Is de AI-tool goedgekeurd door je organisatie?
• Heeft je organisatie een verwerkersovereenkomst met de aanbieder?
• Worden de gegevens verwerkt binnen de EU/EER of in een land met adequaat beschermingsniveau?
• Gebruikt de aanbieder je data niet voor modeltraining? (controleer de instellingen)

✅ Stap 5: Sla ik de output veilig op?

Als de AI-output persoonsgegevens bevat:

• Sla het op in een beveiligde omgeving (niet op je bureaublad of in je downloads-map)
• Beperk de toegang tot wie het nodig heeft
• Verwijder het wanneer het niet meer nodig is

Specifieke scenario's

Scenario 1: E-mails samenvatten met AI

Fout: Je plakt een volledige e-mailthread in ChatGPT, inclusief namen, e-mailadressen en bedrijfsgegevens van klanten.

Goed: Je verwijdert eerst alle persoonsgegevens en vervangt namen door rollen. "De klant gaf aan dat..." in plaats van "Jan de Vries van Bedrijf X schreef dat..."

Scenario 2: Vergadernotities verwerken

Fout: Je uploadt de volledige notulen met alle namen, standpunten en actiepunten naar een AI-tool.

Goed: Je anonimiseert de deelnemers en verwijdert gevoelige besluiten die niet in een externe tool thuishoren. Of je gebruikt een AI-tool met een verwerkersovereenkomst.

Scenario 3: CV's screenen

Fout: Je uploadt CV's van sollicitanten naar een gratis AI-tool om ze te analyseren.

Goed: Je gebruikt een door je organisatie goedgekeurde recruitment-tool met AVG-waarborgen. Of je typt handmatig de relevante (geanonimiseerde) kwalificaties over om advies te vragen.

Scenario 4: Klantvragen beantwoorden

Fout: Je plakt de volledige klanthistorie in een AI-tool om een antwoord te genereren.

Goed: Je beschrijft de situatie in algemene termen: "Een klant heeft last van [probleem] bij [productcategorie]. Wat zijn mogelijke oplossingen?" zonder identificeerbare gegevens.

Expert tip: Gebruik de "krantenkop-test": als je niet zou willen dat de ingevoerde data morgen op de voorpagina van het NRC staat, voer het dan niet in een AI-tool in. Deze simpele check voorkomt 90% van de AVG-incidenten.

Rechten van betrokkenen

Vergeet niet dat personen rechten hebben onder de AVG. Als je hun gegevens in AI-tools hebt ingevoerd, moet je kunnen:

1. Informeren, Betrokkenen vertellen dat je hun gegevens hebt verwerkt met AI
2. Inzage geven, Laten zien welke gegevens je hebt ingevoerd
3. Verwijderen, Gegevens verwijderen op verzoek (let op: bij de meeste AI-tools kun je de chathistorie verwijderen)
4. Bezwaar aanbieden, Betrokkenen kunnen bezwaar maken tegen verwerking

Praktische tips

Tip 1: Maak een "anonimiseer-voor-AI" routine

Maak er een gewoonte van om tekst eerst in een apart document te plakken, persoonsgegevens te verwijderen, en dan pas in de AI-tool te plakken.

Tip 2: Gebruik de enterprise-versie

De zakelijke versies van AI-tools (ChatGPT Enterprise, Claude for Business) bieden betere privacy-garanties en gebruiken je data niet voor modeltraining.

Tip 3: Controleer de instellingen

Bij veel AI-tools kun je instellen dat je gegevens niet worden gebruikt voor training. Controleer dit bij elke nieuwe tool die je gebruikt.

Tip 4: Documenteer je gebruik

Houd bij welke AI-tools je gebruikt en waarvoor. Dit helpt bij een eventuele audit en bij het actueel houden van je verwerkingsregister.

Tip 5: Bij twijfel, niet doen

Als je twijfelt of je bepaalde data in een AI-tool mag invoeren, doe het dan niet. Overleg met je privacy-officer of gebruik een veilig alternatief.

Direct toepassen

Print deze checklist uit of sla hem op als bookmark. Loop de vijf stappen langs bij je eerstvolgende AI-interactie. Lees ook ons uitgebreide overzicht van welke data je wel en niet mag delen met AI. Het kost slechts 30 seconden extra, maar beschermt je organisatie tegen aanzienlijke risico's.

Lees ook

• Welke data mag je wel en niet delen met AI?
• Gevoelige data en AI-tools: do's en don'ts
• AI-beleid voor je organisatie: praktisch template

Veelgestelde vragen

Is ChatGPT AVG-compliant?

De gratis versie van ChatGPT gebruikt standaard je invoer voor modeltraining, wat problematisch is voor persoonsgegevens. ChatGPT Enterprise en Team bieden betere waarborgen en een verwerkersovereenkomst. Gebruik voor zakelijk gebruik altijd een betaald plan, schakel de trainingsoptie uit, en voer nooit persoonsgegevens in zonder anonimisering.

Mag je AI gebruiken voor het verwerken van klantdata?

Alleen als je een geldige AVG-grondslag hebt, de data geanonimiseerd is, en je een goedgekeurde AI-tool met verwerkersovereenkomst gebruikt. In de praktijk is het het veiligst om klantdata altijd te anonimiseren voordat je het in een AI-tool invoert. Beschrijf de situatie in algemene termen zonder namen, nummers of andere identificeerbare gegevens.

Wat moet ik documenteren over mijn AI-gebruik voor de AVG?

Leg vast welke AI-tools je organisatie gebruikt, waarvoor ze worden ingezet, welke data wordt ingevoerd, en welke verwerkersovereenkomsten er zijn. Neem AI-tools op in je verwerkingsregister en documenteer de uitkomst van een Data Protection Impact Assessment (DPIA) als je structureel persoonsgegevens verwerkt. Bewaar ook de instellingen die je hebt geconfigureerd, zoals het uitschakelen van training op je data.