AI en de AVG: waarom we opeens zo kritisch zijn op gevoelige gegevens (en waarom dat goed én gek is)

De laatste maanden krijg ik hem steeds vaker: de vraag wat er eigenlijk gebeurt met alle gevoelige gegevens die in AI-systemen worden gestopt. Bedrijven vragen mij: “Maar hoe gaan jullie dan om met privacy? Wat gebeurt er met die data?”

Eerlijk? Ik begrijp de vraag vólledig. Maar ik vind hem ook een tikje dubbel. Want voor we AI gingen gebruiken, stelde vrijwel niemand deze vraag over andere software.

De dubbele standaard: AI onder het vergrootglas

Laatst sprak ik met een operationeel directeur van een bouwbedrijf. We hadden het over AI, over de kansen en risico’s. Hij vroeg: “En hoe weet ik nu zeker dat mijn gevoelige informatie niet ergens op straat belandt?”

Ik vroeg hem: “Toen je Sharepoint, Outlook of een ERP-systeem ging gebruiken: heb je toen de algemene voorwaarden écht doorgespit? Of bij de implementatie gevraagd hoe met je data werd omgesprongen?"

Het bleef even stil. Want eerlijk is eerlijk: voor veel van onze digitale tools stellen we die vragen eigenlijk nooit, of pas als het te laat is. AI wordt opeens onder een vergrootglas gelegd, terwijl onze mailboxen, documentensystemen en HR-software ook vol privacygevoelige informatie staan. Waarom voelen we bij AI die urgentie wél?

AI en de AVG: wat speelt er?

Dat AI nieuw en spannend is, helpt mee. Maar het raakt ook écht aan de kern van de AVG. De Algemene Verordening Gegevensbescherming (AVG) draait om het beschermen van persoonsgegevens. Bij AI-systemen komt vaak veel data kijken – soms ook gevoelige data – en daar moet je zorgvuldig mee omgaan. De wet vraagt om transparantie, goede afspraken en technische én organisatorische maatregelen.

Daar komt bij dat het voor veel mensen bekend is dat AI data nodig heeft om zichzelf te trainen. Echter staat dat datagebruik voor trainingsdoeleinden voor veel professionele AI-tools standaard uit. Is het daarmee veilig? 

Net zo (on)veilig als SaaS tools. Want: bedrijven zoals OpenAI zijn nog steeds verplicht om jouw chatgeschiedenis op te slaan, veelal op Amerikaanse servers.

Wat maakt AI anders dan SaaS-software? De belangrijkste verschillen:

• AI-systemen verwerken vaak ongestructureerde data (zoals tekst of beelden) waar gevoelige info in kan schuilen.

• Sommige AI-modellen trainen zichzelf op basis van de data die je invoert, tenzij je duidelijke afspraken maakt.

• AI voelt ongrijpbaarder dan je vertrouwde mail- of ERP-pakket.

Praktische maatregelen om privacy te borgen

Gelukkig zijn er manieren om wél veilig en AVG-proof met AI om te gaan. Dit zijn maatregelen die ik je kan aanraden:

• Lokale AI-modellen draaien: In plaats van alles naar een cloudaanbieder te sturen, kun je gevoelige data eerst lokaal analyseren. Maar let op: eigen infrastructuur hosten brengt ook weer risico's met zich mee. Als je logs of gespreksgeschiedenis gaat opslaan is het onveiliger dan professionele tools. Bij dergelijke partijen is de security vaak goed op orde.
  

• Europese servers en aanbieders gebruiken: Zo weet je zeker dat je data onder Europese wetgeving valt. Het Franse alternatief van Mistral is hier een goed voorbeeld van. Zij bieden ook een chatmogelijkheid.
  

• Borgen dat data niet voor training wordt gebruikt: Check dubbel of je data niet in de trainingsset van het AI-model terechtkomt.
  

• Gevoelige gegevens filteren of maskeren: Voordat data naar de cloud gaat, kun je via een lokaal model privacygevoelige info onherkenbaar maken.
  

• Verwerkersovereenkomsten afsluiten: Maak harde afspraken met leveranciers over wie waarvoor verantwoordelijk is.
  

  
  

SaaS vs. AI: hetzelfde risico, andere vraag

Wat ik opvallend vind: als ik het gesprek aanga over Sharepoint, Outlook of een ERP-pakket (systemen waar dagelijks persoonsgegevens doorheen gaan) hoor ik deze privacyvragen eigenlijk nooit. Terwijl de risico’s vergelijkbaar zijn. Het verschil?

Sterker nog: elk softwaresysteem dat je in gebruik neemt vergroot de risico's en je hebt nooit 100% garantie dat je data veilig is.

AI is nieuw, onbekend, soms een beetje eng. Het roept vragen op die we misschien allang hadden moeten stellen bij ál onze digitale systemen.

Misschien is dat wel het mooie aan de opkomst van AI: het dwingt ons bewuster om te gaan met data en privacy. Het zet ons aan tot kritisch nadenken, ook over onze oude vertrouwde software. Want het antwoord op de vraag “hoe gaan jullie om met gevoelige gegevens in AI?” is eigenlijk precies dezelfde als bij elke andere tool: je moet goed weten wat je doet, duidelijke afspraken maken, en nooit zomaar alles invullen of uploaden zonder na te denken.

De menselijke factor en transparantie

We zijn huiverig voor het onbekende. AI lijkt soms een black box, en onbekend maakt onbemind. Transparantie is daarom cruciaal. Vertel je collega’s wat er met data gebeurt, waar het opgeslagen wordt, wie erbij kan. Maar onderwijs en train ze ook vooral in hoe ze het moeten gebruiken.

Hierdoor worden niet alleen de resultaten beter, maar beperk je ook de risico's dat collega's zomaar complete Excelbestanden met gevoelige informatie uploaden.

Tot slot: blijf de juiste vragen stellen

Het is goed dat we kritische vragen stellen over AI en privacy. Maar laten we het breder trekken. Vraag jezelf bij élk nieuw systeem af: wat gebeurt er met mijn data, en wie heeft de controle? Maak privacy een vast onderdeel van elk softwareproject, niet alleen van de AI-initiatieven.

De verantwoordelijkheid ligt bij jou als organisatie. Blijf nieuwsgierig, blijf kritisch en maak van IT-security en privacy geen eenmalige vraag, maar een vast onderdeel van je beleid.