Handhaving en boetes AP

Hoe documenteer je het gebruik van AI-tools in je verwerkingsregister?

Eva de Vries Eva de Vries
· · 6 min leestijd

Stel je voor: je hebt net een fantastische AI-tool ontdekt. Misschien is het ChatGPT voor het schrijven van teksten, Midjourney voor beelden, of een slimme AI-integrator in je CRM-systeem.

Inhoudsopgave
  1. Waarom AI en je verwerkingsregister onlosmakelijk verbonden zijn
  2. Stap 1: Identificeer welke AI-tools je gebruikt
  3. Stap 2: Beschrijf de soorten gegevens die je verwerkt
  4. Stap 3: Leg het doel en de grondslag vast
  5. Stap 4: Beveiliging en doorgeven van gegevens
  6. Stap 5: Vernietigingstermijnen en retentiebeleid
  7. Stap 6: Rol van de AI-tool en menselijke controle
  8. Praktische tips voor het bijhouden van je register
  9. Conclusie

Het voelt als een superkracht. Maar terwijl je aan het knippen en plakken bent, sluimert er een vraag op de achtergrond: hoe zit het met de privacy? Hoe pas je dit toe in je verwerkingsregister? Het klinkt misschien als saaie bureaucratie, maar het is eigenlijk de basis van veilig en slim ondernemen.

Een verwerkingsregister is niet zomaar een mapje met stof erop. Het is jouw digitale geheugensteun over welke persoonsgegevens je gebruikt, waarom en hoe je ze beveiligt.

Als AI daarbij komt kijken, verandert er het een en ander. Je geeft de AI namelijk toegang tot data, en soms weet je niet precies wat de AI ermee doet.

In dit artikel lees je hoe je dit netjes documenteert, zonder ingewikkelde juridische taal, maar gewoon in helder Nederlands.

Waarom AI en je verwerkingsregister onlosmakelijk verbonden zijn

Veel mensen denken dat AI-tools 'zomaar' werken, alsof er geen gegevens aan te pas komen. Maar dat is een misvatting. Als je een AI-tool gebruikt om klantmails te beantwoorden, of om een cv te screenen, verwerk je persoonsgegevens.

Je naam, e-mailadres, en soms zelfs meer gevoelige informatie gaan naar een server – vaak ergens in de cloud.

De Algemene Verordening Gegevensbescherming (AVG) eist dat je bijhoudt welke gegevens je waarvoor gebruikt. AI-tools vallen hier nadrukkelijk onder.

Het is niet iets dat je er 'even bij doet'. Het is een integraal onderdeel van je datastrategie. Door het netjes te documenteren, laat je zien dat je bewust bezig bent met privacy en veiligheid. Dit bouwt vertrouwen op bij je klanten en beschermt je tegen boetes.

Stap 1: Identificeer welke AI-tools je gebruikt

Voordat je kunt documenteren, moet je weten wat je hebt. Dit klinkt logisch, maar in de praktijk sluipen tools er vaak ongemerkt in.

Een medewerker probeert een nieuwe app uit, of een marketingbureau zet een nieuwe AI-chatbot in zonder dat de IT-afdeling het weet.

  • Schrijfassistenten zoals ChatGPT of Jasper.
  • Beeldgeneratoren zoals DALL-E of Stable Diffusion.
  • Analysediensten zoals de AI-functies in Google Analytics of Salesforce.
  • Interne tools die gebruikmaken van machine learning.

Maak een lijst van alle AI-toepassingen binnen je organisatie. Denk aan: Voor elke tool noteer je de naam, de leverancier en het doel waarvoor je hem inzet. Wees hier specifiek. 'Marketing' is te vaag; 'Genereren van LinkedIn-posts op basis van klantdata' is concreet.

Het onderscheid tussen bewerker en verwerker

Bij AI-tools is het cruciaal om te weten wie de bewerker is en wie de verwerker is. Jij bent de bewerker: je bepaalt het doel van de gegevensverwerking. De AI-tool is de verwerker: ze voert de handelingen uit op basis van jouw instructies. In je verwerkingsregister moet dit duidelijk zijn. Je legt vast dat je een verwerkersovereenkomst hebt gesloten met de AI-leverancier.

Stap 2: Beschrijf de soorten gegevens die je verwerkt

Niet elke AI-tool verwerkt dezelfde data. Sommige tools werken anoniem, andere verwerken zeer gevoelige persoonsgegevens.

Je moet in je register precies beschrijven welke categorieën gegevens er door de AI gaan.

  • Algemene gegevens: naam, e-mailadres, telefoonnummer.
  • Bijzondere gegevens: ras, geloof, gezondheidsgegevens (deze zijn extra beschermd).
  • Bedrijfsgegevens: klantnummers, transactiegeschiedenis.

Denk aan: Als je een AI-tool gebruikt voor het analyseren van sollicitatiebrieven, verwerk je mogelijk gevoelige informatie over iemands achtergrond. Als je een tool gebruikt voor het genereren van afbeeldingen op basis van een beschrijving, verwerk je misschien alleen tekstuele prompts. Wees eerlijk tegen jezelf over de risico’s.

Stap 3: Leg het doel en de grondslag vast

Waarom gebruik je de AI-tool? Je moet een duidelijke, specifieke reden hebben.

De AVG vereist dat elke verwerking een rechtmatige grondslag heeft. Voor de meeste AI-toepassingen in het bedrijfsleven geldt: uitvoering van een overeenkomst of gerechtvaardigd belang. Formuleer het doel scherp. Bijvoorbeeld:

  • Doel: Het versnellen van klantenservice door AI-gestuurde antwoorden te genereren.
  • Grondslag: Gerechtvaardigd belang om de wachttijd voor klanten te verkorten.

Documenteer dit in je register. Voorkom vage termen als 'efficiëntie verbeteren'. Wees concreet over wat de AI bereikt en hoe dit de bedrijfsvoering ten goede komt.

Stap 4: Beveiliging en doorgeven van gegevens

AI-tools zitten vaak in de cloud. Dat betekent dat je data verplaatsen naar servers die mogelijk buiten Europa staan.

Dit is een belangrijk aandachtspunt in je verwerkingsregister. Je moet documenteren: Als je gebruikmaakt van een tool zoals Microsoft Copilot of Google Gemini, check dan hun privacybeleid.

  • Waar staan de servers? (Bijvoorbeeld in de VS of binnen de EU).
  • Zijn er passende waarborgen getroffen? (Denk aan Standard Contractual Clauses of het EU-US Data Privacy Framework).
  • Hoe beveiligt de AI-tool de data? (Versleuteling, toegangscontroles).

Deze grote partijen hebben vaak goede maatregelen, maar jij bent verantwoordelijk voor de controle.

Risicoanalyse en DPIA

In je register noteer je: 'Gegevens worden opgeslagen in datacenters binnen de EU, versleuteld verzonden en alleen gebruikt voor het vastgelegde doel.' Bij grootschalige of risicovolle verwerkingen is een Data Protection Impact Assessment (DPIA) verplicht. AI-tools die klantgegevens verwerken vallen hier vaak onder. Je analyseert de risico’s voor de betrokkenen en beschrijft hoe je deze mitigeert. Dit is geen extra werk, maar een investering in veiligheid.

Stap 5: Vernietigingstermijnen en retentiebeleid

Hoe lang bewaar je de gegevens die je met AI verwerkt? Zorg dat je AVG-proof blijft bij AI-chatbots, want je kunt niet eindeloos data bewaren.

In je verwerkingsregister leg je vast hoelang de AI-tool toegang heeft tot de gegevens en wanneer deze worden gewist. Stel regels op: de impact van de AI Act voor mkb dwingt je ertoe deze termijnen technisch af te dwingen.

  • Logbestanden van AI-interacties worden na 30 dagen automatisch gewist.
  • Input-data voor training van interne AI-modellen worden na projecteinde verwijderd.
  • Outputs (zoals gegenereerde teksten) worden bewaard zolang nodig voor de bedrijfsvoering, maar maximaal twee jaar tenzij anders vereist.

Veel AI-tools hebben instellingen voor datavernietiging. Gebruik ze. Het is niet alleen een juridische eis, maar ook een teken van respect voor je klanten.

Stap 6: Rol van de AI-tool en menselijke controle

Een AI is geen mens. Het is een tool die beslissingen kan beïnvloeden.

In je documentatie moet je benadrukken dat er altijd menselijke controle is. Je register moet beschrijven hoe je voorkomt dat de AI automatisch beslissingen neemt die gevolgen hebben voor personen, zonder tussenkomst van een mens. Bijvoorbeeld: als een AI sollicitaties screent, moet een mens de uiteindelijke selectie maken.

Leg dit vast in je register onder 'Beschrijving van de verwerking'. Dit toont aan dat je de menselijke maat bewaakt en niet blindelings op technologie vertrouwt.

Praktische tips voor het bijhouden van je register

Het bijhouden van een verwerkingsregister hoeft niet ingewikkeld te zijn. Gebruik een gestructureerde template in Excel of een tool zoals OneTrust of TrustArc.

Zorg dat het register toegankelijk is voor je team en regelmatig wordt geüpdatet. Plan een maandelijkse of kwartaalcheck in om nieuwe AI-tools te controleren. Technologie verandert snel; een tool die vandaag veilig is, kan morgen een update hebben die privacy risico’s met zich meebrengt. Door dit ritme te behouden, blijf je altijd compliant.

Checklist voor je AI-documentatie

Gebruik deze korte checklist om snel te controleren of je alles hebt: Als je deze vragen met 'ja' kunt beantwoorden, zit je goed.

  • Is de AI-tool benoemd en gedefinieerd?
  • Welke persoonsgegevens worden verwerkt?
  • Wat is het doel en de grondslag?
  • Waar staan de servers en zijn er waarborgen?
  • Hoe lang worden gegevens bewaard?
  • Is er menselijke controle?

Conclusie

AI-tools bieden enorm veel kansen, maar ze brengen ook verantwoordelijkheden met zich mee.

Door het gebruik vast te leggen in je verwerkingsregister, toon je professionaliteit en zorg je voor een veilige omgeving voor je data. Het is geen rocket science, maar gewoon een kwestie van gestructureerd werken.

Begin vandaag nog met het inventariseren van je tools en pas je register aan. Je zult merken dat het je rust geeft en je bedrijf toekomstbestendig maakt.

Lees ook
Wat doet de Autoriteit Persoonsgegevens precies en hoe werkt het toezicht in 2026? Hoe start de AP een onderzoek naar een bedrijf en wanneer ben jij aan de beurt? Wat zijn de hoogste AVG-boetes die de AP heeft opgelegd aan Nederlandse bedrijven? Welke sectoren krijgen de meeste boetes van de AP en waarom? Wat zijn de meest voorkomende overtredingen waarvoor de AP kleine bedrijven aanpakt? Hoe groot is de kans dat de AP jou als ZZP'er of klein bedrijf controleert?
Eva de Vries
Eva de Vries
Privacyrechtadvocaat en data protection specialist

Eva is gespecialiseerd in het adviseren over complexe privacyvraagstukken.

Meer over Handhaving en boetes AP

Bekijk alle 28 artikelen in deze categorie.

Naar categorie →
Lees volgende
Wat doet de Autoriteit Persoonsgegevens precies en hoe werkt het toezicht in 2026?
Lees verder →