Terug naar inzichten
gdpraibelgiegegevensbescherming

GDPR en AI: wat Belgische bedrijven moeten controleren vóór ze een tool persoonsgegevens voeren

Stéphane WillemsStéphane Willems6 min leestijd

Er is een gesprek dat ik keer op keer voer met Belgische bedrijven. Het gaat zo: "We zijn een AI-tool gaan gebruiken en het is geweldig — het verwerkt onze klant-e-mails / screent onze cv's / vat onze supporttickets samen." En dan stel ik één vraag die de sfeer verandert: "Welke persoonsgegevens stopt u erin, en waar gaan die naartoe?"

Meestal weet niemand het.

Dit is de kloof die telt. De EU AI-wet haalt alle krantenkoppen, maar voor de meeste Belgische bedrijven is de meer onmiddellijke juridische blootstelling helemaal niet de AI-wet — het is de GDPR, die sinds 2018 tanden heeft en geldt op het moment dat uw AI ook maar één stukje persoonsgegevens aanraakt. En de Belgische Gegevensbeschermingsautoriteit maakte haar standpunt expliciet: in december 2024 publiceerde de GBA/APD formele richtlijnen over AI-systemen en de GDPR. Ze houden dit in de gaten.

Ik ben engineer, geen jurist — dit is geen juridisch advies. Maar dit is de praktische versie die ik geef aan de bedrijven waarmee ik werk.

Het kernprobleem: AI-tools zijn verwerkers die u niet hebt gecontroleerd

Wanneer u een SaaS AI-tool invoert, stuurt u gewoonlijk gegevens naar de servers van een derde partij. Onder de GDPR, als die gegevens persoonsinformatie bevatten — namen, e-mails, alles wat een persoon identificeert — heeft u net een verwerkingsrelatie gecreëerd met juridische verplichtingen eraan vast.

De vragen die u zou moeten kunnen beantwoorden:

  • Wat is de rechtsgrond? U heeft een wettige reden nodig om persoonsgegevens te verwerken (toestemming, contract, gerechtvaardigd belang…). "Het maakte het werk sneller" is geen rechtsgrond.
  • Waar gaan de gegevens naartoe? Als de AI-leverancier gegevens buiten de EU verwerkt, zijn er extra regels. Veel populaire tools sturen gegevens naar de VS.
  • Worden ze gebruikt om het model te trainen? Sommige consumenten-AI-tools gebruiken uw invoer om hun modellen te verbeteren. Als u de persoonsgegevens van een klant hebt geplakt, heeft u die mogelijk gedeeld op een manier die u niet kunt terugnemen.
  • Heeft u een verwerkersovereenkomst (DPA) met de leverancier? Voor een verwerkersrelatie vereist de GDPR er doorgaans een.

De meeste Belgische kmo's die AI-tools gebruiken, kunnen deze vragen niet beantwoorden voor de tools die hun teams informeel hebben ingevoerd. Dat is het echte risico — niet het officiële, gecontroleerde systeem, maar het dozijn onofficiële.

De vier dingen die bedrijven echt in de problemen brengen

In mijn ervaring clustert de blootstelling rond vier fouten.

1. Personeel dat persoonsgegevens in publieke AI-tools plakt

Iemand zet een klantenlijst, een cv of een contract in een gratis publieke chatbot om het "op te schonen." Die gegevens hebben nu uw controle verlaten en kunnen worden bewaard of voor training gebruikt. Dit is de meest voorkomende, en de goedkoopste om op te lossen: een duidelijk beleid en een briefing van vijftien minuten.

2. AI die beslissingen neemt over mensen zonder toezicht

De GDPR heeft specifieke regels (artikel 22) over beslissingen die uitsluitend met geautomatiseerde middelen worden genomen en iemand aanzienlijk treffen — denk aan automatische afwijzing van een sollicitatie of een lening. Als een AI die beslissingen neemt zonder betekenisvolle menselijke beoordeling, heeft u een probleem dat tegelijk een GDPR-kwestie én vaak een hoog-risico AI-wet-kwestie is.

3. Geen transparantie naar de betrokkenen

Als u AI gebruikt om klant- of personeelsgegevens te verwerken, hebben die mensen doorgaans recht om het te weten. "Wij verwerken uw gegevens met geautomatiseerde tools waaronder AI" is het soort zin dat in uw privacyverklaring moet staan — en er vaak niet in staat.

4. Bijzondere categorieën gegevens, onzorgvuldig behandeld

Gezondheidsgegevens, biometrische gegevens, gegevens die etniciteit of overtuigingen onthullen — die krijgen extra bescherming. Een AI-tool die er ook maar iets van aanraakt, verhoogt de inzet aanzienlijk. Wervings-AI is hier een frequente overtreder, omdat cv's en interviews bijzondere categorieën gegevens kunnen opleveren zonder dat iemand het bedoelt.

Wat de richtlijnen van de Belgische GBA signaleren

De richtlijnen van december 2024 van de GBA/APD vinden geen nieuwe regels uit — ze verduidelijken hoe de bestaande GDPR-principes op AI van toepassing zijn. Het signeel eronder is wat telt: de regulator beschouwt AI-en-persoonsgegevens als een prioriteit, en "we beseften niet dat de regels op AI van toepassing waren" zal geen verdediging zijn.

Het versterkt ook iets wat ik elke klant vertel: de AI-wet en de GDPR zijn twee aparte regelboeken die op dezelfde systemen wijzen. Een wervings-AI kan hoog-risico zijn onder de AI-wet én een aanzienlijke geautomatiseerde beslissing onder de GDPR. U kunt er niet één kiezen. U moet aan beide voldoen.

De praktische checklist

U heeft geen juridische afdeling nodig om de basis goed te krijgen. U moet dit eerlijk doen:

  1. Lijst elke AI-tool die persoonsgegevens aanraakt. Officieel en onofficieel. Klantgegevens, personeelsgegevens, alles wat een persoon identificeert.

  2. Beantwoord voor elk: waar gaan de gegevens naartoe, en worden ze voor training gebruikt? Lees de voorwaarden van de leverancier. Voor zakelijke tools kunt u doorgaans training-op-uw-gegevens uitschakelen en een EU-dataresidentie-optie krijgen — maar alleen als u het controleert.

  3. Zorg voor een verwerkersovereenkomst met leveranciers die persoonsgegevens voor u verwerken. Betrouwbare tools bieden er een.

  4. Schrijf de regel die iedereen nodig heeft: plak nooit persoonlijke of vertrouwelijke gegevens in een publieke/gratis AI-tool. Gebruik alleen de goedgekeurde, geconfigureerde tools. Deze ene zin voorkomt de meeste incidenten.

  5. Voeg AI toe aan uw privacyverklaring en zorg dat elke AI die aanzienlijke beslissingen over mensen neemt, echt menselijk toezicht heeft, geen stempelmachine.

  6. Voor alles met bijzondere categorieën gegevens of geautomatiseerde beslissingen over mensen, haal goed advies. Dit is waar de gevolgen echt zijn.

Stappen 1, 2, 4 en 5 kunt u deze maand doen. Ze voorkomen de grote meerderheid van de problemen.

De eerlijke conclusie

AI verandert de GDPR niet — het maakt het alleen ongelooflijk makkelijk om snel en op schaal te overtreden, door goedbedoelend personeel dat niet beseft dat een spreadsheet in een chatbot plakken een gegevensoverdracht met juridisch gewicht is.

U hoeft AI niet te verbieden. De bedrijven die hier goed mee omgaan zijn niet die met de strengste regels — het zijn die welke goed geconfigureerde tools kozen, één duidelijk beleid schreven, en ervoor zorgden dat hun team begreep waarom. Dat is een paar uur werk, en het is het verschil tussen AI als troef en AI als verplichting die stil in uw inbox zit.

Ik schrijf een korte, praktische nieuwsbrief over precies dit raakvlak — GDPR, de EU AI-wet, en senior engineering voor Belgische bedrijven, in begrijpelijke taal. Als dat nuttig is, schrijf u hieronder in.

En als u wilt dat iemand werkelijk in kaart brengt welke van uw tools persoonsgegevens aanraken en waar die naartoe gaan, dan is dat deel van wat WDC's AI Readiness Audit dekt — een eerlijke, schriftelijke beoordeling, zonder angst-verkopen.

Klaar om te starten?

Praat met ons over uw project.

De meeste opdrachten beginnen met een gesprek van 30 minuten.

Boek een gesprek

Schrijf u in voor onze nieuwsbrief

Schrijf u in voor af en toe een praktische tekst over AI-integratie, de EU AI-wet en senior engineering voor Belgische bedrijven.