Terug naar het kenniscentrum
Compliance

GDPR & AI: wat u moet weten

AI ontslaat u niet van GDPR. Dit is wat er verandert wanneer u AI aan uw toolkit toevoegt, en hoe u GDPR-compliant blijft zonder een juridisch team aan boord te halen.

Gepubliceerd april 202610 min leestijdDoor het Fly AI-team
Laatst herzien: april 2026 — weerspiegelt de huidige GDPR-handhavingsrichtlijnen

De korte versie

AI-systemen die persoonsgegevens verwerken vallen onder GDPR. Punt. Voor de wet maakt het niet uit of een mens of een LLM uw klantenmails leest — beide hebben een wettelijke grondslag nodig, beide vereisen toestemming of een gerechtvaardigd belang, en beide moeten de rechten van betrokkenen respecteren.

Het goede nieuws: GDPR-compliance voor AI verschilt fundamenteel niet van GDPR-compliance voor andere gegevensverwerking. Maar er zijn drie specifieke gebieden waar AI nieuwe wrijving creëert. Die nemen we hieronder door.

GDPR-compliance voor AI is geen nieuwe set regels. Het zijn dezelfde regels, toegepast op een nieuw instrument. Als u al verantwoord met persoonsgegevens omgaat, bent u al een heel eind.

Snelle zelftest: hoe groot is uw blootstelling?

Beantwoord deze vijf vragen om uw huidige GDPR-AI-risico in te schatten voor u in de details duikt.

Verwerkt uw AI persoonsgegevens (namen, e-mailadressen, adressen, gedrag)?
Ja = Lees verderNee = Waarschijnlijk in orde
Weten uw klanten of medewerkers dat AI hun gegevens verwerkt?
Ja = GoedNee = Transparantieprobleem
Gebruikt u een in de VS gehost AI-model (gratis ChatGPT, Google Bard)?
Ja = DoorgifterisicoNee = Beter
Kunt u op verzoek uitleggen hoe uw AI tot een specifieke beslissing kwam?
Ja = GoedNee = Verklaarbaarheidsprobleem
Hebt u een verwerkersovereenkomst met uw AI-leverancier?
Ja = CompliantNee = Waarschijnlijk niet-compliant

Antwoordde u 'ja' op vraag 1 en 'nee' op een van de vragen 2 tot en met 5? Dan helpt dit artikel u die leemtes te dichten.

De zes GDPR-principes toegepast op AI

1

Rechtmatigheid, behoorlijkheid en transparantie

U hebt een wettelijke grondslag nodig om persoonsgegevens te verwerken. Voor AI betekent dat meestal "gerechtvaardigd belang" (u hebt een zakelijke reden) of "toestemming" (de persoon heeft ja gezegd).

In de praktijk: als uw AI-agent klantenmails leest om offertes op te maken, is uw gerechtvaardigd belang "onze responstijd en servicekwaliteit verbeteren". U moet klanten daar nog steeds over informeren (in uw privacybeleid).

2

Doelbinding

U mag gegevens alleen gebruiken voor het doel waarvoor u ze hebt verzameld. U kunt geen algemeen AI-model trainen op klantendiensttickets en dat model vervolgens inzetten om advertenties te targeten.

In de praktijk: als u Claude of ChatGPT via hun API's gebruikt, controleer dan hun gegevensbewaarbeleid. De meeste zakelijke API's trainen niet op uw gegevens — de gratis webversies vaak wel.

3

Minimale gegevensverwerking

Verzamel en verwerk alleen de gegevens die u echt nodig hebt. Stuur geen volledige e-mailthreads naar een LLM als u alleen de naam van de afzender en de onderwerpregel nodig hebt.

In de praktijk: verwijder metadata, schrap irrelevante velden en anonimiseer waar mogelijk voor u gegevens naar een AI stuurt.

4

Juistheid

Persoonsgegevens moeten juist zijn en up-to-date worden gehouden. LLM's hallucineren soms. Als u AI inzet om persoonsgegevens te verwerken, hebt u mechanismen nodig om fouten te detecteren en te corrigeren.

In de praktijk: human-in-the-loop workflows. Als een AI uithaalt dat "klant X €5.000 verschuldigd is", moet een mens dat nakijken voor u een aanmaning verstuurt.

5

Opslagbeperking

Bewaar gegevens niet langer dan nodig. Als uw AI-agent supporttickets verwerkt, moeten die tickets (en de AI-logs) worden verwijderd zodra de bewaartermijn verstreken is.

In de praktijk: stel automatische verwijderregels in. Als u chatlogs bewaart voor training, anonimiseer ze dan eerst.

6

Integriteit en vertrouwelijkheid (beveiliging)

Bescherm gegevens tegen ongeoorloofde toegang, verlies of beschadiging. Klantgegevens versturen naar een LLM-API van een derde partij geldt als gegevensoverdracht — u moet die beveiligen.

In de praktijk: gebruik waar mogelijk LLM-providers die in de EU gehost zijn (bv. de EU-instantie van Anthropic, Mistral of on-premise modellen). Sluit een DPA (Data Processing Agreement) af met elke AI-leverancier.

GDPR-AI-compliancechecklist

Wettelijke grondslag is gedocumenteerd voor elke AI-toepassing (toestemming of gerechtvaardigd belang).
Gegevens worden uitsluitend gebruikt voor het doel waarvoor ze zijn verzameld — geen herbestemming zonder nieuwe toestemming.
Enkel de strikt noodzakelijke gegevens worden naar het AI-model gestuurd.
Voor persoonsgegevens die door AI worden verwerkt, gelden duidelijke bewaar- en verwijderschema's.
Betrokkenen kunnen inzage, correctie of verwijdering vragen van hun door AI verwerkte gegevens.
AI-systemen worden gelogd, zijn auditeerbaar en beschermd tegen ongeoorloofde toegang.

Kunt u alle zes afvinken, dan staat u er sterk voor. Zo niet, dan tonen de leemtes u precies waarop u moet focussen.

De data-residentievraag: VS-cloud versus EU-infrastructuur

Een van de meest voorkomende GDPR-wrijvingspunten voor AI is gegevensoverdracht. Wanneer u ChatGPT, Claude of een andere in de VS gehoste API gebruikt, verlaten persoonsgegevens de EU. Standaardcontractbepalingen kunnen u juridisch dekken, maar voegen complexiteit en risico toe. Het alternatief: uw AI-modellen op EU-soevereine infrastructuur draaien — dedicated servers in België, Frankrijk of Duitsland, waarbij geen enkel persoonsgegeven ooit de oceaan oversteekt.

In de VS gehoste AI-API's

Persoonsgegevens worden buiten de EU verwerkt
Afhankelijk van standaardcontractbepalingen
Variabele prijszetting per token
Geen controle over modelupdates
Vendor lock-in bij één leverancier

EU-soevereine AI (Fly AI-aanpak)

100% EU-data-residentie — GDPR-native
Geen complexiteit door grensoverschrijdende doorgifte
Vaste infrastructuurkosten — voorspelbaar budget
Volledige controle over modelversies en fine-tuning
Geen vendor lock-in — u bezit de motor

Hoe Fly AI GDPR-compliant AI-systemen bouwt

Elk AI-systeem dat we bouwen volgt GDPR by design, niet als bijzaak. Ons HVAC-aanbestedingsplatform verwerkt gevoelige overheidsopdrachtgegevens op dedicated EU-servers — geen enkel aanbestedingsdocument verlaat ooit de Belgische infrastructuur. Onze e-mailagent verwerkt persoonlijke correspondentie met volledige auditlogging en bewaarcontroles. Onze meertalige ticketrouter verwerkt klantgegevens met doelbinding ingebakken in de architectuur — vertaaldata worden gebruikt voor vertaling, routeringsdata voor routering, en niets wordt herbestemd of bewaard buiten de afgesproken levenscyclus.

HVAC-aanbestedingsautomatisering

EU-soeverein, geen datalekkage
Lees de case study

Intelligente e-mailagent

Volledige auditlogging, bewaarcontroles
Lees de case study

Meertalige ticketroutering

Doelgebonden door architectuur
Lees de case study

Wilt u weten of uw AI-setup GDPR-compliant is?

Boek 30 min koffieMeer over onze AI-audit

Gerelateerde artikelen

Compliance

EU AI Act voor KMO's

Wat Belgische bedrijven daadwerkelijk moeten doen om EU AI Act-conform te zijn. Risiconiveaus, verplichtingen en concrete stappen.

Lees artikel
AI-basis

LLM's versus traditionele software

Niet alles vraagt om AI. Een praktische gids om de juiste tool te kiezen en te weten wanneer u beide combineert.

Lees artikel
Dienst

AI-auditdienst

Grondige beoordeling van uw AI-systemen, GDPR-compliance en concrete aanbevelingen.

Meer info
Aderco logo
KBC logo
NTT logo
WE logo
SPW Wallonie logo
ISVAG logo
IFIC logo
Ixelles logo
Partena logo
Optiflux logo
Aderco logo
KBC logo
NTT logo
WE logo
SPW Wallonie logo
ISVAG logo
IFIC logo
Ixelles logo
Partena logo
Optiflux logo