AVG is van toepassing zodra persoonsgegevens in een AI-systeem komen. Voor LLMs en generatieve AI raakt dat de kern: prompts bevatten vaak persoonsgegevens, output ook, en training-data soms. Wat goede AVG-praktijk inhoudt.
Grondslag voor verwerking
Per AI-toepassing een rechtsgrondslag (art. 6): toestemming, contract, wettelijke plicht, vitaal belang, openbaar belang of gerechtvaardigd belang. Voor de meeste interne use-cases gerechtvaardigd belang met afweging-toets. Voor klant-gerichte AI vaak toestemming.
Data-minimalisatie in prompts
Geen klantnamen of BSN's in prompts naar generieke LLMs. Voor analyse op persoonsdata: pseudonimiseren voor AI-pipeline, identificatie pas in eindrapportage onder strikte toegang. Per use-case wij ontwerpen data-flow.
Internationale doorgifte
OpenAI in US, Anthropic via Bedrock in EU, Microsoft Azure OpenAI in EU. Bij US-doorgifte SCC's plus aanvullende waarborgen na Schrems II. Wij selecteren stack die geen unnecessary cross-Atlantic data-flow heeft.
Recht van betrokkene
Recht op uitleg bij AI-besluit (art. 22), recht van inzage in verwerking (art. 15), recht op verwijdering (art. 17). Voor AI met training-on-personal-data is "verwijderen" technisch lastig; wij ontwerpen architectuur die rights respecteren.
Verwant: Freelance AI consultant inhuren, DPIA voor AI.