Ga naar hoofdinhoud

AI / GDPR / privacy / EU AI Act / compliance

AI en GDPR: wat Belgische bedrijven moeten weten

Ben Heijlen ·
NL / EN Read in English →

Een van de meest gestelde vragen in onze audits: “Mogen we dit wel? Wat met GDPR?”

Het is een terechte vraag. En het korte antwoord is: ja, je mag AI inzetten — maar je moet het goed doen. Hier is wat je als Belgisch bedrijf concreet moet weten.

GDPR en AI: de kern

De GDPR verbiedt AI niet. Wat de GDPR wél vereist, is dat je verantwoord omgaat met persoonsgegevens. De principes die al gelden voor je CRM, je e-mailsysteem, en je klantenbestand, gelden ook voor AI-toepassingen:

Doelbinding. Je mag persoonsgegevens alleen verwerken voor het doel waarvoor ze verzameld zijn. Als je klantdata hebt voor facturatie, mag je die niet zomaar gebruiken om een AI-model te trainen.

Minimale gegevensverwerking. Gebruik alleen de data die nodig is. Als je een documentgenerator bouwt, hoef je geen volledige klanthistoriek in te laden als naam en projectnummer volstaan.

Transparantie. Als AI beslissingen neemt die mensen raken (klantcommunicatie, HR-screening, kredietbeoordeling), moeten de betrokken personen weten dat er AI bij betrokken is en hoe het werkt.

Recht op uitleg. Bij geautomatiseerde besluitvorming hebben betrokkenen het recht om een menselijke beoordeling te vragen. Dit is relevant als je AI inzet voor zaken als klantscoring of sollicitatie-screening.

Waar de meeste KMO’s safe zitten

De goede nieuws: de meeste AI-toepassingen bij KMO’s vallen in een laag-risico categorie. Denk aan:

Interne tools. Een documentgenerator, een rapportagesysteem, of een interne kennisbank die werkt met bedrijfsdata (niet persoonlijk identificeerbare data) heeft minimale GDPR-impact.

Geanonimiseerde data. Als je werkt met geaggregeerde of geanonimiseerde datasets — “hoeveel uur besteden we gemiddeld aan X” — is er geen sprake van persoonsgegevensverwerking.

Bestaande verwerkingsgronden. Als je al een gerechtvaardigd belang hebt om klantdata te verwerken (bijvoorbeeld voor dienstverlening), mag je die data in veel gevallen ook gebruiken voor AI-toepassingen die diezelfde dienstverlening verbeteren. Mits proportioneel en gedocumenteerd.

Waar je wél moet opletten

AI-tools van derden. Als je ChatGPT, Copilot, of andere cloud-AI-diensten gebruikt, verlaat je data mogelijk de EU. Controleer waar de data wordt verwerkt en of er een verwerkersovereenkomst (DPA) is. De meeste grote aanbieders bieden inmiddels EU-gehoste opties.

Klantgerichte AI. Een chatbot die met klanten communiceert, verwerkt persoonsgegevens. Zorg voor een privacyverklaring, een opt-out mogelijkheid, en logging van wat de AI doet.

HR-toepassingen. AI voor recruitment, prestatiebeoordeling, of roosterbeheer is een gevoelig terrein. De EU AI Act classificeert sommige HR-toepassingen als “hoog risico” met aanvullende eisen.

Training op bedrijfsdata. Als je een AI-model traint of fine-tunet op jullie eigen data, documenteer dan welke data je gebruikt, waarom, en hoe lang je die bewaart.

De EU AI Act — wat is nieuw?

Sinds 2024 is de EU AI Act van kracht, met gefaseerde implementatie tot 2026. De belangrijkste punten voor KMO’s:

Risicogebaseerde aanpak. AI-systemen worden ingedeeld in vier risiconiveaus: minimaal, beperkt, hoog, en onaanvaardbaar. De meeste KMO-toepassingen vallen in “minimaal” of “beperkt.”

Transparantieverplichting. Als klanten of medewerkers met AI communiceren (chatbot, virtuele assistent), moet je duidelijk maken dat het AI is. Een simpel “Dit gesprek wordt ondersteund door AI” volstaat.

Verboden praktijken. Bepaalde AI-toepassingen zijn verboden: social scoring, manipulatieve systemen, realtime biometrische surveillance. Geen van deze is relevant voor de typische KMO-toepassing.

KMO-vrijstellingen. De EU AI Act bevat specifieke bepalingen om de last voor KMO’s te beperken. Er komen sandboxes, vereenvoudigde compliance-documentatie, en lagere boetes.

Praktische checklist

Voor elke AI-toepassing die je implementeert, loop deze punten langs:

Welke data gebruikt de tool? Is dat persoonlijk identificeerbaar of bedrijfsdata? Waar wordt de data verwerkt — in de EU of daarbuiten? Is er een verwerkersovereenkomst met de AI-aanbieder? Weten betrokkenen (klanten, medewerkers) dat AI wordt ingezet? Kan een mens ingrijpen als de AI een fout maakt? Is het gedocumenteerd in je verwerkingsregister?

Als je op al deze vragen een duidelijk antwoord hebt, zit je goed.

Onze aanpak

In elke audit nemen we GDPR en AI Act compliance mee als standaard onderdeel. Niet als juridisch advies — wij zijn geen advocaten — maar als praktische richtlijnen: welke data is nodig, waar wordt het verwerkt, en welke voorzorgen nemen we bij de implementatie.

We bouwen bij voorkeur met EU-gehoste diensten, minimaliseren het gebruik van persoonsgegevens, en documenteren de datastromen voor elk systeem dat we opleveren.

Meer weten? Plan een gesprek — we bespreken graag wat dit betekent voor jouw situatie →

Meer lezen

De EU AI Act: wat Belgische KMO's echt moeten weten

Een nuchtere gids over de EU AI Act voor kleine en middelgrote bedrijven. Wat van toepassing is op jouw bedrijf, wat je kunt negeren, en de praktische stappen die je nu zet.

Lees meer →

AI voor KMO's: quick wins die in weken resultaat leveren

Vergeet de grote AI-transformaties. Deze vijf quick wins kun je in 1–4 weken implementeren en leveren direct meetbare tijdsbesparing op.

Lees meer →

Van AI-waardescan naar implementatie: wat gebeurt er na de diagnose?

De AI-waardescan is klaar, het rapport ligt er. En nu? Zo werkt de overgang van inzicht naar werkende AI-oplossingen — stap voor stap.

Lees meer →

Klaar?

Klaar om te ontdekken waar AI past in jouw bedrijf?

Plan een gesprek van 30 minuten. We bespreken je operaties, kijken samen waar de meeste tijd verloren gaat, en bepalen of de AI-waardescan de juiste volgende stap is.

Plan een gesprek →