[DDMA over AI & Legal] AI en privacy: datagebruik volgens de AI Act en de AVG

Werk je als marketeer met AI, dan krijg je te maken met twee wetten: de nieuwe AI Act en de vertrouwde AVG. Beide zijn bedoeld om mensen te beschermen, maar ze doen dat elk op hun eigen manier.

In dit eerste artikel van de DDMA-reeks over AI & Legal, beantwoorden we zeven praktische vragen. Zo helpen we je om beide wetten beter te begrijpen en toe te passen in je dagelijkse werk.

Wanneer is welke wet van toepassing?

De AI Act richt zich op de technologie. 
De wet stelt regels op voor AI-systemen en AI-modellen zoals GPT-4o of DeepSeek R1 die gebruikt worden in de systemen van ChatGPT en DeepSeek Chat. De wet kijkt vooral naar de risico’s die de technologie zelf met zich meebrengt.

De AVG richt zich op persoonsgegevens
 en is van toepassing zodra je persoonsgegevens verwerkt, of je die nu verzamelt, opslaat, bewerkt of verwijdert. Voor marketeers geldt dit bijvoorbeeld bij:

• Het verzamelen van klantdata voor training;
• Het trainen van modellen met persoonsgegeven;
• Het invoeren van persoonsgegevens als input (bijvoorbeeld in prompts);
• Het genereren van output die persoonsgegevens bevat.

Wat betekenen deze wetten voor AI-toepassingen in marketing?

In de AI Act bepaalt het risiconiveau de regels
. De wet hanteert vier risiconiveaus:

• Onaanvaardbaar risico – Verboden (bijvoorbeeld AI voor criminele risicoprofielen);
• Hoog risico – Strenge eisen (bijvoorbeeld AI in rechtspraak);
• Beperkt risico – Transparantie verplicht (bijvoorbeeld genAI-chatbots in klantenservice);
• Minimaal risico – Geen verplichtingen (bijvoorbeeld spamfilters).

De meeste marketingtoepassingen vallen gelukkig onder “beperkt” of “minimaal risico”. Nieuw is dat aanbieders van AI-modellen, zoals OpenAI, verplicht zijn transparant te zijn over het trainingsmateriaal en de werking van hun modellen. Dit geeft bedrijven meer grip en vertrouwen bij het gebruik ervan.

Wat de AVG betreft: die kijkt naar wat je doet met data. 
Bij de AVG draait het om concrete toepassingen, zoals:

• Profilering – Het voorspellen van gedrag of voorkeuren (bijvoorbeeld gepersonaliseerde aanbiedingen op basis van klikgedrag. Voor intensieve profilering is vaak toestemming nodig);
• Geautomatiseerde besluitvorming – Besluiten zonder menselijke tussenkomst die impact hebben op mensen. Dit is alleen toegestaan met toestemming of als het noodzakelijk is voor een overeenkomst (een mooi voorbeeld is de Uber-zaak, waarbij chauffeurs automatisch ontslagen werden op basis van AI-detectie van fraude, wat juridisch onderuit ging door gebrek aan echte menselijke controle).

Bij het gebruik van personalisatie aan de hand van profilering zal er niet snel sprake zijn van de gebruikelijke vormen van marketing.

Welke regels moet je volgen?

De AI Act richt zich voornamelijk op de technologische aspecten en risico’s die AI-systemen met zich meebrengen. Zo stelt de AI Act bij hoogrisicotoepassingen eisen zoals: risicobeheersing en veiligheid van AI-systemen, transparantie en documentatie over en van de werking van techniek (menselijk toezicht op hoog-risico toepassingen) en data-governance met focus op kwaliteit van trainingsdata.

De AVG legt de focus op de bescherming van persoonsgegevens en vraagt om de naleving van fundamentele privacyprincipes bij elke verwerking van data, waaronder:

• Data lifecycle management (DLM) – Onder de noemer van DLM zijn er drie belangrijke AVG-principes bij het opslaan en bewaren van persoonsgegevens.
  – Doeleinde: de verantwoordelijke voorafgaand aan het verzamelen van persoonsgegevens het doeleinde vaststelt.
  – Dataminimalisatie: je moet goed afwegen of specifieke persoonsgegevens als datapunten bijdragen aan het beoogde doeleinde, want de AVG vereist dat de verwerking beperkt blijft tot wat echt nodig is voor het doeleinde.
  – Bewaartermijn: je mag persoonsgegevens niet langer bewaren dan noodzakelijk voor het bereiken van het doeleinde.
• Rechtmatigheid – Onder de AVG is een rechtsgrond essentieel voor elke verwerking van persoonsgegevens. Dit kan bijvoorbeeld toestemming van de betrokkene zijn, een wettelijke verplichting, een gerechtvaardigd belang van de verwerkingsverantwoordelijke, of de noodzaak voor de uitvoering van een overeenkomst. Zonder een geldige rechtsgrond is het gebruik van persoonsgegevens in AI-systemen onrechtmatig.
• Behoorlijkheid – AI-toepassingen mogen niet leiden tot oneerlijke of discriminerende behandeling van individuen, ook niet indirect of onbedoeld.
• Transparantie – Betrokkenen informeren over hoe hun gegevens worden verwerkt, inclusief het gebruik in AI-systemen.

Wie is waarvoor verantwoordelijk?

Bij de AI Act zijn er verantwoordelijkheden in de hele keten
. De wet maakt onderscheid tussen:

• Aanbieders (ontwikkelaars) – De partij die het AI-systeem of -model ontwikkelt en op de markt brengt. Aanbieders zijn verantwoordelijk voor de conformiteitsbeoordeling, het ontwerp, en de documentatie van het systeem.
• Gebruiksverantwoordelijken (zoals marketingteams) – De organisaties die het AI-systeem implementeren en gebruiken. Deze partij moet zorgen voor correcte toepassing en monitoring.
• Importeurs/distributeurs – Verantwoordelijk voor naleving bij import/distributie.

Afhankelijk van de rol in deze keten gelden verschillende verplichtingen, zoals transparantie over trainingsdata of het labelen van door AI-gegenereerde content. Lees voor meer achtergrond over de waardeketen onze themapagina over de AI Act. Voor sommige toepassingen, zoals hoogrisicosystemen, zijn overeenkomsten verplicht. Voor marketing is dit meestal niet aan de orde. Dit is wel het geval bij bijvoorbeeld de integratie van componenten in hoogrisico-AI-systemen of het testen van deze systemen onder reële omstandigheden.

De AVG kent maar twee rollen. De verwerkingsverantwoordelijke: deze bepaalt het doel en de middelen van verwerking en heeft de primaire verantwoordelijkheid voor naleving van de AVG.
En ten tweede de verwerker: deze verwerkt data namens de verantwoordelijke, zoals de leveranciers van een content delivery network of een Customer Data Platform. Een marketingafdeling kan onder de AI Act een ‘gebruiksverantwoordelijke’ zijn voor een AI-analysetool, terwijl het tegelijkertijd verantwoordelijke is onder de AVG voor de klantgegevens die in die tool worden gebruikt.

De AVG schrijft twee verplichte contracten voor: de bekende verwerkersovereenkomst (tussen verwerker en verantwoordelijke) en een overeenkomst bij gezamenlijke verantwoordelijkheid. Dat laatste speelt bijvoorbeeld wanneer een organisatie samen met Meta optreedt als verwerkingsverantwoordelijke, zoals bij het gebruik van gerichte advertenties of het Meta Pixel.

Hoe zit het met transparantie?

Voor de AI Act geldt: wees duidelijk over AI-gebruik
Transparantie is een kernverplichting binnen de AI Act, vooral bij hoogrisico-systemen. Gebruikers moeten weten dat ze met een AI-systeem te maken hebben, bijvoorbeeld wanneer ze met een chatbot communiceren in de klantenservice. Daarnaast moeten organisaties duidelijk maken hoe het AI-systeem werkt en welke risico’s eraan verbonden zijn. Ontwikkelaars van AI-modellen zijn verplicht om informatie te delen over de gebruikte trainingsdata en methodologie. Zo kunnen andere partijen in de keten die van deze modellen gebruikmaken op hun beurt voldoen aan hun wettelijke verplichtingen.

De AVG legt de nadruk op de rechten van het individu. Organisaties zijn verplicht om transparant te zijn over welke persoonsgegevens ze verwerken, met welk doel, en hoe lang die gegevens worden bewaard. Die verplichting werd onderstreept in 2023, toen de Italiaanse toezichthouder OpenAI bestrafte wegens gebrekkige communicatie over dataverwerking. Gebruikers van AI hebben ook recht op uitleg over geautomatiseerde beslissingen die hen raken (artikel 22 AVG). Ze moeten inzicht krijgen in de onderliggende logica van het besluitvormingsproces, zolang dit niet in strijd is met bedrijfsgeheimen.

Wie is er verantwoordelijk voor de naleving van deze wetten binnen je organisatie?

De AI Act verplicht organisaties niet om een aparte functionaris aan te stellen, maar toezichthouders adviseren wél om een AI-officer aan te stellen. De Autoriteit Persoonsgegevens (AP) adviseert zelfs om zo’n rol in te richten, juist om te voldoen aan eisen rond AI-geletterdheid. De AI-officer houdt toezicht op het ethische en transparante gebruik van AI, bewaakt risico’s en helpt bij het opstellen van intern beleid dat in lijn is met de AI Act.

Werkt een organisatie met hoogrisico-AI-toepassingen, dan is een Data Protection Impact Assessment (DPIA) verplicht. De AI-officer speelt hierin een sleutelrol: van het coördineren van het DPIA-traject en adviseren over risicobeperkende maatregelen tot het borgen dat deze ook echt in beleid en praktijk terechtkomen.

Bij grootschalige of systematische dataverwerking is een FG verplicht. Die ziet toe op privacyregels, adviseert en onderhoudt contact met de Autoriteit Persoonsgegevens. In kleinere organisaties kunnen AI-officer en FG dezelfde persoon zijn. Zo ontstaat een centrale spil voor zowel AI- als privacyvraagstukken: handig voor marketingteams die op beide vlakken compliant willen werken.

Praktische tips voor marketeers

• Ken je tools – Weet welke AI je gebruikt en in welke risicocategorie die valt;
• Documenteer – Houd bij welke persoonsgegevens je gebruikt en waarvoor;
• Wees transparant – Geef aan wanneer je AI inzet en hoe je omgaat met data;
• Vraag toestemming – Vooral bij intensieve profilering;
• Zorg voor menselijke controle – Laat AI nooit volledig de dienst uitmaken.

Wil je meer praktische tips voor het verantwoord gebruik van AI in marketing? Lees dan de Marketinggids Responsible AI. De AI Act en de AVG lijken misschien complex, maar vormen samen een hanteerbaar kader. Net zoals we gewend raakten aan cookiebanners en privacyverklaringen, zullen we ook leren omgaan met transparantie en menselijk toezicht bij AI. Zie de regels niet als beperking, maar als hulpmiddel om AI verantwoord in te zetten en zo het vertrouwen van je klanten te versterken.

Over de auteurs: Allisha Hosli en Frank de Vries zijn beiden legal counsel bij DDMA.

Over deze serie – Het idee achter de AI-&-Legal-artikelenreeks is om meer inzicht te geven in hoe AI zich verhoudt tot bestaande wetgeving die relevant is voor de (datagedreven) marketingsector. We gaan in op thema’s en onderwerpen als privacy, auteursrecht, reclamerecht (influencermarketing), cookies, platformen en cybersecurity, allemaal in relatie tot AI. Zo kijken we verder dan alleen de AI Act, zodat we kunnen beschrijven wat relevant is voor onze leden.