AVG AI-compliance met Audact

Hoe Audact de AVG afhandelt

AVG Artikel 22: geautomatiseerde besluitvorming en AI

Artikel 22 geeft elke betrokkene het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking gebaseerde beslissing — inclusief profilering — die rechtsgevolgen heeft of hem of haar op vergelijkbare wijze significant treft. Voor AI-deployers is dit de meest verstrekkende bepaling in de AVG: een AI-systeem dat een lening weigert, een sollicitant afwijst, een fraudeblokkering activeert of een disciplinaire hoorzitting inplant zonder betekenisvolle menselijke beoordeling, valt rechtstreeks onder Artikel 22.

Er zijn rechtmatige routes: uitdrukkelijke toestemming, noodzakelijkheid voor een overeenkomst, of machtiging op grond van Unie-/lidstaatwetgeving met passende waarborgen. In alle gevallen moet de verwerkingsverantwoordelijke zinvolle informatie verstrekken over de betrokken logica, het belang van de verwerking, en de betrokkene het recht geven menselijke tussenkomst te verkrijgen, een standpunt in te nemen en de beslissing te betwisten. Het Hof van Justitie van de EU bevestigde in SCHUFA (C-634/21, 2023) dat kans­scoring door derde partijen ter onderbouwing van een beslissing zelf 'geautomatiseerde besluitvorming' is — waarmee Artikel 22 wordt verbreed voor AI-leveranciers.

Hoe AI-systemen AVG-gegevensbeschermingsverplichtingen activeren

Training, fine-tuning en inferentie op persoonsgegevens zijn elk afzonderlijke verwerkingsactiviteiten onder Artikel 4(2), en elk vereist een eigen rechtsgrondslag onder Artikel 6. Voice agents, chatbots en agentische workflows verwerken routinematig namen, telefoonnummers, stembiometrie en inhoud die gezondheid, overtuigingen of seksualiteit onthult — wat de verwerking kan escaleren naar bijzondere categorieën persoonsgegevens onder Artikel 9, waarvoor een sterkere grondslag vereist is zoals uitdrukkelijke toestemming of zwaarwegend algemeen belang.

Een Gegevensbeschermingseffect­beoordeling (Artikel 35) is in de praktijk verplicht voor de meeste klantgerichte AI-implementaties: zij combineren systematische monitoring, nieuwe technologie en vaak kwetsbare betrokkenen. Verwerkings­verantwoordelijken moeten ook voldoen aan de transparantieverplichtingen van Artikelen 13–14 op het moment van gegevensverzameling — een verplichting die AI-voice agents vaak niet nakomen omdat de openbaarmaking te laat in het gesprek plaatsvindt.

Grensoverschrijdende gegevens­overdrachten onder de AVG voor AI-aanbieders

Hoofdstuk V van de AVG beperkt overdrachten van persoonsgegevens buiten de EER. Na Schrems II moeten verwerkings­verantwoordelijken een Transfer Impact Assessment uitvoeren bij gebruik van Standard Contractual Clauses, en het EU-VS-gegevensprivacy­raamwerk biedt momenteel de enige adequaatheidsbrug naar de Verenigde Staten. Veel populaire AI-aanbieders (OpenAI, Anthropic, Google) verwerken EU-gegevens op in de VS gebaseerde infrastructuur onder DPF of SCC's, wat de due-diligence­last op de klant legt.

Audact lost dit op door uitsluitend binnen de EU te opereren: inferentieverkeer, metadata, sleutels en back-ups blijven binnen AWS Frankfurt en Amsterdam. Er vindt nooit een Hoofdstuk V-overdracht plaats, waardoor de TIA-overhead wordt geëlimineerd en afhankelijkheid van de politieke stabiliteit van het DPF wordt weggenomen.

Gegevensverwerkingsrollen

Audact treedt op als verwerker. De klant blijft te allen tijde de verwerkings­verantwoordelijke. Audact verwerkt gegevens uitsluitend namens en onder de instructies van de verwerkings­verantwoordelijke.

Gegevens­verwerkings­overeenkomst

Onze standaard GVO is beschikbaar op /legal/dpa. Enterprise-klanten kunnen een aangepaste GVO aanvragen.

Veelgestelde vragen

Vergelijk EU AI-compliancewetgeving

Gerelateerde compliance­bronnen

• Overzicht EU AI Act Artikel 50 compliance
• Digital Services Act compliance voor AI
• Audact compliance platform prijzen