Direct naar inhoud

Kennisartikel · AI Act, AVG & governance

AVG en AI: grondslagen, DPIA en verwerkers

Wie met AI persoonsgegevens verwerkt, heeft een grondslag nodig, moet een verwerkersovereenkomst sluiten en is bij hoog risico verplicht een DPIA uit te voeren. Deze pagina legt uit wat dat in de praktijk betekent.

Laatst bijgewerkt 14 juni 2026 · door Arjan Woldring

De AVG geldt onverkort bij elke AI-verwerking van persoonsgegevens. U heeft een rechtsgeldige grondslag nodig, moet dataminimalisatie toepassen, een verwerkersovereenkomst sluiten met AI-leveranciers en bij hoog risico een DPIA uitvoeren. Zo verwerkt u persoonsgegevens rechtmatig met AI.

Implementa

01 · De basis

Wat is de AVG-basis bij AI?

De Algemene Verordening Gegevensbescherming (AVG) is van toepassing op elke organisatie die persoonsgegevens verwerkt, ook wanneer dat via een AI-systeem gebeurt. Het feit dat een algoritme de verwerking uitvoert, doet niets af aan uw verplichtingen als verwerkingsverantwoordelijke.

De kernbeginselen zijn onveranderd van kracht:

  • Grondslag: elke verwerking heeft een rechtsgeldige grondslag nodig.
  • Doelbinding: gegevens mogen alleen worden gebruikt voor het doel waarvoor ze zijn verzameld.
  • Dataminimalisatie: verwerk alleen wat strikt noodzakelijk is.
  • Transparantie: betrokkenen moeten weten dat en hoe hun gegevens worden verwerkt.
  • Beveiliging: passende technische en organisatorische maatregelen zijn vereist.
  • Verantwoordingsplicht: u moet kunnen aantonen dat u compliant bent.

De Autoriteit Persoonsgegevens (AP) is de Nederlandse toezichthouder en publiceert richtsnoeren over de toepassing van de AVG bij algoritmen en AI.

02 · Grondslagen

Welke grondslag kiest u voor AI-verwerking?

De AVG kent zes grondslagen. Bij AI-toepassingen zijn de volgende het meest relevant:

  • Toestemming (art. 6 lid 1 sub a): de betrokkene geeft vrije, specifieke en geïnformeerde toestemming. Toestemming is herroepbaar, wat bij AI lastig kan zijn als het model al is getraind op die data.
  • Uitvoering van een overeenkomst (sub b): de verwerking is noodzakelijk voor de uitvoering van een contract, bijvoorbeeld een behandelovereenkomst in de zorg.
  • Wettelijke verplichting (sub c): een wettelijke taak verplicht tot de verwerking, zoals de dossierplicht in de gezondheidszorg.
  • Gerechtvaardigd belang (sub f): uw belang weegt zwaarder dan de belangen van de betrokkene. Dit vereist een expliciete afweging en is in de zorg zelden voldoende op zichzelf.

Kies de grondslag die het beste past bij het concrete gebruik. Ga niet van grondslag wisselen als een eerste keuze niet blijkt te werken: dat is in strijd met de doelbinding.

03 · DPIA

Wat is een DPIA en wanneer is die verplicht?

Een DPIA (gegevensbeschermingseffectbeoordeling, ook wel PIA of Privacy Impact Assessment) is een gestructureerde analyse van de risico's die een verwerking meebrengt voor de rechten en vrijheden van betrokkenen. Het doel is niet om risico's te omzeilen, maar om ze te identificeren en beheersbaar te maken.

Een DPIA is verplicht wanneer een verwerking waarschijnlijk een hoog risico oplevert. Dat is in elk geval zo bij:

  • Grootschalige verwerking van bijzondere persoonsgegevens, zoals gezondheidsgegevens.
  • Systematische en uitgebreide profilering van mensen.
  • Gebruik van nieuwe technologie die hoog risico kan opleveren, waaronder AI op gevoelige data.

Bij twijfel raadpleegt u de lijst van verwerkingen waarvoor de AP een DPIA verplicht stelt, of overlegt u met uw Functionaris Gegevensbescherming (FG).

Een DPIA omvat doorgaans: beschrijving van de verwerking, beoordeling van noodzakelijkheid en evenredigheid, identificatie van risico's, en de maatregelen die u neemt om die risico's te mitigeren. Als na de DPIA een hoog restrisico overblijft, moet u de AP raadplegen voordat u start.

04 · Verwerkers

Verwerkersovereenkomsten: wat moet erin?

Wanneer u een externe AI-aanbieder inschakelt die in uw opdracht persoonsgegevens verwerkt, is hij een verwerker in de zin van de AVG. U bent dan verwerkingsverantwoordelijke en bent verplicht een verwerkersovereenkomst (VOK) te sluiten.

Een verwerkersovereenkomst bevat ten minste:

  • Het onderwerp en de duur van de verwerking.
  • De aard en het doel van de verwerking.
  • Het soort persoonsgegevens en de categorieën van betrokkenen.
  • De verplichtingen en rechten van de verwerkingsverantwoordelijke.
  • Een verbod voor de verwerker om de gegevens voor eigen doeleinden te gebruiken.
  • Afspraken over sub-verwerkers (die ook aan de AVG moeten voldoen).
  • Beveiligingsmaatregelen en meldplicht bij datalekken.

Veel grote AI-aanbieders bieden standaard verwerkersovereenkomsten aan. Controleer of deze voldoen aan de AVG-vereisten en of de verwerkingslocaties (datacenters) acceptabel zijn, zeker bij verwerking buiten de EER.

05 · Bijzondere gegevens

Bijzondere persoonsgegevens en AI

Gezondheidsgegevens vallen onder de categorie bijzondere persoonsgegevens (artikel 9 AVG). Verwerking is in beginsel verboden, tenzij één van de wettelijke uitzonderingsgronden van toepassing is. In de zorgsector zijn de meest relevante uitzonderingen:

  • De betrokkene heeft uitdrukkelijk toestemming gegeven.
  • De verwerking is noodzakelijk voor de uitvoering van een behandelovereenkomst.
  • De verwerking is noodzakelijk voor preventieve geneeskunde, medische diagnose of het verstrekken van gezondheidszorg.

Bij AI-toepassingen die gezondheidsgegevens verwerken, zoals spraakgestuurde rapportagetools of klinische beslissingsondersteuning, moet u expliciet nagaan welke uitzondering van toepassing is. Die uitzondering moet schriftelijk worden vastgelegd.

Houd ook rekening met de aanvullende eisen van de Wet op de geneeskundige behandelingsovereenkomst (WGBO) en sectorspecifieke regelgeving, zoals het Landelijk Kwaliteitsstatuut GGZ, dat de behandelaar eindverantwoordelijk houdt voor elke klinische beslissing, ook als AI daarin een rol speelt.

Veelgestelde vragen

AVG en AI:
uw vragen beantwoord

Geldt de AVG ook als ik AI gebruik?

Ja. Zodra een AI-toepassing persoonsgegevens verwerkt, geldt de AVG volledig. Dat betekent: een rechtsgeldige grondslag, doelbinding, dataminimalisatie, transparantie en passende beveiliging.

Welke grondslag gebruik ik voor AI-verwerking?

De meest gebruikte grondslagen zijn toestemming, uitvoering van een overeenkomst, wettelijke verplichting en gerechtvaardigd belang. In de zorg speelt de wettelijke verplichting (dossierplicht) een grote rol, maar ook toestemming voor niet-noodzakelijke AI-toepassingen.

Wanneer ben ik verplicht een DPIA uit te voeren?

Een DPIA is verplicht bij grootschalige verwerking van bijzondere persoonsgegevens, systematische en uitgebreide profilering, of bij nieuwe technologie die waarschijnlijk hoog risico oplevert. AI op zorgdata valt daar doorgaans onder.

Wat is een verwerkersovereenkomst en heb ik die nodig bij een AI-leverancier?

Als een externe AI-aanbieder persoonsgegevens verwerkt namens uw organisatie, is een verwerkersovereenkomst wettelijk verplicht. Daarin legt u vast wat de verwerker wel en niet mag met de gegevens.

Mogen gezondheidsgegevens worden gebruikt voor AI?

Gezondheidsgegevens zijn bijzondere persoonsgegevens (artikel 9 AVG). Verwerking is in beginsel verboden, tenzij een specifieke uitzonderingsgrond van toepassing is, zoals de uitvoering van een behandelovereenkomst of uitdrukkelijke toestemming van de betrokkene.

Wat is dataminimalisatie bij AI?

Dataminimalisatie betekent dat u alleen de persoonsgegevens verwerkt die strikt noodzakelijk zijn voor het doel van de AI-toepassing. Voer geen extra gegevens in die het model niet nodig heeft, en bewaar trainings- of testdata niet langer dan nodig.

Wie houdt toezicht op AVG-naleving bij AI?

De Autoriteit Persoonsgegevens (AP) is de Nederlandse toezichthouder. De AP publiceert richtsnoeren over algoritmen en AI op haar website en kan handhavend optreden bij overtredingen.

Over de auteur

Arjan Woldring

oprichter Implementa

Arjan Woldring is oprichter van Implementa en begeleidt organisaties bij verantwoorde AI-implementatie. Hij combineert diepgaande kennis van AVG, AI Act en governance met praktijkervaring in de zorgsector.

Volg op LinkedIn Vakinhoudelijk gecontroleerd op Vakinhoudelijk gecontroleerd op 14 juni 2026

Lees ook

Meer over AVG, privacy en governance

Verdiep u verder in de AVG, privacy-first AI en goed AI-register bijhouden.

Pilaar 4 · Zorg

AVG en AI in de zorg

De specifieke privacyregels voor zorgorganisaties die AI inzetten: van de dossierplicht tot bijzondere persoonsgegevens.

Lees verder

Pilaar 3 · Maatwerk

Privacy-first AI

Hoe ontwerp je een AI-oplossing waarbij privacy geen nagedachte is maar een bouwsteen.

Lees verder

Pilaar 5 · Governance

AI-register: wat en waarom

Leg bij welke AI-systemen u gebruikt, voor welk doel, en hoe u ze beheert. Verantwoording begint met registratie.

Lees verder