Nieuwe AI-tool? Deze 4 stappen worden van de privacy professional verwacht
Sabine Steenwinkel- den Daas | Highberg
Steeds meer organisaties experimenteren met AI-tools, van tekstgenerators tot voorspellende analysesystemen. Maar met die groei neemt ook de verantwoordelijkheid toe voor de privacy professional. Hoe beoordeel je of een AI-toepassing veilig, transparant en AVG-proof is? Volgens Sabine Steenwinkel- den Daas, gastdocent bij de Certified Data Protection Officer opleiding (CDPO-opleiding), begint alles bij één vraag: “Weet je eigenlijk wat AI doet?” In dit artikel schetsen we de 4 aandachtspunten waar privacy professionals op moeten letten.
1. Werk aan je AI-geletterdheid
Voordat een AI-tool überhaupt in gebruik wordt genomen, moet de privacy professional begrijpen wat AI is en hoe het werkt. AI verschilt van traditionele IT-systemen omdat het vaak zelflerende componenten bevat. Het gebruikt meerdere datasets — soms zelfs buiten de muren van je organisatie — om modellen te trainen en voorspellingen te doen. Bovendien zijn de uitkomsten van een AI-systeem een kansberekening, iets wat bij de traditionele IT-systemen – waarbij de routes vastliggen – niet zo is. Als je niet begrijpt hoe dat proces verloopt, kun je de privacy risico’s ook niet goed inschatten. AI-geletterdheid is daarom een basisvoorwaarde voor elke privacy professional. Alleen dan kun je inschatten waar persoonsgegevens worden verwerkt en welke invloed dat heeft op betrokkenen.
2. Stel de juiste vragen aan de techneut
De tweede stap is het gesprek aangaan met de technische kant van de organisatie of leverancier. “Vraag waar de privacygevoelige data precies worden gebruikt. In het algoritme? In het datasysteem? Of juist in de output?” Veel risico’s ontstaan namelijk doordat gegevens in meerdere fases van het AI-proces worden verwerkt. Zeker bij taalmodellen kan het gemakkelijk gebeuren dat gebruikers ongemerkt persoonsgegevens invoeren — denk aan een chatbot waarin iemand zijn adres of leeftijd deelt. Een privacy professional hoeft geen programmeur te zijn, maar moet wél weten welke vragen gesteld moeten worden. Dat voorkomt dat privacy risico’s pas aan het licht komen als de tool al in gebruik is genomen.
3. Haal expertise in huis
Soms is de technologie simpelweg te complex voor een privacy professional. “Wees dan niet bang om een algoritme-expert of data scientist in te schakelen,” adviseert Steenwinkel – Den Daas. “Het is geen zwaktebod, maar een teken van volwassen gegevensbescherming als je erkent dat je extra kennis nodig hebt.” Nieuwe rollen kunnen helpen bij het duiden van AI-risico’s of het beoordelen van de technische documentatie van leveranciers. Zeker nu de AI Act in werking treedt, wordt samenwerking tussen juridische, technische en ethische experts essentieel.
4. Classificeer de risico’s en help AI-beleid vormgeven
De vierde stap is het classificeren van risico’s volgens de AI Act en de AVG. Niet elke AI-toepassing is even risicovol. “Een aanbevelingsalgoritme voor webshops is iets anders dan een AI-systeem dat beslissingen neemt over sollicitanten of burgers.” In de AI Act staat een aantal hoog risico domeinen vast, bijvoorbeeld kritieke infrastructuur of biometrie. Maar het is aan de organisatie om te bepalen wat hoog of laag risico betekent binnen de eigen context. Gebruik de wettelijke kaders, maar geef er intern kleur aan. De privacy professional speelt hierbij een centrale rol door de risico’s te vertalen naar concreet beleid. Denk aan AI-beleid waarin staat wanneer een DPIA verplicht is, hoe privacy by design wordt toegepast en wie verantwoordelijk is voor toezicht.
Bewustwording als sleutel
Toch noemt Steenwinkel-Den Daas één absolute “no-go” voor organisaties die AI willen inzetten binnen de AVG: geen awareness of gebruikers¬training voor collega’s. “A fool with a tool is still a fool,” zegt zij glimlachend. Je moet mensen leren hoe ze AI op een verantwoorde manier gebruiken. Wat vraag je wel of niet aan een chatbot? Hoe beïnvloedt jouw input de uitkomst van een algoritme? Alleen met goede werkinstructies voorkom je dat AI-systemen onbedoeld persoonsgegevens verwerken.
Van risico naar verantwoordelijkheid
AI hoeft niet per definitie gevaarlijk te zijn, benadrukt zij. Het gaat er niet om of je persoonsgegevens gebruikt, maar hoe je dat doet. Kijk hoe het wél kan — verantwoord, transparant en met de juiste waarborgen. Haar boodschap aan privacy professionals is helder: “Wees er al bij voordat de tool wordt ingekocht. Dan kun je meedenken over privacy by design, in plaats van achteraf te moeten repareren.”
In de CDPO-opleiding neemt Steenwinkel- Den Daas de deelnemers op hoofdlijnen mee in de AI Act. “Ik leg uit waar raakvlakken zijn tussen Privacy Impact Assessments uit de AVG en tussen Impact Assessments vanuit de AI act. Ook leg ik uit welke nieuwe taken er nodig zijn om verantwoord AI te gebruiken”. Die kunnen door privacy professionals worden gedaan, maar dat is niet altijd vereist. Wel worden privacy professionals die de taal van AI spreken, de juiste vragen stellen en samenwerking zoeken, een strategische partner in innovatie.
Nationaal Congres AI Governance & Compliance
Het Nationaal Congres AI Governance & Compliance op 9 april 2026. Ontdek hoe u...
Certified Data Protection Officer®
Deze opleiding is speciaal voor de gevorderde Data Protection Officer ontwikkeld. Met de titel...
Share
