Gepubliceerd: 14/04/2026 - 5 minuten lezen
Hoe implementeer je AI wettelijk correct in je organisatie?
Thomas Van Gremberghe
Bedrijfsjurist bij Agoria
Wie AI-systemen bouwt, implementeert en gebruikt, moet in Europa aan heel wat wetgeving voldoen. Het gaat daarbij zowel om wetgeving omtrent het AI-systeem zelf, met name de Europese AI Act, als om regels rond het gebruik van persoonsgegevens in AI-toepassingen. Thomas Van Gremberghe, bedrijfsjurist bij Agoria, licht de verplichtingen toe.
Om te beginnen is er dus de AI Act, waarmee Europa een regelgevend kader heeft ontwikkeld voor AI-systemen. “Hebben die AI-systemen een minimaal risico, dan legt Europa geen extra maatregelen op”, legt Thomas Van Gremberghe uit. “Rond AI-systemen met een beperkt risico, zoals generatieve AI, verplicht de Europese Unie de nodige transparantie te bieden aan de gebruikers.” Qua compliance burden valt dat mee.
Ook over AI-systemen met een onaanvaardbaar risico is de EU duidelijk: die zijn ronduit verboden. Denk aan sociale scoring, de exploitatie van kwetsbare groepen, biometrische categorisering en emotieherkenning op de werkplek of in het onderwijs.
De meeste verplichtingen die de AI Act oplegt, hebben te maken met AI-systemen met een hoog risico. Dat gaat dan om verplichtingen rond risicobeheer, data governance, technische documentatie, record keeping, transparantie, menselijke tussenkomst en robuustheid, accuraatheid en cybersecurity.
Welke verplichtingen gelden er rond persoonsgegevens?
Als je AI implementeert in je organisatie moet je daarbij rekening houden met de General Data Protection Regulation (GDPR). Op zich is het eenvoudig: als je in een AI-systeem met persoonsgegevens omgaat, moet je alle GDPR-principes naleven. Het gaat dan om het rechtmatige, transparante en correcte gebruik van data, niet meer data dan nodig (data minimisation), enkel voor een specifiek doel (purpose limitation) en met verplichtingen rond opslagbeperking, juistheid en confidentialiteit. Thomas stelt dat “Het grootste spanningsveld tussen de GDPR en AI is dat tussen het doel en data minimisation. Persoonsgegevens mag je maar voor bepaalde doeleinden gebruiken, en liefst zo weinig mogelijk. Maar als je AI traint, heb je veel data nodig en doe je dat meestal voor andere doeleinden.
Daarnaast hechten autoriteiten almaar meer belang aan de juridische grondslag (zoals de toestemming van de betrokkene of het gerechtvaardigd belang van de organisatie) voor het verwerken van persoonsgegevens. “Binnen de Europese Unie kunnen persoonsgegevens vrij bewegen, maar bij transfers voorbij de Europese grenzen zijn mogelijk bijkomende beschermingsmaatregelen nodig”, zegt Thomas Van Gremberghe.
Daarnaast staat de confidentialiteit onder druk, gezien vele werknemers onbedachtzaam gevoelige data met AI-systemen delen. Hier gaat het niet alleen over persoonsgegevens, maar ook over bedrijfsgeheimen.
Hoe complex is naleving?
Of het al dan niet complex is om GDPR-compliant te zijn bij het gebruik van AI, hangt af van de context: koop je louter een licentie of laat je een AI-systeem intern of extern ontwikkelen? Hoe meer je zelf doet om het AI-systeem op te zetten, hoe meer je moet doen om GDPR-compliant te zijn. Dat slaat dan trouwens zowel op de gegevens die gekoppeld zijn aan personen die je gebruikt om AI te trainen, als op de persoonsgegevens die je nadien in het AI-systeem invoert én de soortgelijke data die het systeem oplevert.
Om compliance met GDPR te verzekeren, zijn twee principes vanaf dag één van groot belang. ‘Data protection by design’ houdt in dat de bouwer vanaf het ontwerp van het systeem de nodige waarborgen inbouwt. Volgens het principe ‘data protection by default’, stel je de databescherming standaard op het hoogste beschermingsniveau in. De gebruiker kan het dan zelf eventueel verlagen. Mogelijk is het ook verplicht om een data protection impact assessment op te stellen, als de verwerking van persoonsgegevens een hoog risico inhoudt voor de rechten en vrijheden van de betrokkenen.
Opleiding van werknemers
De risico’s die medewerkers nemen, brengen Thomas Van Gremberghe tot een belangrijk laatste punt: “Om de nadelige gevolgen van onveilig AI-gebruik te beperken, doe je er als organisatie goed aan je medewerkers op te leiden. Implementeer een AI-beleid over het toegelaten gebruik, met informatie over de risico’s en de opportuniteiten. Al te vaak zag ik hoe werknemers goedbedoeld gevoelige data in een tool als ChatGPT gooien … waarop de werkgever als reactie dan maar meteen het gebruik van alle AI verbiedt. Dat kan en mag de bedoeling niet zijn.”
Wil je nog meer context of meer info?
We maakten ook een AI-podcastversie van deze uiteenzetting van Thomas. Let wel: AI‑gegenereerde podcasts zijn niet altijd foutloos, maar geven u wél een vlotte eerste indruk van de besproken inzichten. Wilt u aan de slag gaan met AI of een expert aan uw zijde om uw AI-projecten effectief te doen slagen en er maximum business value uit te halen?
Ontdek inzichten en perspectieven van experts
- Titel
- Beschrijving
- Date
- 1
- 2
- 3