AVG en je AI-werkplek: wat moet je geregeld hebben
Wat AVG-bewust opzetten van een AI-werkplek in de praktijk betekent. Een concrete checklist, eerlijk geformuleerd, zonder schijngaranties.
/ KORT GEZEGD
Wat AVG-bewust opzetten van een AI-werkplek in de praktijk betekent. Een concrete checklist, eerlijk geformuleerd, zonder schijngaranties.
Onderdeel van
AI-werkplek voor MKBSPOKE/AI-WERKPLEK MKB
PUBLICATIE·6 JUNI 2026
Privacy en gegevensbescherming bepalen of een AI-werkplek in een MKB-bedrijf wel of niet van de grond komt. Het verkooppraatje is vaak "wij zijn AVG-proof". Dat is een claim die niemand verantwoord kan geven zonder juridische dekking per geval. In dit artikel beschrijven we wat AVG-bewust opzetten in de praktijk betekent, welke checklist wij hanteren bij elke nieuwe klant, en wanneer je wél en niet een DPIA moet uitvoeren.
/ 01Uitgangspunt
Het uitgangspunt
AVG is geen ja-of-nee schakelaar. Het is een set verplichtingen die je per verwerking moet kunnen onderbouwen. Voor een AI-werkplek betekent dat: per use case nagaan welke gegevens je verwerkt, op welke grondslag, met welk doel, hoelang, en hoe je betrokkenen rechten kunnen uitoefenen. Dat klinkt zwaarder dan het is. Voor de meeste MKB-toepassingen volstaat een goed gestructureerde basis.
Niet beloven wat we niet kunnen waarmaken. Wel transparant vastleggen wat we wél kunnen.Ons werkkader
/ 02Checklist
De checklist
Voor elke klantopzet doorlopen we deze checklist. Het is geen wettelijke checklist (die kunnen wij niet leveren). Het is een operationele checklist op basis van wat we in praktijk consistent zien werken bij Nederlandse MKB-juristen.
| Pijler | Hoe wij het invullen |
|---|---|
| Data-locatie | EU-omgeving waar mogelijk · per use case besproken · documentatie aan welke regio |
| Multi-tenancy | Aparte vector-store per klant · geen gedeelde indexes · sub-tenants per cliënt indien nodig |
| Model-instellingen | Enterprise-API met opt-out van trainingsgebruik · alternatief: zelf-gehoste open-weight modellen |
| Audit-log | Wie vroeg wat wanneer, welke bronnen geantwoord · steekproefsgewijze controle door compliance |
| Verwerkersovereenkomst | Conceptversie vóór projectstart beschikbaar · maatwerk per sector indien gevraagd |
| Retentie | Documenten verwijderbaar binnen 24 uur op verzoek · automatische export bij beëindiging |
/ 03Modellen
Modellen en hun voorwaarden
De keuze van het taalmodel heeft direct effect op de AVG-uitwerking. Drie hoofdvarianten:
OpenAI / Anthropic enterprise-API
Beide bieden in hun zakelijke API expliciet de optie om input uit te sluiten van modeltraining. Bij gebruik daarvan is de juridische basis helder: je documenten worden verwerkt voor het specifieke doel (antwoord geven), niet opgenomen in nieuwe modeltraining. Voor sub-verwerker-doorgifte buiten EU bestaan standard contractual clauses; deze zijn standaard in onze opzet.
Zelf-gehoste open-weight modellen
Een open-weight model (Llama, Mistral) draaiend op een managed GPU in een EU-datacenter. Geen externe partij ziet de input. Zwaarder qua kosten, simpeler qua juridische verantwoording.
Eigen hardware
Lokale AI-server in jullie eigen serverruimte. Geen externe partij in het hele pad. Voor sectoren met strikte data-eisen (zorg, juridisch soms) is dit het toegankelijkste pad richting "verwerking blijft in huis".
/ 04DPIA
Wanneer een DPIA
Een DPIA (Data Protection Impact Assessment) is verplicht bij hoog-risico verwerking. De Autoriteit Persoonsgegevens noemt onder meer:
- Grootschalige verwerking van bijzondere persoonsgegevens (zorg, gezondheid).
- Systematische monitoring van openbaar toegankelijke ruimtes.
- Beslissingsondersteuning met grote impact op betrokkenen.
Voor de meeste AI-werkplekken in MKB-context geldt geen DPIA-plicht. Wel raden wij aan om de afweging te documenteren. Drie regels in een intern memo waarin je vaststelt waarom geen DPIA nodig is, is voldoende én verstandig.
/ 05Niet
Wat je niet hoeft
Een paar dingen die in marketing-verhalen vaak alarmerend worden opgevoerd, maar in MKB-praktijk geen vereiste zijn:
- Eigen taalmodel trainen. Niet nodig. Vrijwel alle waarde zit in goede RAG bovenop bestaande modellen.
- Cijfersysteem op cliëntdata. Niet praktisch en zelden zinvol. Beter is goede toegangscontrole en audit-log.
- NEN-certificering op AI-systeem. Geen verplichting, en voor MKB-toepassingen een dure formaliteit zonder praktische meerwaarde.
- Een AI-functionaris in dienst nemen. Niet nodig. Beter een goed beheerd extern traject.
Voor de bredere AI-werkplek context: zie ons pillar-dossier AI-werkplek voor het Nederlandse MKB. Voor de specifieke private document AI uitwerking, zie Private Document AI voor het Nederlandse MKB. Wil je dit voor jouw situatie laten doorrekenen? Plan een intake. Reactie binnen 24 uur via het intake-formulier.
OVER DE AUTEURS
Milan de Romijn
Oprichter
Bouwt en runt MKB Compute samen met Tom. Verantwoordelijk voor operations, agent-orkestratie en klant-implementatie.
VOLGENDE STAP/AI-WERKPLEK
Plan een Quickstart-gesprek van 30 minuten. Binnen 24 uur reactie.
We luisteren naar je proces, kiezen samen één use case en leveren binnen 7 dagen een werkende AI-werkplek op.
VERDER LEZEN IN HETZELFDE DOSSIER
Meer uit AI-werkplek voor MKB.
PILLAR·21 min
AI-werkplek voor het Nederlandse MKB
Wat een AI-werkplek precies is, in welke vier vormen je hem tegenkomt, hoe je build versus managed kiest en wat hij in 7, 30 en 90 dagen oplevert.
Lees verder →PILLAR·22 min
Private Document AI voor het Nederlandse MKB
Wat het is, wanneer het loont, hoe je het AVG-bewust opzet en wat het in de praktijk oplevert. Een gestructureerd dossier voor beslissers.
Lees verder →VELDVERSLAG·9 min
AI-werkplek voor accountantskantoren: scenario's en valkuilen
Vier concrete scenario's waarin AI accountantskantoren tijd bespaart, plus de valkuilen rond cliëntscheiding, beroepsethiek en aansprakelijkheid.
Lees verder →