Alle artikelen
avg3 min lezen

AVG-veilig met AI in je administratie: een praktische checklist

AI gebruiken in je administratie betekent ook klantdata laten verwerken door een externe partij. Zo doe je 't AVG-proof.

Team Corlega

Team Corlega

AVG-veilig met AI in je administratie: een praktische checklist

AI-tools gebruiken in je back-office betekent dat klantdata. namen, e-mails, factuurbedragen, soms zelfs BSN of bankgegevens. door een externe partij wordt verwerkt. De AVG is daar duidelijk over: je bent als ondernemer eindverantwoordelijk, ook als een tool het werk doet.

Hier is wat je écht moet checken voor je een AI-platform inzet.

1. Vraag om een verwerkersovereenkomst (DPA)

Geen DPA? Geen deal. Punt.

Een goede AI-leverancier heeft een standaard verwerkersovereenkomst klaar liggen die je zonder onderhandelen kunt tekenen. Daarin staat:

  • Welke data wordt verwerkt
  • Met welk doel
  • Hoe lang
  • Welke beveiligingsmaatregelen
  • Wat er gebeurt bij een datalek

Geen standaard-DPA = lange onderhandelingen + juridische kosten = je doet 't toch niet.

2. EU-hosting. geen US-cloud

De Schrems II-uitspraak maakte 2020 al duidelijk: data overdragen naar de VS zonder extra waarborgen is niet AVG-compliant. In 2026 is dat nog steeds zo.

Vraag expliciet:

  • Waar staan de servers? (NL/EU of US)
  • Welke sub-verwerkers worden gebruikt? (vraag de lijst op)
  • Loopt verkeer via Amerikaanse routers? (sommige Europese providers gebruiken stiekem US-edge nodes)

Goede leveranciers publiceren dit zonder dat je hoeft te vragen.

3. Wat doet de AI met je data?

Cruciale vraag bij elke AI-tool: wordt klantdata gebruikt om AI-modellen te trainen?

De meeste grote AI-providers bieden tegenwoordig een "zero retention"-modus voor business-API's. Dat betekent:

  • Data wordt niet opgeslagen
  • Wordt niet gebruikt om modellen te trainen
  • Wordt direct na de respons verwijderd

Vraag je leverancier: gebruiken jullie zero-retention? Zo niet, los op of zoek een ander.

4. Dataminimalisatie in de praktijk

AVG eist dat je niet meer data verwerkt dan strikt nodig. In de praktijk:

  • BSN niet doorsturen naar AI tenzij hij echt nodig is voor het antwoord
  • Adressen alleen bij het opstellen van facturen, niet bij algemene mails
  • Audit-log van wie wat zag. verplicht voor klantverzoeken inzage

Goede tools doen dit by default. Bij twijfel: vraag een demo en kijk live mee.

5. Recht op vergetelheid

Een klant kan vragen om verwijdering van zijn data. AVG eist dat je dat kunt uitvoeren. ook bij je AI-tool.

Test dit vooraf: kun je in 1 actie alle data van een specifieke klant verwijderen? Zo niet, dan ben je niet compliant.

6. Datalek-melding binnen 72 uur

Bij een datalek moet je binnen 72 uur de Autoriteit Persoonsgegevens informeren. Je AI-leverancier hoort jou direct te informeren. bij voorkeur binnen 24 uur.

In de DPA moet dit staan, met namen en telefoonnummers van wie je belt.

Praktische checklist

✅ DPA standaard meegeleverd
✅ Servers in EU (bij voorkeur Nederland/Duitsland)
✅ Sub-verwerkers publiek gedocumenteerd
✅ Zero-retention bij AI-providers
✅ Dataminimalisatie by default
✅ Recht op vergetelheid in 1 klik
✅ Datalek-meldproces helder vastgelegd
✅ Encryption at-rest en in-transit

Vink deze 8 punten af bij elke AI-leverancier voor je gaat tekenen. Slaagt 'ie niet? Zoek een ander.

Hoe Corlega 't doet

Wij scoren 8/8 op deze checklist. niet omdat 't moest, maar omdat we vinden dat klantdata daar hoort. Lees onze security & privacy voor de details.