Field Note 005Strategy
AI en de AVG: waar de wet schuurt met hoe modellen leren
Modellen willen zoveel mogelijk data, de AVG wil zo min mogelijk. Die spanning los je niet op met een vinkje, maar met keuzes in het ontwerp.

De AVG en machine learning trekken aan tegengestelde kanten. Een model wordt beter met méér data; de AVG verplicht juist tot zo min mogelijk, en alleen voor een vooraf bepaald doel. Die spanning is geen formaliteit die je met een privacyverklaring wegneemt. Ze zit in hoe je bouwt.
Waar het schuurt
Vier plekken waar AI en de AVG botsen, en die je vooraf moet beslechten:
- Dataminimalisatie. Het model wil alles; de wet staat alleen toe wat nodig is voor het doel.
- Doelbinding. Data die je voor het ene doel verzamelde, mag je niet zomaar hergebruiken om een model te trainen voor iets anders.
- Transparantie. Je moet kunnen uitleggen wat er met persoonsgegevens gebeurt, ook als het systeem complex is.
- Geautomatiseerde besluiten. Een volledig automatisch besluit met rechtsgevolg mag alleen met grondslag én een menselijke controle waartegen iemand bezwaar kan maken.
Compliance is een ontwerpkeuze, geen sluitstuk
Privacy die je achteraf aan een AI-systeem probeert vast te schroeven, kost meer en werkt minder goed dan privacy die je vanaf het ontwerp meeneemt.
AVG en AI Act zijn twee sloten op dezelfde deur
De AVG gaat over persoonsgegevens; de AI Act over het risico van het systeem. Ze overlappen, maar dekken elkaar niet. Een systeem kan AVG-proof zijn en toch onder de hoog-risico-verplichtingen van de AI Act vallen. Behandel ze samen, niet als losse projecten. Hoe je dat bestuurlijk belegt, staat in AI governance: van AI Act naar bestuurbare AI.
Compliant bouwen is geen rem op AI. Het is de voorwaarde waaronder je gevoelige data überhaupt aan een model durft toe te vertrouwen, en dat begint bij een datafundament waarin toegang en herleidbaarheid al zijn ingebouwd.


