Blog

GDPR en AI voor gemeenten: wat moet u weten?

8 min lezen

Gemeenten zijn verwerkingsverantwoordelijken met een zware GDPR-last. AI inzetten op uw website voegt een nieuwe dataverwerkende laag toe — en stelt uw DPO voor nieuwe vragen. Dit artikel geeft een helder overzicht van wat u moet weten en checken vooraleer u start.

Welke persoonsgegevens verwerkt een AI-agent?

Een AI-agent die burgervragen beantwoordt, verwerkt in principe geen persoonsgegevens als hij goed is ontworpen. De burger stelt een vraag ("wanneer sluit het loket?") en krijgt een antwoord — zonder dat er een account, naam of rijksregisternummer nodig is.

Het risico ontstaat wanneer burgers vrijwillig persoonsgegevens delen in het gesprek: "Ik, Jan Janssen uit de Kerkstraat 5, wil weten..." In dat geval verwerkt de agent die gegevens tijdelijk. De vraag is: hoe lang worden ze bewaard, en door wie?

Bewaring en logging: de kritische vraag

Veel AI-platformen bewaren gespreksdata standaard voor analytische doeleinden. Dat is begrijpelijk vanuit productontwikkeling, maar problematisch voor gemeenten als verwerkingsverantwoordelijke.

Stel uw leverancier altijd volgende vragen:

  • Hoe lang worden gesprekslogs bewaard?
  • Wie heeft toegang tot die logs?
  • Worden ze gebruikt om het model te trainen?
  • Kunnen we kiezen voor een sessieloze modus zonder bewaring?
  • Waar staan de servers: EU of derde landen?

Sophie werkt sessieloos: na het gesprek worden geen gegevens bewaard. Verwerking vindt uitsluitend plaats binnen de EU. Dat is een bewuste keuze om de GDPR-last voor gemeenten minimaal te houden.

Verwerkersovereenkomst: een must

Zodra een externe partij persoonsgegevens verwerkt namens uw gemeente, is een verwerkersovereenkomst (DPA) verplicht onder de AVG. Dat geldt ook voor AI-leveranciers.

Controleer dat de overeenkomst volgende elementen bevat:

  • doel en duur van de verwerking;
  • categorieën van betrokkenen en gegevens;
  • beveiligingsmaatregelen (versleuteling, toegangscontrole);
  • rechten van betrokkenen (inzage, wissing, bezwaar);
  • subverwerkers en hun locaties;
  • meldingsplicht bij datalekken.

Transparantie naar burgers

Burgers moeten weten dat ze met een AI-agent spreken, niet met een medewerker. Dat is zowel een ethische als een wettelijke verplichting. Vermeld duidelijk in de chatinterface dat het om een geautomatiseerd systeem gaat, en bied een escalatieweg aan naar een menselijke medewerker.

Voeg ook een vermelding toe in uw privacyverklaring: welke AI-tools zet u in, voor welk doel, en hoe kunnen burgers hun rechten uitoefenen?

DPO-checklist: AI op uw gemeentewebsite

  • Verwerkersovereenkomst afgesloten met AI-leverancier
  • Register van verwerkingsactiviteiten bijgewerkt
  • Sessieloze modus of duidelijke bewaarperiode vastgelegd
  • Serverlocatie bevestigd (EU)
  • Privacyverklaring bijgewerkt met AI-vermelding
  • Duidelijke melding in chatinterface ("U spreekt met een AI-agent")
  • Escalatieweg naar menselijke medewerker voorzien
  • Beleid voor datalekken afgestemd met leverancier

Hebt u vragen over hoe Sophie omgaat met GDPR? Neem contact op — we bezorgen u de volledige verwerkersovereenkomst en beantwoorden vragen van uw DPO.