ABAC (Attribute-Based Access Control)
ABAC beslist over toegang op basis van attributen, zoals afdeling, land, classificatie, project of context. Het is flexibeler dan RBAC, maar...
Lees meerGDPR, in het Nederlands de AVG, is de Europese verordening die bepaalt hoe je met persoonsgegevens omgaat. Ze verbiedt datagebruik niet, maar stelt er voorwaarden aan: een duidelijk doel, een rechtsgrond en niet langer bewaren dan nodig. Voor iedereen die met rapporten, warehouses of AI werkt, is dat dagelijkse realiteit.
GDPR staat voor General Data Protection Regulation. In het Nederlands heet ze de AVG, de Algemene Verordening Gegevensbescherming. Het is de Europese verordening (2016/679) die sinds 25 mei 2018 in alle lidstaten bepaalt hoe organisaties met persoonsgegevens moeten omgaan.
De verordening beschermt de gegevens van mensen in de EU en werkt ook buiten de Europese grenzen: een Amerikaans bedrijf dat diensten aanbiedt aan Belgische klanten moet zich er evengoed aan houden.
De hardnekkigste misvatting over GDPR is dat ze het gebruik van klantdata verbiedt. Dat klopt niet. De verordening regelt hoe je persoonsgegevens gebruikt, niet of je dat mag. Wie een duidelijk doel heeft, een rechtsgrond kan aanwijzen en de data niet langer bijhoudt dan nodig, kan gewoon rapporteren, analyseren en automatiseren.
Voor wie met data werkt is dat geen abstracte juridische kwestie. Elk verkooprapport met klantnamen, elke CRM-sync naar je warehouse en elk AI-experiment met klantgesprekken valt onder de verordening.
Persoonsgegeven is ruimer dan je denkt. De verordening (artikel 4) noemt niet alleen namen, maar ook identificatienummers, locatiegegevens en online identificatoren. Een klantnummer in je verkooptabel, een IP-adres in je weblogs of een badgenummer in je toegangslogs: zodra je de informatie aan een persoon kan koppelen, is het een persoonsgegeven. "Er staan geen namen in ons warehouse" betekent dus niet dat er geen persoonsgegevens in staan.
Verwerkingsverantwoordelijke en verwerker zijn de twee hoofdrollen. Bepaal jij waarom en hoe persoonsgegevens verwerkt worden, dan ben je verwerkingsverantwoordelijke. Doet een andere partij dat in jouw opdracht, dan is die verwerker. Concreet: draait je klantendata in een cloudwarehouse, dan ben jij verantwoordelijke en is je cloudleverancier verwerker. De verantwoordelijkheid blijft bij jou, ook al staat de data bij hen.
Rechtsgrond: elke verwerking steunt op een van de zes wettelijke gronden uit artikel 6. In gewone taal: toestemming van de persoon, uitvoering van een contract, een wettelijke plicht, een levensbelang, een taak van algemeen belang of een gerechtvaardigd belang van je organisatie. Voor interne rapportering en analyse is dat in de praktijk vaak contractuitvoering of gerechtvaardigd belang. Die laatste grond vraagt wel een afweging tegen de belangen van de betrokkene, dat is geen vrijgeleide.
Dataminimalisatie en bewaartermijnen komen uit de basisprincipes van artikel 5. Je verzamelt alleen wat nodig is voor je doel, en je houdt persoonsgegevens niet langer bij in identificeerbare vorm dan dat doel vereist. Voor een data-team is dat in de praktijk de lastigste regel: een warehouse is net gebouwd om historiek eindeloos bij te houden.
Een data warehouse trekt persoonsgegevens aan als een magneet. De CRM-sync brengt contactgegevens mee, de webshop-export bevat leveradressen, de supporttool levert volledige gesprekken.
Wie kan erbij? Toegang tot persoonsgegevens hoort beperkt te zijn tot wie ze nodig heeft voor zijn werk. In de praktijk betekent dat toegangsbeheer op je warehouse en technieken zoals row-level security in je rapporten, zodat een accountmanager alleen zijn eigen klanten ziet en niet het volledige klantenbestand.
Verwijderverzoeken werken door. Vraagt een klant om zijn gegevens te wissen, dan geldt dat verzoek (artikel 17) niet alleen voor je CRM. Ook de kopie in je warehouse, de export in een gedeelde map en het dashboard met klantdetails tellen mee. Zonder data lineage, zicht op waar welke data naartoe stroomt, wordt zo'n verzoek een zoektocht.
Verwerkersovereenkomsten met je tools. Elke tool die persoonsgegevens voor jou verwerkt, van je warehouse tot je dashboardplatform, vraagt een verwerkersovereenkomst (artikel 28). Die legt vast wat de leverancier met de data mag doen en dat hij niet zonder jouw akkoord sub-verwerkers mag inschakelen.
Datalocatie. Persoonsgegevens doorgeven naar landen buiten de Europese Economische Ruimte mag alleen onder de voorwaarden van hoofdstuk V van de verordening, bijvoorbeeld omdat de Europese Commissie dat land een passend beschermingsniveau toekent of via standaard contractbepalingen. Check dus waar je cloudleverancier je data opslaat, en waar zijn supportteam zit.
AI-projecten zijn gewoon dataverwerking in de ogen van de verordening. Train je een model op klantgesprekken of bestelhistoriek, dan verwerk je persoonsgegevens en heb je daar een rechtsgrond en een duidelijk doel voor nodig. De Europese privacytoezichthouders, verenigd in de EDPB, bevestigden eind 2024 in een opinie over AI-modellen dat dit per geval beoordeeld wordt: ook een getraind model kan nog persoonsgegevens bevatten als die eruit te halen zijn.
Chatbots verdienen aparte aandacht. Zodra medewerkers klantgegevens in een prompt plakken, of een klant zijn eigen gegevens in een chatgesprek typt, ontstaat een nieuwe verwerking. Die gesprekslogs staan vaak bij een leverancier buiten de EU, en sommige leveranciers gebruiken ze om hun modellen verder te trainen. Kijk dat na in je contract voor je een chatbot op klantdata loslaat.
Artikel 22 geeft mensen bovendien het recht om niet onderworpen te worden aan een beslissing die volledig automatisch tot stand komt en hen aanzienlijk treft, zoals een geautomatiseerde kredietweigering. Dan moet je menselijke tussenkomst voorzien.
De AI Act, de Europese verordening over AI-systemen, staat hier los van en komt er bovenop. Kort gezegd: GDPR gaat over de persoonsgegevens die je verwerkt, de AI Act over het AI-systeem waarmee je dat doet.
In België houdt de Gegevensbeschermingsautoriteit (GBA) toezicht. Zij behandelt klachten van burgers, voert inspecties uit, bemiddelt en publiceert richtsnoeren. Elke EU-lidstaat heeft zo'n autoriteit, en samen stemmen ze hun interpretatie af in de EDPB.
De boeteplafonds zijn fors: voor de zwaarste inbreuken, zoals verwerken zonder rechtsgrond of het negeren van rechten van betrokkenen, kan de boete oplopen tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet, het hoogste van de twee (artikel 83). Voor lichtere inbreuken geldt een plafond van 10 miljoen euro of 2 procent.
Nuchter bekeken start een dossier zelden met een miljoenenboete. Het begint meestal met een klacht van een klant of ex-medewerker, gevolgd door vragen van de toezichthouder. Wie dan kan tonen welke data waar staat, met welke rechtsgrond en welke bewaartermijn, staat er goed voor. Wie dat overzicht mist, niet.
Persoonsgegevens sijpelen ongemerkt in rapporten. Een dashboard toont geaggregeerde omzet, maar de onderliggende detailtabel bevat klantnamen en die exporteert iedereen met een klik naar Excel. Denk bij elk rapport na over welk detailniveau echt nodig is, en of de doorklik naar individuele records open moet staan.
Bewaartermijnen botsen met historiek. Je warehouse wil tien jaar verkoophistoriek voor trendanalyse, de bewaartermijn voor klantgegevens is korter. De uitweg: bewaar de oude transacties, maar knip de link naar de identificeerbare persoon door. Geaggregeerde of ontkoppelde historiek blijft bruikbaar voor analyse zonder dat je persoonsgegevens eindeloos bijhoudt.
Anonimiseren is niet hetzelfde als pseudonimiseren. Vervang je klantnamen door een code maar bestaat er ergens een tabel die code en naam koppelt, dan is dat pseudonimisering en blijven het persoonsgegevens (artikel 4). Pas als heridentificatie redelijkerwijs onmogelijk is, valt data buiten de verordening, en die lat ligt hoog.
Schaduwkopieën tellen mee. De export in een mailbox, de testomgeving met een kopie van productiedata, het csv-bestand op een gedeelde schijf: allemaal verwerkingen van dezelfde persoonsgegevens. Hoe minder kopieën, hoe kleiner je risico en hoe haalbaarder een verwijderverzoek.
1. Mag ik klantdata gebruiken om een AI-model te trainen?
Het kan, maar niet zomaar. Je hebt een rechtsgrond nodig, je informeert je klanten over dit gebruik en je traint bij voorkeur op gepseudonimiseerde of geaggregeerde data. De EDPB beoordeelt de rechtmatigheid van zulke projecten per geval, dus documenteer je afweging. Check ook of je AI-leverancier de data zelf hergebruikt: dat maakt de oefening een stuk lastiger.
2. Moet ik klanten om toestemming vragen voor elk rapport?
Nee. Toestemming is maar een van de zes rechtsgronden. Interne rapportering over je eigen klantrelaties steunt meestal op contractuitvoering of gerechtvaardigd belang. Leg wel vast welke grond je gebruikt.
3. Zijn geaggregeerde cijfers in een dashboard persoonsgegevens?
Meestal niet: omzet per regio of per maand is niet tot een persoon te herleiden. Let wel op met kleine groepen. "Omzet per vertegenwoordiger" in een team van drie is wel degelijk tot personen herleidbaar.
4. Werkt een verwijderverzoek door tot in mijn backups?
De verordening maakt geen uitzondering voor backups, maar een record wissen in een backupbestand is technisch vaak niet haalbaar. Een werkbare aanpak: wis de data in je actieve systemen, laat backups volgens hun normale cyclus verlopen en zorg dat gewiste records niet terugkeren bij een restore. Documenteer die werkwijze.
ABAC beslist over toegang op basis van attributen, zoals afdeling, land, classificatie, project of context. Het is flexibeler dan RBAC, maar...
Lees meerAfwijkingsanalyse onderzoekt waar procesuitvoeringen verschillen van een norm, verwacht patroon of vergelijkingsgroep. Ze maakt zichtbaar we...
Lees meerDe AI Act is de Europese verordening die artificiële intelligentie reguleert. Ze deelt AI-systemen op volgens risico en legt verplichtingen ...
Lees meerAI-geletterdheid is de kennis en de vaardigheden om AI verstandig te gebruiken: weten wat een model kan, output kritisch beoordelen en risic...
Lees meerAnonimisering maakt data redelijkerwijs niet meer herleidbaar tot een persoon, waardoor de GDPR niet meer van toepassing is. Pseudonimiserin...
Lees meer
Vanaf 2 augustus 2026 legt de Europese AI Act je KMO een transparantieplicht op: laat weten waar je AI gebruikt. Wat dat concreet betekent v...
Sinds 1 februari 2026 betaalt de kmo-portefeuille geen advies meer terug, behalve voor cybersecurity. Opleiding blijft wel, voor digitaliser...