Compliance · Gids
DSGVO-conforme AI-agenten — wat er echt nodig is
De DSGVO is van toepassing op elk AI-agentplatform dat persoonsgegevens van EU-burgers verwerkt, ongeacht de vestigingsplaats van de aanbieder. Compliance betekent meer dan een "Wij zijn conform"-badge: het vereist een rechtsgrondslag per verwerkingsactiviteit, op dataniveau geïmplementeerde rechten van betrokkenen, een ondertekende verwerkersovereenkomst tussen klant en aanbieder, tenant-geïsoleerde opslag, een transparant model-trainingsbeleid en auditlogs die een toezichthoudende controle doorstaan. Specifiek voor AI-agenten voegt Artikel 22 (geautomatiseerde besluitvorming) expliciete eisen toe: de klant — niet de aanbieder — moet bepalen wanneer menselijke beoordeling vereist is.
DSGVO opnieuw geformuleerd voor AI-agentplatforms
De zes kernprincipes uit DSGVO Artikel 5, vertaald naar wat ze betekenen voor een AI-agentaanbieder.
Rechtmatigheid, Eerlijkheid, Transparantie
Elke verwerkingsactiviteit heeft een rechtsgrondslag nodig (toestemming, overeenkomst, gerechtvaardigd belang etc.) per actie gelogd. Klanten krijgen transparantie over hoe agenten redeneren en beslissen.
Doelbinding
Gegevens die voor een agentactie zijn verzameld, mogen zonder nieuwe rechtsgrondslag niet voor een ander doel worden gebruikt. Geen "Wij gebruiken uw gegevens voor productverbetering"-clausules.
Dataminimalisatie
Agenten hebben alleen toegang tot de velden die ze nodig hebben voor de specifieke taak. OAuth-2.0-minimumscopes dwingen dit af op integratieniveau.
Juistheid
Outputs zijn controleerbaar; onjuiste agent-outputs kunnen worden gecorrigeerd of verwijderd. Het auditlog volgt elke versie van elk gegevensrecord.
Opslagbeperking
Klant-configureerbare bewaartermijn per gegevenscategorie. Agent-gesprekstranscripties, oproepopnames en CRM-events hebben allemaal configureerbare TTL's.
Integriteit en Vertrouwelijkheid
Versleuteling at rest (AES-256) en in transit (TLS 1.3). Tenant-isolatie cryptografisch, niet alleen logisch. SOC 2 Type I Audit-doel Q3 2026.
10 technische implementaties die DSGVO-compliance bewijzen
Een aanbieder kan compliance claimen. Dit zijn de implementaties die ze tonen wanneer een auditor verschijnt.
Rechtsgrondslag per actie
Elke agentactie documenteert haar rechtsgrondslag (toestemming, overeenkomst, gerechtvaardigd belang, wettelijke verplichting). Per betrokkene op aanvraag exporteerbaar.
Export inzageverzoek
Eén-klik-export van alles wat het platform over een benoemde betrokkene bewaart — CRM, e-mails, oproep transcripties, door agenten gegenereerde outputs.
Tenant-brede verwijdering
Verwijdering wordt doorgevoerd over elke agent-cache en de gedeelde datagraaf binnen 30 dagen. Geen "soft delete" — daadwerkelijke verwijdering met bewijs van verwijdering.
Gestructureerde export
Machineleesbare export (JSON, CSV) van alle klantgegevens, niet alleen persoonsgegevens. Herimporteerbaar via standaardschema's in platforms van concurrenten.
Menselijke beoordelingspoort
Beslissingen met hoog risico (betalingen boven drempelwaarde, accountblokkades, waardevolle contractclausules) vereisen standaard menselijke goedkeuring. Configureerbaar per klantbeleid.
Tenant-isolatie
Cryptografische tenant-isolatie vanaf databaseniveau. Geen gedeelde vector-stores, geen gedeelde prompt-caches tussen klanten.
Verwerkersovereenkomst met subverwerkerslijst
Ondertekende verwerkersovereenkomst tussen klant en aanbieder. Subverwerkerslijst (inclusief LLM-aanbieder) gepubliceerd en geverifieerd. Klanten worden geïnformeerd over wijzigingen van subverwerkers met een bezwaartermijn.
Auditlog
Onveranderlijk auditlog van elke agentactie: tijdstempel, agent-identiteit, input, output, betrouwbaarheid, rechtsgrondslag, betrokkene-identificator. Exporteerbaar voor toezichthoudende autoriteit.
Versleuteling + Toegangscontrole
AES-256 at rest, TLS 1.3 in transit. RBAC voor menselijke operators. Agenten per verzoek geauthenticeerd. Secret-rotatie volgens plan.
Datalek-pipeline
Detectie → Triage → Klantmelding binnen 72 uur na kennisname. Gescript en per kwartaal geoefend.
Veelvoorkomende DSGVO-risico's bij AI-agenten — en hoe deze te mitigeren
De foutmodi waarnaar auditors zoeken. Elk risico heeft een concreet mitigatiepatroon.
LLM-aanbieders gebruiken uw prompts voor het trainen van hun modellen.
Gebruik alleen aanbieders met ondertekende "geen training op klantinformatie"-clausules. Verifieer dit in de verwerkersovereenkomst, niet alleen op de marketingpagina.
Gesprekstranscripties lekken via een gedeelde vector-store tussen tenants.
Eis tenant-geïsoleerde embeddings. Vraag de aanbieder om de database-indeling te tonen — gedeelde collecties zijn een rode vlag.
Agent-logs bevatten persoonsgegevens die langer dan noodzakelijk worden bewaard.
Klant-configureerbare log-bewaartermijn per gegevenscategorie. Standaard 90 dagen voor niet-gereguleerde gegevens, 10 jaar alleen voor GoBD/belastingrelevante datasets.
Telefoonopnames worden zonder expliciete toestemming opgeslagen.
Call-agent legt de opname uit aan het begin van het gesprek. Toestemming wordt gelogd in het auditlog met tijdstempel en beller-identificator. Eén-klik-anonimisering op aanvraag.
Subverwerkers buiten de EU verwerken persoonsgegevens.
Alleen-EU-dataresidentie-optie. Indien Amerikaanse subverwerkers worden gebruikt, DPF (Data Privacy Framework) of standaardcontractbepalingen met verifieerbare Transfer Impact Assessment.
Agent-beslissingen kunnen niet worden aangevochten omdat de redenering intransparant is.
Elke agent-beslissing logt haar redeneringsspoor. Betrokkenen krijgen de redenering (in klare tekst) op Artikel-15-verzoek.
Een vergeten integratie heeft na uw opzegging nog steeds OAuth-tokens.
Token-intrekking bij opzegging is automatisch. Klant kan ook bij de bron (Google-/Microsoft-accountinstellingen) met één klik intrekken.
Waar u op moet letten in de verwerkersovereenkomst van de aanbieder
Vraag de verwerkersovereenkomst-template aan vóór de aankoop, niet tijdens de onboarding. Dit zijn de clausules die het meest tellen.
- ✓Expliciete "geen training"-clausule: klantinformatie wordt nooit gebruikt voor het trainen van modellen, zonder opt-out kleine lettertjes
- ✓Subverwerkerslijst bijgevoegd, geverifieerd en kennisgevingstermijn vóór wijzigingen (minimaal 30 dagen)
- ✓Tijdlijnen voor verzoeken van betrokkenen: Artikel-15-inzage binnen 30 dagen, Artikel-17-verwijdering binnen 30 dagen inclusief downstream-processor-cascade
- ✓Auditrechten: klant kan de beveiligingscontroles van de aanbieder jaarlijks of bij gelegenheid vaker controleren
- ✓Datalekmelding: 48 uur tussen kennisname door aanbieder en klantmelding (strenger dan de 72-uurs overheidsmelding van de DSGVO)
- ✓Dataresidentie-verbintenis: waar gegevens worden opgeslagen, verwerkt, beveiligd — schriftelijk, niet "doorgaans EU"
- ✓Teruggave en verwijdering bij opzegging: gegevens in draagbare vorm binnen 30 dagen terug; bewijs van verwijdering binnen 60 dagen afgegeven
- ✓Duidelijkheid over aansprakelijkheidslimiet: specifiek voor datalekken, gescheiden van de algemene aansprakelijkheidslimiet
- ✓Toepasselijk recht en bevoegde rechter: idealiter EU-lidstaat van de klant, niet de thuisjurisdictie van de aanbieder
DSGVO-checklist voor AI-agentkopers — 12 punten
Print dit uit. Stuur het naar de aanbieder vóór het contract. Als een antwoord luidt "We werken eraan", stel de aankoop dan uit.
Verwerkersovereenkomst
Ondertekent de aanbieder standaard een DSGVO-conforme verwerkersovereenkomst, niet per klant onderhandeld?
Contractueel geen training
Staat "Wij trainen nooit op klantinformatie" in de verwerkersovereenkomst zelf, niet alleen op de website?
Tenant-isolatie
Is tenant-isolatie cryptografisch — aparte versleutelingssleutels per klant — of alleen logische partitionering?
Subverwerker-transparantie
Is er een openbare subverwerkerslijst met versiegeschiedenis? Staat de LLM-aanbieder vermeld?
Dataresidentie
Waar worden klantgegevens opgeslagen, verwerkt en beveiligd? Is alleen-EU een optie?
Export inzageverzoek
Kunt u een volledige Artikel-15-export vanuit de Admin-UI activeren, of is er een supportticket voor nodig?
Verwijderingscascade
Wordt verwijdering doorgevoerd naar alle agent-caches, vector-stores en subverwerkers binnen 30 dagen?
Artikel-22-menselijke beoordeling
Kunt u configureren welke agent-beslissingen menselijke goedkeuring vereisen? Standaard goedkeuring voor destructieve acties.
Auditlog-export
Is het auditlog exporteerbaar in een bruikbaar formaat (JSON, CSV) voor verzoeken van toezichthoudende autoriteiten?
Timing datalekmelding
Verbindt de aanbieder zich ertoe u binnen 48–72 uur na kennisname van een datalek op de hoogte te stellen?
Telefoongesprek-toestemming
Indien voice-agenten worden gebruikt, behandelt het platform dan jurisdictie-specifieke toestemmingsregels (wederzijds in DE/AT/CH)?
Exit-plan
Als u opzegt, is er dan een gedocumenteerd teruggave- en verwijderingsproces met bewijs van verwijdering?
Veelgestelde vragen
Is een AI-agentplatform verwerkingsverantwoordelijke of verwerker volgens de DSGVO?+
In bijna alle MKB-scenario's is de klant de verwerkingsverantwoordelijke en het AI-agentplatform de verwerker. Het platform opereert volgens de instructies van de klant, verwerkt gegevens in de tenant van de klant en bepaalt geen verwerkingsdoeleinden.
Verbiedt Artikel 22 (geautomatiseerde besluitvorming) AI-agenten?+
Nee. Artikel 22 vereist dat betrokkenen recht hebben op menselijke beoordeling bij beslissingen met juridische of vergelijkbaar aanzienlijke gevolgen. AI-agentplatforms zijn conform door configureerbare menselijke goedkeuringspoorten per beslissingstype aan te bieden. Klanten (verwerkingsverantwoordelijken) configureren welke beslissingen via menselijke beoordeling gaan.
Kan ik een in de VS gevestigd AI-agentplatform gebruiken onder de DSGVO?+
Ja, als de aanbieder opereert onder het EU-VS Data Privacy Framework of standaardcontractbepalingen met een geldige Transfer Impact Assessment gebruikt. Vraag vóór ondertekening naar de DPF-certificering of de SCC-documentatie. De voorkeur geven aan in de EU gevestigde aanbieders vereenvoudigt dit.
Vallen AI-agenten naast de DSGVO ook onder de EU AI Act?+
Ja. De EU AI Act voegt transparantie-, risicoclassificatie- en menselijke-toezichtvereisten toe aan de DSGVO. De meeste zakelijke AI-agenten vallen onder "beperkt risico" (transparantie over AI-gebruik vereist), niet "hoog risico". Voice-agenten vallen bovendien onder transparantieregels die openbaarmaking vereisen dat de gebruiker met AI spreekt.
Wat is de grootste DSGVO-risicofactor voor AI-agentkopers?+
Trainingsclausules. Veel aanbieders hebben standaard een opt-out per functie voor modelverbetering, wat praktisch niet afdwingbaar is voor MKB met veel gebruikers. Sta contractueel op een "geen training"-standaard in de verwerkersovereenkomst.
Vereisen oproepopnames onder de DSGVO altijd toestemming?+
In Oostenrijk, Duitsland en Zwitserland: ja, beide partijen moeten instemmen vóór opname. In andere EU-lidstaten variëren de toestemmingsregels. Een conform voice-agentplatform legt de opname uit aan het begin van het gesprek en logt de toestemming in het auditlog — zo werkt het in alle jurisdicties.
Hoe lang moet ik agent-auditlogs bewaren?+
Voor niet-gereguleerde bedrijfsgegevens: klantkeuze, standaard 90 dagen. Voor belastingrelevante acties (facturen, betalingen): 10 jaar onder GoBD (DE) / RGS (AT). De compliance-agent scheidt de twee, zodat u niet-fiscale gegevens niet te lang bewaart.
Vraag de verwerkersovereenkomst aan vóór de aankoop
Boek een sessie van 30 minuten met ons compliance-team. We nemen de volledige verwerkersovereenkomst door, de subverwerkerslijst en beantwoorden elke van de 12 checklistvragen protocollerend.