Privacy is a fundamental right particularly affected by AI systems. Prevention of harm to privacy also necessitates adequate data governance that covers the quality and integrity of the data used, its relevance in light of the domain in which the AI systems will be deployed, its access protocols and the capability to process data in a manner that protects privacy.
— EU High-Level Expert Group on AI, Ethics Guidelines for Trustworthy AI (2019)

Privacy

GR_03

Persoonsgegevens onder controle, van trainingsdata tot model-output.

EU-term: Privacy and data governance

Wat is het

Wat is Privacy?

Wat is Privacy?

Veel teams ontdekken pas dat hun privacy-positie niet op orde is wanneer een medewerker per ongeluk een klantdossier in ChatGPT plakt, een burger om gegevenswissing verzoekt voor een model dat al getraind is, of een toezichthouder vraagt of de trainingsdata herleidbaar zijn. Privacy en data governance zijn wat je dán wenst dat je eerder had ingericht.

Privacy en data governance betekent dat persoonsgegevens onder controle staan: gerechtvaardigd verzameld, bewust gebruikt, traceerbaar door de hele AI-keten, en op verzoek verwijderd. Het is geen enkele eigenschap maar een verzameling: heeft elke verwerking een geldige grondslag, blijft data binnen het oorspronkelijke doel, kunnen betrokkenen hun rechten uitoefenen, en is bewezen dat het systeem geen persoonsdata kan reconstrueren?

In de EU Trustworthy AI-traditie staat Privacy and data governance als derde pijler. De HLEG-richtlijnen van 2019 leverden de definitie. ALTAI (2020) splitste die op in twee operationele domeinen: Privacy (3.1) en Data Governance (3.2), die in 2026 nog steeds de leidraad vormen voor evaluatie en audit. De AVG (sinds 2018) is lex generalis (de algemene regel): zeven grondbeginselen, strikte regels voor bijzondere persoonsgegevens, een recht op vergetelheid en een verbod op puur geautomatiseerde besluitvorming met rechtsgevolgen zonder menselijke tussenkomst. De EU AI Act (2024-2026) is lex specialis (de specifieke regel die de algemene aanvult): extra eisen voor datakwaliteit (Art. 10), menselijk toezicht-by-design (Art. 14) en deployer-logs (de logs van het AI-systeem in productie, bijgehouden door de inzettende organisatie, Art. 26).

Organisaties die hier scherp op sturen verschillen van organisaties die het niet doen op één punt: bij hen volgt elk verzoek tot verwijdering, elke datalekmelding en elke DPIA-bevinding op een gedocumenteerde actie, niet op een notitie.

De twee ALTAI-domeinen: privacy en data governance

ALTAI verdeelt Privacy and data governance in twee operationele domeinen die in 2026 nog altijd het auditkader vormen. Elk domein heeft eigen meetpunten en eigen tegenmaatregelen.

3.1 Privacy. AI-systemen moeten persoonsgegevens beschermen door de hele levenscyclus heen. Drie aandachtspunten:

Privacy by design. AVG Art. 25 verplicht verwerkingsverantwoordelijken om gegevensbescherming bij het ontwerp in te bouwen, niet achteraf. Voor AI betekent dat: dataminimalisatie in trainingsdata-selectie, differentiële privacy als standaard voor gevoelige datasets, document-level toegangscontrole-lijsten op RAG-indexen, geen PII in logging tenzij strikt vereist. De CNIL-aanbevelingen (Franse privacy-toezichthouder, 2025) voegen toe dat AI-modellen moeten worden getest op memorisatie als onderdeel van privacy-by-design.

Rechten van betrokkenen. AVG Art. 15-22 geeft betrokkenen recht op informatie, inzage, rectificatie, vergetelheid, bezwaar en het recht om niet onderworpen te zijn aan zuiver geautomatiseerde besluitvorming. Voor AI is het recht op vergetelheid het hardste knelpunt: bij een database werkt “delete row”, bij modelgewichten niet. EDPB Opinion 28/2024 introduceerde een effectieve-anonimisering-route: als een model zeer onwaarschijnlijk individuen kan identificeren of trainingsdata kan extraheren, geldt het niet meer als persoonsdata. Bewijsvoering ligt per geval bij de nationale privacy-toezichthouder (DPA). Toezichthouders eisen een gedocumenteerd Forget-me-not-beleid: een combinatie van raw-data-verwijdering, output-controls, machine unlearning en periodieke extractability-tests die samen een verdedigbare invulling van het verwijderingsrecht vormen.

Bijzondere persoonsgegevens. AVG Art. 9 vereist een uitzondering bovenop een gewone grondslag voor medische gegevens, biometrische data, etnische afkomst en politieke opvattingen. Profilering op combinaties van kenmerken kan indirect bijzondere categorieën blootleggen, een expliciet risico in ALTAI 3.1. Clearview AI bouwde een biometrische database van miljarden foto’s zonder rechtsgrond; AP-boete: €30,5 miljoen (september 2024) plus dwangsom tot €5,1 miljoen, het hoogste AI-handhavingsbesluit van de AP tot heden.

3.2 Data Governance. Niet alleen of je data verwerkt, maar welke kwaliteit je data heeft en hoe je die beheert. Drie aandachtspunten:

Datakwaliteit en bias-detectie. EU AI Act Art. 10 (afdwingbaar per 2 december 2027 voor Bijlage III-hoogrisico-systemen, verschoven van 2 augustus 2026 via het voorlopige Digital Omnibus-akkoord van 7 mei 2026) eist voor hoogrisico-AI representatieve datasets, actieve bias-detectie, gedocumenteerde herkomst en doel, en geïdentificeerde tekortkomingen. Klassiek voorbeeld van AVG-AI Act-overlap: Art. 10 lid 5 staat uitzonderlijk verwerking van bijzondere persoonsgegevens toe voor het expliciete doel van bias-detectie en -correctie in hoogrisico-systemen, mits aan vijf voorwaarden is voldaan:

  1. Doel niet anders bereikbaar: het doel kan niet door synthetische of geanonimiseerde data worden bereikt.
  2. Passende beveiliging: er zijn passende technische beveiligings- en privacy-maatregelen, inclusief pseudonimisering.
  3. Strikte toegangscontrole: toegang is strikt gecontroleerd en gedocumenteerd.
  4. Geen doorgifte: de data wordt niet doorgegeven aan andere partijen.
  5. Wissing na correctie: de data wordt gewist zodra de bias is gecorrigeerd of de bewaartermijn verloopt, wat eerder is.

De algemene AVG biedt deze opening niet.

Data-herkomst en doelbinding. AVG Art. 5 verplicht aantoonbare doelbinding: trainingsdata verzameld voor doel A mag niet voor doel B worden hergebruikt zonder compatibiliteitsbeoordeling. Zonder data-lineage is dat bij AI-systemen niet uitvoerbaar. OpenLineage is in 2026 de open-source industriestandaard; Collibra, Atlan en DataHub voor zakelijke implementaties.

Toegangscontrole en minimalisatie. Alleen data die noodzakelijk is voor het AI-doel mag worden verwerkt. RAG-indexen moeten worden ingeperkt tot wat strikt nodig is, met document-level toegangscontrole gesynchroniseerd vanuit het bronsysteem. Per-gebruiker-filtering bij het ophalen uit de index is in 2026 productie-klaar (Azure AI Search, Elastic DLS, Pinecone, Qdrant). Stelregel: filter de zoekresultaten op gebruikersrechten voordat ze het taalmodel bereiken; vertrouw nooit op het model zelf om afgeschermde inhoud achter te houden, want één vervolgvraag of prompt-injectie zet die filter buiten werking.

Wat de wet eist (en wat niet)

In 2026 is privacy voor AI-systemen geen vrijwillige kwaliteitseis meer. De AVG, de EU AI Act, de richtsnoeren van de EDPB (formele Opinions en Guidelines: niet bindend maar gezaghebbend, in de praktijk gevolgd door toezichthouders) en sectorwetgeving stapelen tot een herkenbaar geheel.

De drie cumulatieve identificeerbaarheidstests. EDPB Opinion 28/2024 en EDPB Guidelines 01/2025 on Pseudonymisation (16 januari 2025) hanteren drie tests voor de vraag of data nog persoonsgegevens zijn. Cumulatief betekent hier dat slagen op één enkele test al voldoende is om de data als persoonsgegevens te kwalificeren:

  1. Singling out: kan een individu uniek worden geïsoleerd in de dataset of in de model-output?
  2. Linkability: kunnen records over hetzelfde individu uit verschillende bronnen worden gekoppeld?
  3. Inference: kunnen eigenschappen van een persoon met hoge waarschijnlijkheid worden afgeleid uit andere waarden?

Een AI-model dat trainingsdata kan reproduceren of waarop succesvolle membership inference of model-inversie mogelijk is, slaagt voor minstens één van deze tests en is daarmee niet anoniem in de zin van de AVG. Pseudonimisering blijft persoonsdata: pseudoniem is geen synoniem voor anoniem.

AVG-grondslagen voor AI. De meest gebruikte grondslag voor private AI-ontwikkelaars op web-data is gerechtvaardigd belang (Art. 6(1)(f)). EDPB Opinion 28/2024 bevestigt dat dit een geldige grondslag kan zijn voor LLM-training en -inzet, maar legt de lat hoog: de redelijke verwachtingen van betrokkenen wegen zwaar in de driestapstoets. Voor overheids-AI geldt vaak Art. 6(1)(e) algemeen belang, met een expliciete wettelijke basis als voorwaarde.

EU AI Act overlay. Drie kernartikelen op privacy:

  • Art. 10 (datakwaliteit, hoogrisico): de operationele invulling van het juistheidsbeginsel uit AVG Art. 5; ook de bias-correctie-uitzondering van lid 5 hierboven besproken.
  • Art. 14 (menselijk toezicht-by-design): verplicht aanbieders om systemen te ontwerpen die effectief menselijk toezicht mogelijk maken: stopmechanismen, interpreteerbare outputs, override-mogelijkheid. Aanvullend op AVG Art. 22 dat het individuele recht regelt; Art. 14 regelt het systeem-ontwerp. Een AI Act-conform systeem dat menselijk toezicht pro forma inbouwt, is niet automatisch AVG Art. 22-proof.
  • Art. 26 lid 6 (deployer-logs): door het systeem gegenereerde logs minimaal zes maanden bewaren. Spanningsveld met AVG-opslagbeperking: lex specialis-redenering suggereert dat de AI Act prevaleert voor die specifieke logcategorie, maar geen DPA heeft dit nog formeel bevestigd.

Doorgifte naar derde landen. Hoofdstuk V AVG vereist een geldig doorgifte-mechanisme bij gebruik van Amerikaanse AI-aanbieders. In 2026 zijn er drie routes: SCC (Standard Contractual Clauses, modelcontracten goedgekeurd door de Europese Commissie), het EU-VS Data Privacy Framework (DPF, adequaatheidsbesluit 10 juli 2023), of expliciete toestemming van betrokkenen (Art. 49). Het DPF-kader staat juridisch onder druk: NOYB (None Of Your Business, de privacy-NGO van Max Schrems) heeft een Schrems III-procedure aangespannen, het derde Europese vervolg op de eerdere uitspraken die twee opeenvolgende EU-VS-doorgifte-akkoorden ongeldig verklaarden. De Latombe-uitspraak 2025 bevestigde de geldigheid van het kader voorlopig (primaire bron Conseil d’État of CJEU nog te verifiëren). Dat bood mkb-organisaties die onder DPF doorgeven een zeldzaam moment van rechtszekerheid, maar adresseerde de NOYB-bezwaren niet structureel. DPF blijft in 2026 operationeel maar juridisch onzeker.

EDPB Opinion 28/2024. Het gezaghebbendste EU-richtsnoer voor AI-modellen en persoonsgegevens (december 2024) introduceert drie hoofdpunten: anonimiteit als hoge drempel via de drie cumulatieve tests; gerechtvaardigd belang als geldige grondslag voor LLM-training mits driestapstoets met zwaar gewicht voor de verwachtingen van betrokkenen; en de zogeheten smetwerkings-leer: onrechtmatige trainingsdata werkt door op de inzetfase (het livegebruik van het model in productie), tenzij het model daadwerkelijk anoniem is.

Sectorale stapeling. NIS2 (van toepassing per 18 oktober 2024) stapelt op AVG en AI Act zodra een AI-systeem deel is van een essentiële dienst (zorg, energie, vervoer, financiën, drinkwater, digitale infrastructuur). Voor medische AI is naast de DPIA ook NEN 7510 als sectoraal kader relevant, plus MDR-classificatie als medisch hulpmiddel waar van toepassing.

Het komt neer op vier praktische dingen. Voor de meeste organisaties laat deze stapel zich samenvatten als:

  1. Grondslag per verwerking: weet welke AVG-grondslag elke AI-verwerking heeft, en motiveer expliciet als je leunt op gerechtvaardigd belang.
  2. Rechten van betrokkenen: leg vast hoe je voldoet aan inzage, rectificatie en vergetelheid, ook wanneer de gegevens in modelgewichten zijn beland.
  3. Logbewaring zes maanden: bewaar deployer-logs minimaal zes maanden conform AI Act Art. 26 lid 6, gescheiden van trainingsdata.
  4. Aantoonbare data-herkomst: maak via data lineage traceerbaar welke data in welk model is beland, met welke grondslag en doel.

Deze vier elementen komen op verschillende plekken in de rest van deze pagina terug: in de valkuilen, de sectorvoorbeelden, de toolstack en het koppelpunt met andere bouwstenen. Niet één-op-één in vier sub-secties, wel als rode draad onder de cases en tooling.

Acht valkuilen en hoe je ze ontwijkt

Privacy-programma’s bij AI falen op herkenbare manieren. Onder elke valkuil staat de tegenmaatregel.

1. Consumenten-account-illusie. Medewerkers gebruiken de gratis ChatGPT- of Gemini-versie voor werkdata. Geen verwerkersovereenkomst, geen afdwingbaar verwijderingsrecht, en data wordt standaard gebruikt voor hertraining. Tegenmaatregel: blokkeer publieke chatbots via DLP (Data Loss Prevention) en allowlist; bied een geautoriseerde variant binnen een afgeschermde tenant (Microsoft Copilot, ChatGPT Enterprise, Claude for Work) plus AI-geletterdheidstraining (AI Act Art. 4). De Eindhoven-case van oktober 2025 toont waarom: jeugdzorgdocumenten in publieke chatbots, datalekmelding aan AP, gemeente migreerde naar Microsoft Copilot binnen een beveiligde tenant.

2. Pseudonimisering verward met anonimisering. Organisaties leveren “geanonimiseerde” data aan een externe AI-aanbieder die nog koppelbaar is aan een individu. EDPB Guidelines 01/2025: pseudonieme data blijft persoonsdata. Tegenmaatregel: pas de drie cumulatieve tests (singling out, linkability, inference) toe vóór het label “anoniem”; gebruik tools zoals Microsoft Presidio (open source) voor PII-detectie en redactie, of ARX (open-source-tool voor gestructureerde anonimisering) met k-anonimiteit (elke combinatie van kenmerken moet bij minstens k personen passen), met een memorisatietest erna (een test die controleert of het anonimisatie-resultaat of het getrainde model letterlijk stukjes van de originele data kan reproduceren).

3. RAG zonder per-gebruiker-toegangscontrole. Een chatbot heeft toegang tot een index waar HR-documenten naast publieke FAQ in zitten. Eén verkeerd geformuleerde vraag onthult salarisbestanden. RAG-Thief liet in 2024 zien dat 51-73% van de chunks (de tekstfragmenten waarin documenten zijn opgedeeld voor de index) terug te halen is via 200 adversariële queries (speciaal ontworpen vragen die de filter proberen te omzeilen), gemeten in laboratoriumomstandigheden, en 89% op productie-deployments van OpenAI-GPTs. Tegenmaatregel: document-level toegangscontrole gesynchroniseerd vanuit het bronsysteem; per-gebruiker filtering bij het ophalen uit de index; PII-redactie per chunk.

4. Geen Forget-me-not-beleid. Een burger dient een Art. 17-verzoek (recht op vergetelheid) in voor een model dat al getraind is, en de organisatie heeft geen procedure. Tegenmaatregel: combineer raw-data-verwijdering met output-controls, gedocumenteerde machine unlearning-inspanning en periodieke extractability-tests; documenteer dit als beleid en wijs een DPO (Data Protection Officer; Functionaris Gegevensbescherming) aan als verantwoordelijke. Geen volledige zekerheid, wel een verdedigbare invulling die de getoonde inspanning aantoonbaar maakt.

5. Vergeten doorgifte-mechanisme. Een verwerkersovereenkomst wordt getekend met een Amerikaanse aanbieder zonder dat SCC (Standard Contractual Clauses, modelcontracten van de Europese Commissie) of het DPF (EU-VS Data Privacy Framework, adequaatheidsbesluit) expliciet is vastgelegd. Wanneer Schrems III-jurisprudentie volgt valt het mechanisme weg en blijft de organisatie aansprakelijk. Tegenmaatregel: doorgifte-register per AI-stroom; SCC of DPF expliciet benoemd; DPIA voor risicovolle verwerkingen; jaarlijkse review op juridische ontwikkelingen.

6. Memorisatie-blindheid. Het team test het model op nut, niet op privacy-lekken. Carlini en Nasr toonden in 2023 met een divergence-aanval op ChatGPT dat megabytes persoonsgegevens voor minder dan $200 API-credits konden worden teruggehaald; OpenAI patchte na een 90-dagen-disclosure. EchoLeak (CVE-2025-32711, CVSS 9.3) liet zien dat indirecte prompt-injectie zelfs zero-click-aanvallen introduceert: één geprepareerde e-mail volstond om data uit Microsoft 365 Copilot, OneDrive, SharePoint en Teams ongemerkt te laten weglekken. Tegenmaatregel: neem extractability-tests op vóór elke release (membership inference, training-data extractie); doe elk kwartaal een red-team conform MITRE ATLAS; scheid vertrouwensgrenzen rond agent-tools (de externe functies en gegevensbronnen die een AI-agent mag aanroepen, zoals e-mail, kalender of database): leg vast welke component wat mag aanroepen of zien.

7. Eénslags-DPIA. De DPIA wordt eenmaal opgesteld bij ingebruikname en daarna nooit meer aangeraakt. Trainingsdata, model-versie en use-cases evolueren; de DPIA niet. De Algemene Rekenkamer noemde dit op 21 mei 2025 als precedent bij Belastingdienst en Dienst Toeslagen: privacyborging onvoldoende, ondanks dat carrouselfraude-detectie (een algoritme dat verdachte btw-carrouselketens in transactiestromen herkent) effectief was (€522.000 besparing) voldeed het niet aan de AVG door onvoldoende transparantie en gebrek aan bias-monitoring. Tegenmaatregel: DPIA als levend document; revisie bij elke materiële wijziging (nieuwe databron, nieuwe model-versie, nieuwe use-case); jaarlijkse audit door de DPO.

8. Pro-forma menselijk toezicht. Er staat een mens-in-de-loop (HITL), maar zonder de drie ankers van Algorithm Audit’s publieke standaard Betekenisvolle menselijke tussenkomst (mei 2025): domeinkennis, voldoende tijd, en bevoegdheid om af te wijken. Tegenmaatregel: operationaliseer betekenisvolle menselijke tussenkomst expliciet; meet hoe vaak de mens daadwerkelijk afwijkt van het AI-advies (de rubber-stamp-rate, het percentage gevallen waarin het advies klakkeloos wordt overgenomen); behandel klakkeloos overnemen als een nalevings-tekortkoming, niet als tijdwinst. Algorithm Audit’s standaard is in 2026 de meest gehanteerde operationalisering van AVG Art. 22 in NL.

In de praktijk: drie sectoren, vier gezichten

Hoe ziet privacy en data governance eruit wanneer de wet aan de praktijk wordt afgemeten? Drie sectoren, met de lokale overheid in twee gezichten.

Zorg: Health-AI Consortium (NL) en BigMedilytics (EU). Zestien organisaties, waaronder Radboud UMC, NKI-Antoni van Leeuwenhoek, Isala Zwolle, UMC Groningen, Maastricht UMC+, Philips, TNO, SURF, Medical Data Works en Health-RI (de Nederlandse nationale infrastructuur voor FAIR-gezondheidsdata), trainden AI-modellen voor overlevings-voorspelling bij longkanker en voor tumor-segmentatie via federated learning (waarbij het model naar de data komt in plaats van andersom: deelnemers trainen lokaal en sturen alleen modelupdates door). Het platform was vantage6, ook bekend als Personal Health Train, een NL-platform voor federated learning op zorgdata. Patiëntdata verliet geen enkel ziekenhuis. Subsidie: €9 miljoen RVO Nationaal Groeifonds. Op EU-niveau leverde BigMedilytics (Horizon 2020) een blueprint voor grootschalig delen van patiëntdata over landsgrenzen heen onder de EHDS (European Health Data Space, EU-verordening voor primaire en secundaire toegang tot zorgdata). Naast federated learning wordt in 2026 ook gewerkt met een Trusted Execution Environment waarin AI-modellen op patiëntdata draaien zonder dat de data de beveiligde server verlaat. Wat werkt: federated learning beperkt Art. 9-blootstelling drastisch; DPIA’s zijn standaard onderdeel van Health-RI-projecten; sectorale normen (NEN 7510, FAIR-principes voor Findable, Accessible, Interoperable, Reusable data) als governance-laag; een Trusted Execution Environment als architecturale optie wanneer federated learning te complex is. Wat blijft kwetsbaar: federated learning zonder Secure Aggregation (cryptografisch optellen van modelupdates zodat de centrale server alleen het totaal ziet, niet de individuele bijdragen) en differentiële privacy is open voor gradient-inversion (reconstructie van trainingsdata uit gedeelde gradiënten); de EHDS-implementatie loopt achter; genetische data is moeilijker te anonimiseren door inherente herleidbaarheid. Patroon: architectuur boven beleid. Federated learning plus differentiële privacy plus Secure Aggregation samen leveren een verdedigbaar privacymodel; elk afzonderlijk niet.

Landelijke overheid: Belastingdienst, Toeslagen en UWV (Rekenkamer mei 2025). Op 21 mei 2025 publiceerde de Algemene Rekenkamer een verantwoordingsonderzoek over drie risicomodellen. Bij Belastingdienst (carrouselfraude-detectie) bleek het algoritme effectief maar voldeed het niet aan de AVG door onvoldoende transparantie en gebrek aan bias-monitoring; de FSV-zaak (Fraude Signalering Voorziening, een zwarte lijst van de Belastingdienst waarop 270.000+ personen zonder rechtsgrond stonden; AP-boete €3,7M in april 2022) was geen incident maar een patroon. Bij Dienst Toeslagen (kinderopvangtoeslag-terugvordering) bereikte het algoritme 7.885 ouders, geschat 80-90% via algoritmische targeting; de Rekenkamer concludeerde: “Gevoelige gegevens van een kwetsbare groep ouders zijn daarmee niet goed beschermd.” UWV (risicoscan verwijtbare werkloosheid) beoordeelde de Rekenkamer als acceptabel: DPIA uitgevoerd, algoritmeregister gepubliceerd, betekenisvolle menselijke tussenkomst geoperationaliseerd. Drie systemen, drie patronen. Kernlessen: DPIA als levend document, niet als eenmalig vinkje; betekenisvolle menselijke tussenkomst operationeel definieerbaar via Algorithm Audit’s drie ankers (domeinkennis, voldoende tijd, bevoegdheid om af te wijken); cultuur boven techniek. FSV faalde op compliance-discipline, niet op technologie.

Lokale overheid (Case A): privacy-lekkage in Eindhoven (oktober 2025). Medewerkers deelden in september en oktober 2025 jeugdzorgdocumenten, rapportages en CV’s met publieke AI-chatbots (ChatGPT, Gemini). Ontdekt via interne steekproef. De gemeente blokkeerde publieke chatbots en migreerde naar Microsoft Copilot binnen een beveiligde tenant. Een verwijderverzoek bij OpenAI was praktisch kansloos: geen verwerkersovereenkomst, geen afdwingbaar verwijderingsrecht. Kernlessen: zonder verwerkersovereenkomst is elke upload van persoonsgegevens naar een externe AI-dienst per definitie een datalek; AI-geletterdheid (AI Act Art. 4, verplichting sinds februari 2025) moet worden gecombineerd met technische gates (de technische bewaking van uploadkanalen: DLP die uitgaand dataverkeer scant, plus allowlists die alleen vooraf goedgekeurde AI-diensten bereikbaar laten zijn); 30-dagen logbewaring is te kort voor incident-reconstructie.

Lokale overheid (Case B): data-governance-integriteit bij gemeentelijke chatbots gemeenteraadsverkiezingen (maart 2026). De AP onderzocht 39 gemeentelijke chatbots in de aanloop naar de gemeenteraadsverkiezingen 2026. Resultaat: chatbots gaven in minder dan 1% van de gevallen advies om op een lokale partij te stemmen, simpelweg omdat landelijke partijen dominanter aanwezig zijn in trainingsdata (het internet); lokale partijen haalden 34% van de stemmen, maar werden in stemadviezen vrijwel onzichtbaar. De AP adviseerde gemeenten in maart 2026 opnieuw om AI-chatbots niet te gebruiken voor politieke informatievoorziening. Kernlessen: data governance gaat niet alleen over privacy van individuen, maar over de integriteit van de informatievoorziening die burgers ontvangen; bias in trainingsdata is geen technisch probleem maar een democratisch probleem zodra AI in publieke informatiekanalen wordt ingezet; het AVG-juistheidsbeginsel (Art. 5) krijgt hier een politieke dimensie. Patroon over beide lokale-overheid-cases: zonder zowel beleid (DPIA, allowlists, training) als techniek (DLP, ACL (Access Control List, toegangsregel per gebruiker) op chunk-niveau, tenant-isolatie waarbij de AI-dienst binnen een afgeschermde cloud-omgeving van de klant draait) als governance (algoritmeregister, AP-toezicht) ontstaat structureel risico; elk afzonderlijke laag is ontoereikend.

De bredere achtergrond. Het AP-rapport AI & Algoritmes Nederland van maart 2026 plaatste de AI-Impactbarometer op rood: vier van negen graadmeters zijn kritisch (inrichting van het toezicht, gebrek aan standaarden voor anonimisering en bias-detectie, achterlopend algoritmeregister, en te weinig zichtbaarheid van incidenten). De AP roept het kabinet op haast te maken met de NL-implementatiewet AI Act.

Tooling die je in 2026 wilt hebben

De volwassen 2026-toolstack voor privacy en data governance kent vier lagen.

DPIA en compliance-laag. OneTrust automatiseert DPIA’s (Data Protection Impact Assessments, de verplichte privacy-effectbeoordeling onder AVG Art. 35) inclusief AI-specifieke risico-modules en koppelt ze aan een verwerkings-register. Microsoft Purview ontdekt en classificeert PII over digitale landgoederen, inclusief interacties van AI-agents (AI-systemen die zelfstandig tools aanroepen, zoals e-mail, kalender of database). Voor doorgifte-management: een doorgifte-register als levend document, gekoppeld aan de DPF- of SCC-status per data-stroom (elke route waarlangs data van de EU naar een derde land beweegt, bijvoorbeeld ‘productie-database → OpenAI-API’), met DPIA-koppeling voor risicovolle verwerkingen.

Pre-API anonimisering en redactie. Skyflow en Private AI detecteren PII in prompts (de instructies die de gebruiker naar het AI-model stuurt) en vervangen de waarden door tokens (placeholder-stukjes zonder leesbare betekenis, hier in de zin van vervangwaarden) vóór de API-call vertrekt. Microsoft Presidio (open source) levert NER-gebaseerde detectie en redactie van PII in ongestructureerde tekst. ARX voor gestructureerde data via k-anonimiteit (elke combinatie van kenmerken past bij minstens k personen) en l-diversiteit (binnen elke groep moeten minstens l verschillende waarden van het gevoelige attribuut voorkomen, zodat groepslidmaatschap zelf nog geen attribuut verklapt). Cyberhaven en bredere DLP-tools houden uploadkanalen (e-mail, browser, USB, API-uitgangen: alle routes waarlangs een medewerker data naar buiten kan sturen) onder controle.

Privacy-engineering technieken. Flower en NVIDIA FLARE als productie-frameworks voor federated learning (FL); vantage6 voor zorg-specifieke FL via de Personal Health Train (het NL-zorgplatform dat eerder is genoemd onder de Health-AI-case). Differentiële privacy via TensorFlow Privacy (DP-SGD) of Opacus (PyTorch); voor RAG verkennen onderzoekers in 2026 varianten zoals DP-RAG die ruis selectief op gevoelige tokens toepassen. Trusted Execution Environments via Intel SGX, AMD SEV-SNP of Azure Confidential Computing voor scenario’s waarin data centraal moet komen maar plain-text-verwerking ongewenst is.

Audit, lineage en adversariële testen. OpenLineage als open-source standaard voor data-lineage; Collibra, Atlan en DataHub voor zakelijke implementaties. Voor red-teaming (een gestructureerde aanvalsoefening waarbij een onafhankelijk team het AI-systeem gericht probeert te breken vóór een echte aanvaller dat doet): Microsoft PyRIT en NVIDIA Garak voor prompt-injectie en jailbreak-resistentie; MITRE ATLAS als referentiekader met zestien tactieken en 84 technieken voor adversariële testen (testen met aanvalsscenario’s in plaats van met normale invoer) op AI-systemen. In 2026 is een red-team op basis van MITRE ATLAS de feitelijke standaardvereiste vóór ingebruikname van hoogrisico-AI.

Het koppelpunt met andere bouwstenen en waarborgen

Privacy is geen geïsoleerd thema. Het landt in concrete bouwstenen en raakt direct aan drie andere waarborgen.

Bouwstenen die Privacy operationaliseren. Privacy landt in vier bouwstenen:

  • Dynamic Context (BB_03: de juiste informatie op het juiste moment) is de plek waar RAG-toegangscontrole, chunking-discipline (controle op de tekstfragmenten waarin documenten zijn opgedeeld voor de zoekindex) en stale context als privacy-vlakken samenkomen. De privacy-controles die hier landen: per-gebruiker-ACL op chunk-niveau, filtering bij het ophalen en geen-PII-in-logging.
  • Knowledge (BB_01: het menselijke fundament van elke AI-oplossing) raakt aan Privacy via het zorgvuldig kiezen, toetsen en bijhouden van kennisbronnen, met taggen, archivering en bronvalidatie als onderbouwing voor AVG Art. 5-juistheid en DPIA-datakwaliteit.
  • Tool Integration (BB_05: AI verbinden met de buitenwereld) raakt aan Privacy via de verwerkersovereenkomst, het doorgifte-mechanisme (SCC of EU-VS Data Privacy Framework) en controle op wat het systeem naar buiten stuurt, met duidelijke vertrouwensgrenzen tegen prompt-injectie-aanvallen zoals EchoLeak.
  • Evaluation Loop (BB_07: meten, leren en verbeteren in een gesloten cyclus) raakt aan Privacy via periodieke extractability-tests (controle of trainingsdata uit het model terug te halen is), een red-team conform MITRE ATLAS en monitoring op datalek-signalen.

Andere waarborgen. Privacy raakt op verschillende plekken aan andere guardrails:

  • Robustness (GR_02: betrouwbaar gedrag onder alle omstandigheden) overlapt op weerbaarheid tegen adversariële aanvallen. Membership inference en training-data extractie zijn primair privacy-aanvallen, maar de technische controles (DP-SGD: differentiële privacy toegepast tijdens model-training; query-rate-limiting: het beperken van het aantal vragen per gebruiker per tijdseenheid; output-PII-filters: het scannen en blokkeren van persoonsgegevens vóór ze het model verlaten) zijn dezelfde die robuustheid versterken. De HLEG-traditie scheidt de twee bewust: data-bescherming valt onder Privacy, weerbaarheid van het systeem onder Robustness; in de praktijk worden ze op dezelfde testbank getoetst.
  • Fairness (GR_05: gelijke uitkomsten over groepen) raakt aan privacy via AVG Art. 9 jo. AI Act Art. 10 lid 5: bias-detectie verwerkt bijzondere persoonsgegevens, en dataminimalisatie staat in spanning met de behoefte aan voldoende representatieve data om bias te kunnen meten. Beide guardrails moeten samen worden ontworpen, niet sequentieel.
  • Accountability (GR_07: aantoonbare verantwoording) raakt aan privacy via verwerkings-register, DPIA-trail en logbewaring. Privacy levert de bewijsstukken die accountability voorziet van een audit-spoor: data-lineage (de herkomst-tracing van bron tot model-output), ε-waarden uit differentiële privacy (de maat voor toegevoegde ruis; een lagere ε betekent meer privacy), en extractability-rapportages (de uitkomsten van tests die meten of trainingsdata uit het model kan worden teruggehaald).

Open vragen die in 2026 nog niet beantwoord zijn. Drie knelpunten verdienen expliciete vermelding:

  1. Recht op vergetelheid op modelgewichten ontbeert bindende EDPB- of DPA-jurisprudentie; SISA Sharding (een trainingsmethode waarbij data in afgeschermde delen wordt verdeeld, zodat herstart vanaf een tussen-checkpoint mogelijk is zonder hertraining op alle data) is veelbelovend maar nog onbeproefd voor LLMs.
  2. Schrems III en de juridische status van het DPF. Schrems III is de derde Europese procedure die EU-VS-doorgifte van persoonsgegevens onder druk zet, aangespannen door NOYB (None Of Your Business, de privacy-NGO van Max Schrems). De Latombe-uitspraak 2025 (van de Franse Conseil d’État) bood tijdelijke rechtszekerheid voor doorgifte onder het DPF, maar adresseerde de NOYB-bezwaren niet structureel.
  3. AI Act Art. 26 lid 6-logplicht versus AVG-opslagbeperking. De lex-specialis-redenering (specifieke regel gaat voor algemene) is plausibel maar niet formeel bevestigd door een DPA.
Checklist

Heb je dit geregeld?

Is per AI-systeem dat persoonsgegevens raakt een DPIA (privacy-effectbeoordeling) uitgevoerd, en wordt die levend gehouden bij wijzigingen aan data, model of use-case?
Is voor elk AI-systeem vastgelegd welke rechtmatige grondslag (AVG Art. 6) van toepassing is, met expliciete motivering wanneer gerechtvaardigd belang wordt gebruikt?
Zijn bijzondere persoonsgegevens (Art. 9 AVG) geïdentificeerd, en is voor de verwerking een uitzondering of AI Act Art. 10 lid 5-grond vastgelegd?
Bestaat een gedocumenteerd Forget-me-not-beleid dat technisch en organisatorisch aantoont hoe verzoeken om gegevenswissing (AVG Art. 17) over de hele AI-keten worden afgehandeld: bronsystemen, trainingsdata, RAG-indexen én modelgewichten?
Hebben RAG-systemen die persoonsgegevens of vertrouwelijke documenten bevatten toegangscontrole per gebruiker en per document, gesynchroniseerd vanuit het bronsysteem?
Worden modellen vóór livegang getest op memorisatie (het letterlijk reproduceren van trainingsdata door het model) en extractability (de mate waarin trainingsdata uit een getraind model is terug te halen via gerichte queries), gemeten met membership inference (testen of een specifiek datapunt in de trainingsdata zat) en training-data extractie, en wordt dit periodiek herhaald?
Bestaat een datacatalogus met herkomst en doel per dataset, en data-lineage van bron tot model-output (expliciet verplicht voor hoogrisico-AI onder AI Act Art. 10; voor andere AI-systemen volgt het uit de AVG-verantwoordingsplicht)?
Zijn doorgiftes naar derde landen gedekt door SCC (Standard Contractual Clauses, modelcontracten van de Europese Commissie) of het EU-VS Data Privacy Framework, met DPIA voor risicovolle verwerkingen?
Worden deployer-logs (de logs van het AI-systeem in productie, bijgehouden door de inzettende organisatie) minimaal zes maanden bewaard (AI Act Art. 26 lid 6) en gescheiden van trainingsdata?
Wordt menselijk toezicht (AVG Art. 22 + AI Act Art. 14) operationeel ingevuld via domeinkennis, voldoende tijd én bevoegdheid om af te wijken?

Wat lever je op?

  • DPIA-register per AI-systeem met versiebeheer, gekoppeld aan risicocategorie en mitigatie-maturiteit (de mate waarin de risico-beperkende maatregelen daadwerkelijk operationeel zijn, niet alleen op papier) op de twee ALTAI-domeinen (Privacy en Data Governance).
  • Datacatalogus met data-lineage van bron tot model-output, plus toegangscontrole per gebruikersrol op alle RAG-indexen.
  • Forget-me-not-beleid plus logboek van uitgevoerde Art. 17-verzoeken, met de combinatie van technische en organisatorische maatregelen die per geval is gehanteerd.
  • Periodieke extractability-rapportage (membership inference, training-data extraction) en MITRE ATLAS-red-team (gestructureerde aanvalsoefening op het AI-systeem conform de MITRE ATLAS-aanvalsbibliotheek) minstens elk kwartaal, met bevindingen gekoppeld aan verbeteracties.
  • Verwerkersovereenkomsten met alle externe AI-aanbieders, en een doorgifte-register dat per stroom het mechanisme (SCC of DPF) en de DPIA-status documenteert.
Quick Start

Aan de slag in 3 stappen

1

Strategisch: laat de directie of het risicocomité per AI-toepassing classificeren op risiconiveau onder de AI Act én verwerkings-grondslag onder de AVG. Wijs een eigenaar aan voor privacy- en data-governance-beslissingen, verankerd bij de DPO (Functionaris Gegevensbescherming). Een organisatie die niet kan benoemen wie de verwerkingsverantwoordelijke is voor het AI-systeem, mist het beginpunt van compliance.

2

Tactisch: voer per systeem een DPIA uit en houd hem actueel; bouw een datacatalogus met data-lineage (herkomst-tracing van bron tot model-output); richt een Forget-me-not-beleid in dat technisch en organisatorisch aantoont hoe Art. 17-verzoeken (recht op vergetelheid) worden uitgevoerd; stel per type verwerking de rechtmatige grondslag (Art. 6) en bij bijzondere persoonsgegevens de uitzonderingsgrond (Art. 9) vast.

3

Operationeel: voor laag-risico-systemen (chatbot zonder persoonsgegevens) is de baseline pseudonimisering vóór de API-call, per-gebruiker-ACL (toegangsregel per gebruiker) op de RAG-index en logging zonder PII (persoonsgegevens). Voor hoog-risico-systemen (medische AI, profilering die rechtsgevolgen heeft) komen daar federated learning (model trainen op verspreide data zonder die data centraal te verzamelen) of een Trusted Execution Environment (afgeschermde server-omgeving), een vastgesteld DP-budget (de hoeveelheid willekeurige ruis die volgens differentiële privacy aan een dataset wordt toegevoegd om individuen te beschermen), periodieke extractability-tests (controle of trainingsdata uit het model terug te halen is) en een adversarieel red-team (gestructureerde aanvalsoefening op het AI-systeem) conform MITRE ATLAS bij. In beide gevallen geldt: koppel elke meetuitslag aan een geregistreerde actie.

Bouwstenen

Bouwstenen die Privacy operationaliseren

Een waarborg is geen abstract principe; hij landt in concrete bouwstenen. Hieronder de stenen waarin deze waarborg het sterkste tot uitdrukking komt.

BB_01

Knowledge

De kwaliteit, herkomst en doelbinding van de kennisbank zijn de bron van AVG Art. 5-juistheid en AI Act Art. 10-representativiteit. Een gecureerde Knowledge-laag (met taggen, archivering en bronvalidatie) is voorwaarde voor elke onderbouwde DPIA-claim over datakwaliteit. De expliciete uitwerking hiervan binnen BB_01 is in 2026 nog in ontwikkeling.

RAG-toegangscontrole, chunking-discipline en stale context komen samen op deze laag. Per-gebruiker-ACL (toegangsregel per gebruiker) op chunk-niveau, filtering bij het ophalen en geen-PII-in-logging zijn de privacy-controles die hier landen. BB_03 heeft hiervoor een expliciete Privacy-sectie.

Verwerkersovereenkomst, doorgifte-mechanisme (SCC of EU-VS DPF) en controle op uitgaande dataverkeer (egress) horen bij de tool-laag. EchoLeak-achtige indirecte prompt-injectie exfiltreert via tool-koppelingen; duidelijke vertrouwensgrenzen en zo min mogelijk rechten per agent-tool (least-privilege) zijn privacy-by-design-maatregelen op deze laag. De expliciete uitwerking binnen BB_05 is in 2026 nog in ontwikkeling.

Periodieke extractability-tests (membership inference, training-data extractie), een red-team conform MITRE ATLAS en monitoring op datalek-signalen horen in de meet-en-verbeter-cyclus. Privacy-bevindingen krijgen alleen waarde als ze leiden tot een geregistreerde actie of onderbouwde no-action. De expliciete uitwerking binnen BB_07 is in 2026 nog in ontwikkeling.

Research

Uit onze kennisbank

Top 3 gecureerde bronnen die de basis vormen voor Privacy.

  • Regelgeving

    EDPB Opinion 28/2024 — AI models, GDPR principles, and responsible AI (december 2024)

    Hét richtsnoer voor de juridische status van AI-modellen onder de AVG in 2026. Levert de driestapstoets-structuur voor de grondslagen-discussie, de drie cumulatieve identificeerbaarheidstests, en de smetwerkings-leer (een model dat is getraind op onrechtmatige data blijft besmet wanneer het in productie wordt ingezet). Onmisbaar voor elke DPIA op een LLM- of RAG-toepassing.

  • Regelgeving

    Autoriteit Persoonsgegevens — Boete Clearview AI €30,5 miljoen (september 2024)

    Het sterkste Nederlandse precedent voor handhaving op AI-systemen die bijzondere persoonsgegevens verwerken zonder rechtsgrond. Vestigt het signaal dat de AP biometrische AI-toepassingen actief beboet, ook bij niet-EU-aanbieders, en dat web-scraping voor herkenning categorisch onrechtmatig is. Direct relevant voor elke organisatie die biometrische of profilering-AI overweegt.

  • Regelgeving

    EDPB Guidelines 01/2025 on Pseudonymisation (januari 2025)

    De operationele toets om te bepalen of geanonimiseerde of gepseudonimiseerde data nog persoonsgegevens zijn. Direct toepasbaar voor RAG-indexen, exports naar externe AI-aanbieders, en de "is dit nog AVG-gevoelig?"-vraag in elke DPIA. Voorkomt een hardnekkige misvatting bij privacy-effectbeoordelingen: pseudonimisering gelijkstellen met anonimisering.

Alle bronnen voor Privacy