EU Regulatory Intelligence — by YRproject

feitelijke duiding · herleidbaar naar primaire bronnen

Onderwerpen Kansen Doe de check Samenwerken LinkedIn NL·EN
Uitleg

Verwerkersovereenkomst (AVG art. 28): nodig bij een AI-leverancier?

Vastgesteld 2026-06-28 · ≈ 1 min lezen · Dirk Baaijen

Verwerkt een AI-leverancier persoonsgegevens namens jou, dan eist artikel 28 AVG een schriftelijke verwerkersovereenkomst met vaste minimuminhoud. Deze uitleg zet op een rij wat erin moet en waar je bij AI-diensten op let.

Kort antwoord: Laat je een AI-leverancier persoonsgegevens namens jou verwerken — bijvoorbeeld een SaaS-tool of API die jouw klant- of personeelsdata verwerkt — dan ben jij verwerkingsverantwoordelijke en de leverancier verwerker. Artikel 28 AVG verplicht dan tot een schriftelijke verwerkersovereenkomst met vaste minimuminhoud. Zonder die overeenkomst is de verwerking niet rechtmatig geregeld.

Wat er minimaal in moet

Artikel 28 schrijft voor dat de overeenkomst onder meer vastlegt: onderwerp, duur, aard en doel van de verwerking, het type persoonsgegevens en de categorieën betrokkenen, en de rechten en plichten van de verantwoordelijke. De verwerker verbindt zich onder meer om: alleen op gedocumenteerde instructie te verwerken, vertrouwelijkheid te borgen, passende beveiliging (art. 32) te treffen, subverwerkers alleen met toestemming in te schakelen, de verantwoordelijke te assisteren bij verzoeken van betrokkenen en bij datalekken, en de gegevens na afloop te wissen of terug te geven, met mogelijkheid tot audits.

Waar je bij AI-diensten extra op let

Bij AI-leveranciers zijn drie punten cruciaal. Subverwerkers: AI-aanbieders leunen vaak op cloud- en modelpartijen — laat die keten vastleggen. Hergebruik voor training: regel expliciet dat jouw persoonsgegevens niet voor het trainen van modellen worden gebruikt, tenzij je dat bewust toestaat. Locatie en doorgifte: leg vast waar wordt verwerkt en welke waarborgen gelden bij doorgifte buiten de EER.

Verhouding tot de AI Act

De verwerkersovereenkomst regelt de privacy-kant (AVG). Gebruik je het AI-systeem ook in een context die onder de AI Act valt, dan komen daar aparte verplichtingen bij (rol als aanbieder/gebruiksverantwoordelijke). Behandel beide sporen naast elkaar.

Lees ook: AVG en personeelsgegevens bij AI.

Bronnen

  1. https://eur-lex.europa.eu/eli/reg/2016/679/oj
    Verordening (EU) 2016/679 (AVG), artikel 28 — verwerker en verplichte inhoud van de verwerkersovereenkomst.
  2. https://commission.europa.eu/law/law-topic/data-protection_en
    Europese Commissie — gegevensbescherming: rol van verwerkingsverantwoordelijke en verwerker.

Deel op LinkedIn

Lees ook

W

AI-leveranciersvragenlijst: wat vraag je een AI-tool-leverancier?

Een kant-en-klare vragenlijst om vóór inkoop een AI-tool-leverancier te toetsen op rol (aanbieder/gebruiksverantwoordelijke), data en training, beveiliging, subverwerkers, AI Act-status en exit. Neem de vragen over in je inkoop- of leveranciersbeoordeling.

W

De AI Act voor de DPO: samenloop met de AVG

AI Act en AVG overlappen, maar zijn niet hetzelfde. De DPO is niet automatisch verantwoordelijk voor AI-compliance, maar speelt een sleutelrol waar AI persoonsgegevens verwerkt. Dit overzicht legt de raakvlakken uit: DPIA's, rechtsgronden, transparantie en de grens van de DPO-rol.

U

AI in horeca en toerisme: dynamische prijzen, profilering en de AVG

Horeca en toerisme gebruiken AI voor dynamische prijzen, aanbevelingen en profilering van gasten. De AI Act raakt dit zelden als hoogrisico, maar de AVG is bepalend: profilering, geautomatiseerde besluiten en transparantie vragen om duidelijke grondslagen.

Dirk Baaijen

Over deze kennisbank

Samengesteld en onderhouden door YRproject — programma- en projectregie op het snijvlak van digitale transformatie, AI en regelgeving. Elke feitelijke claim is herleidbaar naar de primaire bron. Achter YRproject staat Dirk Baaijen Over & methode →

Een project of programma? Werk met YRproject →

De maandelijkse briefing

AI-regulering in vijf minuten: wat er veranderde, wat eraan komt en wat het betekent. Geen spam, uitschrijven kan altijd.

Je adres wordt alleen hiervoor gebruikt en op eigen servers bewaard.