De Balie in Amsterdam organiseert een nieuwe editie van de reeks Techdenkers over dataschaarste en privacy. Het thema is: hoe veilig zijn mijn data in tijden van kunstmatige intelligentie. De avond richt zich op risico’s, kansen en regels rond AI en cloud. Dat is actueel door de AVG en de Europese AI-verordening en hun gevolgen voor overheid en bedrijven.
De Balie zet privacy centraal
De bijeenkomst brengt technici, juristen en gebruikers samen. Het doel is helder: concreet maken wat er met onze gegevens gebeurt als algoritmen meekijken. Denk aan spraakmodellen, beeldherkenning en voorspellende systemen in apps en publieke diensten. Het gesprek zoomt in op wat er werkt en waar het mis kan gaan.
De organisatie kiest voor eenvoudige uitleg van lastige termen. Zo wordt duidelijk wat een model precies opslaat en wat niet. Ook komt aan bod hoe data worden gebruikt om AI te trainen. Daarbij hoort de vraag wie verantwoordelijk is als het misgaat.
Voor bezoekers staat de praktijk centraal. Hoe kies je een dienst die je gegevens respecteert. Welke instellingen geven je controle. En welke signalen wijzen op overbodige dataverzameling.
AVG en AI-verordening leidend
In Europa gelden twee pijlers: de AVG en de AI-verordening (AI Act). De AVG regelt persoonsgegevens en vertelt wie wat mag verzamelen en waarom. De AI Act rangschikt AI-systemen in risicoklassen met extra plichten voor hoge risico’s. Dat raakt direct aan de vraag: “Europese AI-verordening gevolgen overheid”.
Voor hoge-risico-systemen, zoals AI in onderwijs, zorg of werving, komen strikte eisen. Denk aan documentatie, menselijke controle en duidelijke uitleg van het model. Organisaties moeten een risicobeoordeling doen voor de start. In Nederland houdt de Autoriteit Persoonsgegevens toezicht op de AVG en straks mede op AI-toepassingen.
De praktische impact is groot. Gemeenten die algoritmen inzetten moeten een DPIA uitvoeren, een risico-analyse op privacy. Leveranciers moeten hun modellen testen en bias beperken. Burgers krijgen meer inzicht in hun rechten en hoe zij deze uitoefenen.
Cloud en datadeling onder druk
Veel AI-diensten draaien op cloudplatforms van Amazon Web Services, Microsoft Azure en Google Cloud. Bij inzet van modellen zoals OpenAI via Azure of Gemini van Google rijst de vraag: waar staan de gegevens. Europese regels eisen duidelijke afspraken over opslag en toegang. Dat geldt extra bij gevoelige gegevens zoals medische of financiële data.
Organisaties zoeken daarom naar Europese datalocatie en versleuteling. End-to-end-versleuteling betekent dat alleen afzender en ontvanger kunnen lezen wat er is opgeslagen. Dataminimalisatie beperkt welke gegevens überhaupt de cloud in gaan. Zo verklein je schade bij een lek.
Ook internationaal dataverkeer speelt mee. Het EU-VS Data Privacy Framework staat toe dat data naar de VS gaan onder waarborgen. Toch blijven juridische risico’s bestaan bij brede toegang door derden. Transparantie over verwerkers en subverwerkers is daarom essentieel.
Dataminimalisatie onder de AVG: verwerk alleen die persoonsgegevens die noodzakelijk zijn voor het doel, en niet meer.
Burgers willen controle houden
Gebruikers verwachten heldere keuzes en simpele instellingen. Een goed privacydashboard laat zien welke gegevens worden bewaard en waarom. Inzage, correctie en verwijdering moeten met een paar klikken kunnen. Dat sluit aan bij de rechten uit de AVG.
Uitlegbaarheid is ook belangrijk. Een algoritme moet in gewone taal kunnen uitleggen hoe een uitkomst tot stand kwam. Denk aan een kredietscore of een besluit over toelating. Zonder uitleg voelt technologie als een zwarte doos.
Transparantie helpt vertrouwen op te bouwen. Heldere labels laten zien of een tekst of beeld door AI is gegenereerd. Logboeken tonen wie toegang had en wanneer. En meldingen maken duidelijk als de voorwaarden veranderen.
Publieke sector moet kiezen
Overheden gebruiken steeds vaker AI voor dienstverlening en toezicht. In Nederland publiceren verschillende gemeenten een algoritmeregister met beschrijvingen van gebruikte systemen. Dat helpt bij controle en debat in de raad. Het verkleint het risico op ongezien gebruik van risicovolle modellen.
Inkopen vraagt nu om harde eisen. Denk aan Europese datalocatie, open documentatie en onafhankelijke audits. Vooraf hoort daar een DPIA en soms een ethische toets bij. Zo worden verrassingen later voorkomen.
Open source-modellen zoals Llama van Meta of Mistral kunnen lokale verwerking mogelijk maken. Lokale verwerking betekent dat data het eigen netwerk niet verlaten. Dat past vaak beter bij dataminimalisatie en de AVG. Het vereist wel eigen beheer en expertise.
Wat je nu kunt doen
Instellingen kunnen direct starten met een dataminimalisatieplan. Breng gegevensstromen in kaart en schrap wat niet nodig is. Schakel standaard logs en trainingsopties van AI-diensten uit, tenzij echt nodig. Leg keuzes vast in beleid en contracten.
Werk met een toetsingskader voor AI. Gebruik de risicoklassen uit de AI Act als startpunt. Stel extra eisen bij hoge risico’s, zoals menselijke controle en robuuste testen. Betrek daarbij juridisch, security en de gebruikerskant.
Burgers kunnen hun rechten actief gebruiken. Vraag om inzage en verwijdering als een dienst onduidelijk is. Gebruik privacyvriendelijke alternatieven waar mogelijk. En meld misstanden bij de Autoriteit Persoonsgegevens.
