AI gebruiken zonder gaten in je databescherming

Geschreven door BijzonderStrafrecht.nl

Wat als je AI inzet om processen te verbeteren, maar je tegelijk fundamentele rechten schendt – zonder dat je het weet? De meeste risico’s van AI zitten niet in spectaculaire scenario’s, maar in stille fouten: bias in datasets, verkeerde aannames in modellen of onbedoelde lekken van persoonsgegevens. Juist daarom publiceerde de EDPS een nieuwe leidraad die AI-risico's praktisch en technisch benadert – gericht op dataminimalisatie, fairness en verantwoording.

Wat is er aan de hand?

Op 11 november 2025 bracht de European Data Protection Supervisor (EDPS) een uitgebreide Guidance for Risk Management of Artificial Intelligence systems uit. Deze richt zich specifiek op AI-systemen die persoonsgegevens verwerken binnen EU-instellingen, maar biedt ook bruikbare lessen voor andere publieke en private organisaties.

De timing is niet toevallig: de AI Act is formeel aangenomen, maar de praktische toepassing van AI binnen de kaders van de AVG en EUDPR roept nog veel vragen op. De EDPS kiest voor een nuchtere insteek: waar zitten de echte risico’s, en hoe kun je die technisch mitigeren?

Hoe werkt het?

De leidraad combineert het ISO 31000:2018 risicomanagementmodel met dataprotectieprincipes zoals eerlijkheid, nauwkeurigheid, minimalisatie en veiligheid. Het risico wordt telkens benoemd als een combinatie van:

  • Risk source (bijv. het trainen van een AI-model op persoonsgegevens),

  • Event (bijv. bias in beslissingen),

  • Consequence (bijv. discriminatie van individuen),

  • Control (mitigerende maatregel, zoals pseudonimisering).

De EDPS hanteert het volledige AI-levenscyclusmodel: van analyse en datasourcing tot ontwikkeling, monitoring en retirement. Ook de inkoop van externe AI-oplossingen krijgt aandacht. Voor elke fase benoemt de gids welke risico’s typisch optreden en welke technische maatregelen relevant zijn. Denk aan:

  • Explainability tools zoals LIME of SHAP,

  • Bias audits en kwaliteitsmetingen,

  • Data sampling of synthetic data,

  • Machine unlearning als verwijdering van gegevens nodig is.

Waarom is dit belangrijk?

De EDPS waarschuwt expliciet: AI kan bestaande machtsongelijkheden en datarollen versterken. Bias, ondoorzichtige algoritmes en 'data drift' ondermijnen niet alleen compliance, maar ook vertrouwen en rechtvaardigheid.

Juristen moeten daarom niet alleen op AVG-naleving sturen, maar ook begrijpen hoe AI-techniek werkt. Alleen dan kun je beoordelen of je als verwerkingsverantwoordelijke wel echt grip hebt op wat het systeem doet – en of je de rechten van betrokkenen daadwerkelijk kunt waarborgen.

Praktische implicaties:

  • Fairness vereist technische checks. Bias is niet alleen een ethisch vraagstuk; het is een compliance-risico dat je kunt en moet meten.

  • Transparantie betekent niet hetzelfde als explainability. Ook ‘black box’-modellen moeten uitlegbaar zijn voor gebruikers én auditors.

  • Verwerkersverantwoordelijkheid geldt ook bij inkoop. Vraag technische documentatie op, inclusief validatiemethoden en fairness-metrics.

  • Rechten van betrokkenen afdwingen bij AI vereist voorbereiding. Denk aan tooling voor data access en machine unlearning.

Zoals de EDPS stelt: zonder goede risicobeheersing loop je niet alleen juridische risico’s, maar ook reputatieschade en verlies van vertrouwen van burgers.

Afsluiting

De kern? AI-risico’s zijn technisch én juridisch, en vereisen samenwerking tussen DPO’s, juristen, ontwikkelaars en inkoop. De EDPS-leidraad biedt daarvoor een praktisch framework.

Wat kun jij als jurist doen?

  • Lees je in over interpretability versus explainability.

  • Eis risicoanalyses bij inkoop of ontwikkeling van AI.

  • Stem je DPIA’s af op de AI-levenscyclus.

AI dwingt juristen om risicomanagement fundamenteel opnieuw te ontwerpen – met techniek als bondgenoot, niet als black box.

BijzonderStrafrecht.nl https://www.bijzonderstrafrecht.nl
Volgende

Zeno heeft internationale ambities