AVG-checklist voor AI in het MKB
Voordat u AI (telefonist, WhatsApp-assistent, chatbot, document-AI) inzet in uw Nederlandse MKB-bedrijf: doorloop deze 24-punts checklist. Gebaseerd op AVG, EU AI Act, EU-DPF en NEN 7510. Vrij toegankelijk onder CC-BY 4.0 — bron-vermelding naar aanloopai.nl voldoende.
1. Leverancier en sub-verwerkers
- Leverancier hanteert verwerking binnen EU (datacenter Frankfurt, Amsterdam of Parijs)
- Sub-verwerkers (OpenAI, Anthropic, Google) zijn opgenomen onder EU-DPF of werken via EU-only deployment
- Sub-verwerkerslijst is opgevraagd, ontvangen en beoordeeld
- Wijzigingen in sub-verwerkers worden 30 dagen vooraf gemeld met opt-out-recht
- Leverancier heeft expliciete no-training-toezegging op uw klantdata
2. Verwerkersovereenkomst (DPA)
- Standaard verwerkersovereenkomst getekend met clausules voor datalokatie en bewaartermijn
- Beveiligingsmaatregelen onder ISO 27001 of vergelijkbaar gespecificeerd
- Incident-meldplicht binnen 72 uur is contractueel vastgelegd
- Data-export of bewijs van verwijdering bij contracteinde is gegarandeerd
- Audit-recht (op eigen kosten) is opgenomen
3. Datalokatie en bewaartermijn
- Bewaartermijn voor klantgesprekken is vastgesteld (30, 90 of 180 dagen)
- Bewaartermijn is consistent met wettelijke plichten (zorg: NEN 7510, financieel: WWFT)
- Pseudonimisering en encryptie at rest zijn geactiveerd
- Data-residentie is technisch afgedwongen (geen fallback naar US-regio bij overload)
4. Privacystatement en informatieplicht
- Privacystatement bevat AI-paragraaf: leverancier, doel, datalokatie, bewaartermijn, betrokkenenrechten
- Telefoongesprekken openen met informatieplicht-statement (gesprek wordt opgenomen voor kwaliteit en training)
- WhatsApp- en chat-flows tonen AI-disclosure binnen eerste bericht
- Algemene voorwaarden vermelden dat AI eerstelijns vragen verwerkt
5. Verwerkingsregister (Artikel 30 AVG)
- AI-verwerking is opgenomen in artikel 30-register met doel, categorieen, ontvangers, bewaartermijn
- Risico-classificatie en eventuele DPIA (artikel 35) zijn uitgevoerd voor zorg-, juridische of financiele context
- Periodieke review (jaarlijks) van het register staat in de agenda
6. Betrokkenenrechten en escalatie
- Centrale e-mail of dashboard voor inzage-, correctie- en vergetelverzoeken is ingericht
- Aanloop AI levert binnen 30 dagen volledige data-export of bewijs van verwijdering
- Escalatie-flow voor klacht of bezwaar is gedocumenteerd, inclusief functionaris gegevensbescherming (FG) waar verplicht
Veelvoorkomende valkuilen bij MKB-AI compliance
1. US-only-leverancier zonder EU-deployment. ChatGPT-Enterprise of Anthropic via standaard-API verwerkt data buiten EU. Voor klantdata van EU-burgers heeft u expliciet EU-residentie nodig of verwerking via EU-DPF.
2. Geen DPA met sub-verwerker. Veel SaaS-AI-tools sluiten alleen een Terms of Service af. Voor klantdata is een verwerkersovereenkomst (artikel 28 AVG) vereist, niet optioneel.
3. Onbeperkte bewaartermijn. AI-leveranciers houden gespreksdata vaak default 12+ maanden. Voor MKB-klantenservice is 90-180 dagen voldoende; verlaag actief.
4. Geen openings-statement bij telefoon. Wie gesprekken opneemt, moet de klant informeren bij gespreksopening. Marco van Aanloop AI doet dit standaard.
5. Privacystatement niet bijgewerkt. Bij invoering AI moet uw privacystatement binnen 14 dagen worden aangepast. Anders datalek-risico bij eerste klacht.