AVG en GDPR voor AI-collega's: waar jouw data staat en waarom het uitmaakt

Waarom data residency de eerste vraag is

In elke AI-evaluatie komen dezelfde twee personen aan tafel: de proceseigenaar die er enthousiast over is, en de security- of compliance-officer die eerst zeker wil weten waar de data naartoe gaat. Terecht. Een AI-collega die factuurverwerking, orderverwerking of sollicitantenscreening doet, ziet persoonsgegevens, financiële gegevens en soms bijzondere categorieën data. AVG (GDPR) is dan geen annex, maar het kader.

We hebben het platform daarop ingericht vanaf dag één. Niet als extra optie, maar als standaard. Dat betekent keuzes die je niet ziet, maar die je tegenkomt op het moment dat je Data Protection Officer de vraag gaat stellen of op het moment dat je een DPIA moet invullen.

Waar jouw data staat

Alle klantdata van AgentsLab wordt verwerkt en opgeslagen binnen de Europese Unie. Onze platform-infrastructuur draait bij EU-gevestigde hostingpartijen met ISO 27001-certificering. Modelinferentie gebeurt op EU-endpoints van onze modelproviders (Azure EU, AWS Bedrock EU, en waar relevant on-prem of dedicated setups voor klanten met extra eisen).

Praktisch betekent dat:

• Geen transfer van klantdata buiten de EU, tenzij expliciet overeengekomen en voorzien van de juiste juridische waarborgen.
• Modeltraining gebeurt niet op jouw data. We finetunen niet op klantgegevens zonder uitdrukkelijke toestemming en separate dataverwerkersafspraken.
• Data retention volgt jouw bewaartermijnen, niet de onze. We bewaren wat nodig is voor het proces en verwijderen daarna.

Rollen, rechten en audit trail

Een AI-collega werkt met een eigen gebruiker in je ERP, ATS of mailserver, met expliciete autorisaties. Wat die gebruiker niet mag zien of doen, gebeurt ook niet. De audit trail staat op gebruikersniveau in je bronsystemen (SAP change documents, AFAS auditlog, Exact logboek, Odoo mail.message) en daarnaast in onze eigen case-logs, waar je per case terug kunt zien welke stappen zijn gezet, welke data is gebruikt en wat de uitkomst was.

Voor persoonsgegevens passen we PII-redaction toe in logs en interne monitoring. Je team ziet in de dashboard wat er gebeurt zonder dat onnodige persoonsgegevens daar rondslingeren. Voor use cases met bijzondere categorieën (HR, zorg, juridisch) hebben we extra isolatie-patronen beschikbaar.

DPIA, verwerkersovereenkomst en sub-processors

We leveren een vaste verwerkersovereenkomst (DPA) en een DPIA-template dat je DPO kan gebruiken voor de interne afweging. De lijst van sub-processors is transparant en wordt bijgehouden; wijzigingen daarin worden gecommuniceerd voordat ze ingaan. Voor klanten die het willen, werken we met dedicated infra waar de data in jouw eigen cloudtenant blijft (BYOC) of volledig on-prem draait.

Praktische vragen die we vaak krijgen

Mag de AI-collega persoonsgegevens lezen? Ja, voor zover jouw medewerker dat mag, binnen dezelfde rollen en doelbinding. Wordt de data gebruikt voor modeltraining? Nee, niet zonder expliciete opt-in. Wat gebeurt er als we stoppen? Je data wordt binnen de overeengekomen termijn gewist of teruggegeven, met een verwijdercertificaat. Hoe zit het met de AI Act? Onze agents vallen onder beheerste risicocategorieën en we documenteren per use case. Plan een Quick Scan, dan lopen we deze vragen specifiek voor jouw situatie door.