AVG-naleving met citeerbare bronnen — voor Nederlandse compliance-teams.
AVG (GDPR), EU AI-verordening en ISO 42001 in dezelfde werkstroom die uw team al gebruikt. Ansvar AI levert antwoorden met citaten op artikelniveau uit openbare regulatoire bronnen — zodat besluiten onderbouwd worden, niet gegokt.
Drie regelwerken, één werkstroom
AVG, EU AI-verordening en sectorregelgeving werken in elkaar door — niet parallel. AVG-naleving betekent vandaag dat ze als één samenhangende inspanning behandeld worden, niet als drie aparte projecten.
Voor Nederlandse organisaties is de vraag zelden óf persoonsgegevens verwerkt worden — wél hoe aantoonbaar regelconform. AVG, AI-verordening, NIS2 en sectorale eisen raken vaak dezelfde toepassing. Een AI-gestuurde recruiting-tool is tegelijk hoog risico onder de AI-verordening, DPIA-plichtig onder Art. 35 AVG en arbeidsrechtelijk relevant.
De gemene deler is documentatie: een beoordeling die een onderzoek door de Autoriteit Persoonsgegevens doorstaat en herleidbaar is naar de daadwerkelijke wettekst — niet naar samenvattingen. Juist daar ontstaan de meeste gaten tussen norm en praktijk.
De kernverplichtingen — geordend per artikel
AVG-naleving is terug te brengen tot een beperkt aantal kernverplichtingen. Wat daaronder hangt — maatregelen, registers, beoordelingen — vloeit voort uit de specifieke toepassing.
Rechtsgrond en doelbinding (Art. 5, 6)
Iedere verwerking heeft een rechtsgrond uit Art. 6 nodig (toestemming, overeenkomst, wettelijke verplichting, vitaal belang, algemeen belang of gerechtvaardigd belang). Doelen moeten welbepaald, uitdrukkelijk omschreven en gerechtvaardigd zijn — achteraf verbreden van het doel zonder nieuwe rechtsgrond is niet toegestaan.
Informatieplichten (Art. 13, 14)
Betrokkenen worden geïnformeerd op het moment van verzamelen (Art. 13) of uiterlijk binnen een maand (Art. 14) over identiteit van de verwerkingsverantwoordelijke, doelen, rechtsgrond, ontvangers, bewaartermijn en rechten. Een privacyverklaring vervult deze plicht alleen wanneer ze concreet en transparant is.
Verwerkingsregister (Art. 30)
Verwerkingsverantwoordelijken en verwerkers houden registers van verwerkingsactiviteiten bij in schriftelijke of elektronische vorm. De verplichte inhoud staat in het artikel zelf — van verwerkingsdoelen en categorieën ontvangers tot beoogde bewaartermijnen en doorgiften naar derde landen.
Passende beveiliging (Art. 32)
Verwerkingsverantwoordelijken en verwerkers nemen passende technische en organisatorische maatregelen — rekening houdend met de stand van de techniek, uitvoeringskosten, aard en doel van de verwerking en de risico's voor betrokkenen. Pseudonimisering, versleuteling, beschikbaarheid en weerbaarheid van systemen en regelmatige toetsing van de effectiviteit worden expliciet genoemd.
Meldplicht bij datalekken (Art. 33, 34)
Inbreuken in verband met persoonsgegevens worden binnen 72 uur gemeld aan de bevoegde toezichthouder (Art. 33), bij hoog risico aanvullend aan de betrokkenen (Art. 34). De 72-uurstermijn begint op het moment dat de verwerkingsverantwoordelijke kennis krijgt van het lek — niet op het moment van ontdekking van het onderliggende beveiligingsprobleem.
Verwerkersovereenkomst en DPIA — twee aparte verplichtingen
De verwerkersovereenkomst en de DPIA zijn verschillende instrumenten met verschillende aanleidingen. Ze vervangen elkaar niet.
De verwerkersovereenkomst (Art. 28) regelt de relatie tussen verwerkingsverantwoordelijke en verwerker — bijvoorbeeld tussen een organisatie en haar cloud-leverancier. Verplichte onderdelen zijn onder meer onderwerp en duur van de verwerking, instructiegebondenheid, geheimhoudingsplicht, beveiligingsmaatregelen, subverwerkers, ondersteuning bij betrokkenenrechten en meldplichten, en audit-rechten. Zonder verwerkersovereenkomst is de inschakeling van een verwerker zelf onrechtmatig.
De DPIA (Art. 35) betreft het eigen verwerkingsproces van de verwerkingsverantwoordelijke wanneer dat waarschijnlijk een hoog risico voor betrokkenen oplevert. Het is een risicobeoordeling — geen toestemming. Blijkt na de DPIA een hoog restrisico, dan moet de toezichthouder vóór aanvang worden geraadpleegd (Art. 36).
Voor AI-gestuurde verwerkingen komt daar een Grondrechten-effectbeoordeling (FRIA, Art. 27 AI-verordening) bij — met name bij bepaalde hoog-risico-systemen in de publieke sector of bij aanbieders van publieke diensten. De twee beoordelingen hebben verschillende zwaartepunten en worden apart gedocumenteerd.
Antwoorden met citaten in uw bestaande AI-client
U hoeft geen nieuw product te leren. Ansvar AI verbindt Claude, Cursor, Copilot Studio en andere MCP-compatibele clients met openbare regulatoire bronnen.
Elk antwoord wordt geleverd met citaten op artikelniveau. Wanneer een Functionaris voor Gegevensbescherming vraagt "Welke verplichtingen heb ik bij een datalek op grond van Art. 33?", verwijst het antwoord direct naar de artikeltekst — niet naar een schatting van het model. De bronnen zijn openbaar en controleerbaar.
Het platform draait binnen de EU (Hetzner). Modelverkeer loopt via BYOK — de klant houdt zelf de relatie met de modelleverancier. Wij trainen geen modellen op klantgegevens. De volledige operationele opzet staat op de AI Governance-pagina.
Vandaag dekt Ansvar AI 30 ge-audite jurisdicties, EU-verordeningen, beveiligingskaders en sectorale regelwerken af. De dekking wordt alleen uitgebreid wanneer bronlicentiering, actualiseringscyclus en citaatkwaliteit gevalideerd zijn.
Vragen die we krijgen van Nederlandse compliance-, juridische en beveiligingsteams
Staat uw vraag er niet bij — stuur ons een mail. We beantwoorden elk bericht.
Wat is AVG-naleving?
AVG-naleving is de aantoonbare toestand waarin een organisatie voldoet aan de Algemene Verordening Gegevensbescherming — van rechtsgrond en betrokkenenrechten tot technische en organisatorische maatregelen en meldplichten. Naleving is geen certificaat, maar gedocumenteerde praktijk die een toezichtsonderzoek doorstaat.
Welke verplichtingen gelden voor mijn organisatie?
Dat hangt af van uw rol (verwerkingsverantwoordelijke of verwerker) en van de verwerkingsactiviteit. Kernverplichtingen zijn: rechtsgrond per verwerking (Art. 6), informatieplichten (Art. 13/14), register van verwerkingsactiviteiten (Art. 30), passende technische en organisatorische maatregelen (Art. 32), meldplicht bij datalekken (Art. 33/34) en waar nodig een DPIA (Art. 35).
Wanneer is een DPIA verplicht?
Artikel 35 AVG vereist een DPIA wanneer een verwerking waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van betrokkenen — typisch bij systematische en uitgebreide profilering, grootschalige verwerking van bijzondere categorieën, of stelselmatige monitoring van openbare ruimten. De AP publiceert lijsten met verwerkingen waarvoor zij een DPIA in elk geval verplicht acht.
Wat moet een verwerkersovereenkomst bevatten?
Een verwerkersovereenkomst (Art. 28) moet onderwerp en duur van de verwerking, aard en doel, categorieën betrokkenen en gegevenscategorieën benoemen. Daarnaast gelden de acht verplichtingen van de verwerker uit Art. 28 lid 3 — instructiegebondenheid, geheimhouding, passende beveiliging, subverwerkers, ondersteuning bij betrokkenenrechten en meldplichten, audits en het lot van de data bij beëindiging.
Hoe verhoudt de AI-verordening zich tot de AVG?
De EU AI-verordening vult de AVG aan, vervangt deze niet. Wanneer een AI-systeem persoonsgegevens verwerkt, gelden beide regelwerken parallel. Een DPIA op grond van Art. 35 AVG kan vereist zijn, en daarnaast een Grondrechten-effectbeoordeling (FRIA) op grond van Art. 27 AI-verordening voor bepaalde hoog-risico-systemen — met name wanneer overheidsorganen of aanbieders van publieke diensten ze inzetten.
Welke toezichthouder is verantwoordelijk in Nederland?
De Autoriteit Persoonsgegevens (AP) is de primaire toezichthouder voor de AVG in Nederland. Voor de AI-verordening is op het moment van schrijven nog geen definitieve nationale coördinator aangewezen; de AP wordt voor grondrechten en gegevensbescherming verwacht een centrale rol te krijgen, terwijl markttoezicht over sectortoezichthouders verdeeld kan worden afhankelijk van het toepassingsgebied van het AI-systeem.
Hoe verschilt Ansvar AI van een gewone AI-chatbot?
Ansvar AI is een gateway die uw bestaande AI-clients (Claude, Cursor, Copilot Studio en andere MCP-compatibele clients) via het Model Context Protocol verbindt met openbare regulatoire bronnen. Elk antwoord wordt geleverd met citaten op artikelniveau die controleerbaar zijn. Het model formuleert de tekst — de bronnen komen echter uit ge-audite, open verbindingen, niet uit de trainingsdata van het model.
Wilt u zien hoe het in de praktijk werkt?
Boek een demo waarin we Ansvar AI toepassen op een van uw eigen scenario's — een DPIA, een AI-verordeningsbeoordeling, een gap-analyse. We lopen de citaatpipeline, de herkomst van de bronnen en de verdedigbaarheid van de antwoorden tegenover de Autoriteit Persoonsgegevens door.