Door Team Faylo2 min leestijd
Een publieke chatbot voeden met cliëntcijfers is een verwerking van persoonsgegevens — vaak naar een derde land. Wat de AVG vereist, en hoe pseudonimisering vóór egress de afweging verandert.
Het korte antwoord: het hangt af van wát u in de prompt zet. Zodra een prompt herleidbare persoonsgegevens bevat — een naam, een BSN, een KvK-nummer gekoppeld aan een persoon — is het gebruik van een publieke AI-dienst een verwerking van persoonsgegevens onder de AVG. En bij de meeste publieke chatbots verlaten die gegevens de EU en belanden ze bij een verwerker zonder dat u daar een verwerkersovereenkomst mee heeft.
De AVG schrijft geen merknamen voor, maar wel beginselen. Drie daarvan raken AI-gebruik direct:
Belangrijk: compliance is een eigenschap van úw kantoor en úw verwerkingen. Geen enkele leverancier kan dat voor u afvinken — ook Faylo niet. Wat een leverancier wél kan doen, is de architectuur zo inrichten dat u die beginselen makkelijker naleeft.
De AVG noemt pseudonimisering expliciet als passende maatregel (artikel 32). Als herleidbare identifiers worden vervangen door tokens vóórdat de prompt uw omgeving verlaat, ontvangt de AI-aanbieder geen gegevens waarmee een persoon te identificeren is. De redeneerkracht van het model blijft, maar het risico bij de bron verdwijnt.
Dit is precies waar Faylo voor is ontworpen: deterministische pseudonimisering vóór egress, met de koppelkluis en sleutels binnen uw eigen tenant. Faylo is ontworpen om uw AVG-verplichtingen te ondersteunen — het maakt u niet automatisch “compliant”, maar het haalt de meest riskante stap (herleidbare data naar een derde partij sturen) uit de vergelijking.
Wilt u zien hoe dit op uw eigen dossiers uitpakt? Plan een pilot en beoordeel de architectuur samen met uw functionaris gegevensbescherming.
