LLMs, agents en RAG-systemen verwerken persoonsgegevens. AVG en EU AI Act creëren een gecombineerd compliancekader. Deze gids behandelt de concrete verplichtingen voor Belgische kmo's.
Het gebruik van een LLM voor de verwerking van persoonsgegevens vereist een expliciete rechtsgrond: gerechtvaardigde belangen, toestemming of uitvoering van een contract. Documenteer in het verwerkingsregister.
Als u persoonsgegevens stuurt naar OpenAI, Anthropic of Google: een Verwerkersovereenkomst (VBO/DPA) is verplicht.
OpenAI (VS), Anthropic (VS): controleer of de VBO de standaard contractbepalingen (SCC) voor EU-VS-overdrachten bevat. Azure OpenAI met EU-gegevensresidentie is veiliger voor gevoelige gegevens.
Gegevensbeschermingseffectbeoordeling verplicht bij grootschalige verwerking van bijzondere categorieën of systematische profilering.
AI-systemen moeten de uitoefening van rechten mogelijk maken: inzage, rectificatie, verwijdering, bezwaar. Plan een proces voor het traceren en verwijderen van individuele gegevens in RAG-embeddings.
Molderez Consult SRL evalueert uw EU AI Act en AVG-conformiteit.
Mijn audit aanvragen