AVG · EU AI Act · Compliance · Nederland 2026

GDPR & AI Act compliant:
zo doe je het goed.

Praktische compliance-gids voor AI agents in het Nederlandse MKB. Inclusief risicoclassificatie en volledige checklist.

Bekijk de checklistCompliant laten bouwen →
Augustus 2026
EU AI Act volledig van kracht
Voor de meeste AI-systemen in de EU
Art. 52
Transparantieplicht chatbots en agents
Klanten moeten weten dat ze met AI praten
€35M of 7%
Maximale boete EU AI Act (hoog-risico)
Hogere van beide bedragen van toepassing

Het juridisch kader

Twee wetten, één systeem.

Nederlandse bedrijven die AI agents inzetten, hebben te maken met twee overlappende juridische kaders: de AVG (GDPR) en de nieuwe EU AI Act.

De AVG regelt hoe persoonsgegevens worden verwerkt. Een AI agent die e-mails leest, klantgesprekken voert of leads kwalificeert, verwerkt vrijwel altijd persoonsgegevens. AVG-compliance is daardoor niet optioneel.

De EU AI Act, waarvan de meeste bepalingen van kracht worden in augustus 2026, voegt daar een laag aan toe: afhankelijk van het risico van je AI-systeem gelden aanvullende eisen rond transparantie, documentatie en menselijk toezicht.

Het goede nieuws: voor de meeste MKB-toepassingen zijn de eisen beheersbaar als je ze van tevoren meeneemt in het ontwerp.

EU AI Act

Risicoclassificatie: waar valt jouw agent?

De EU AI Act hanteert vier risiconiveaus. De categorie bepaalt welke verplichtingen gelden.

Onaanvaardbaar risico

Verboden toepassingen

Voorbeelden: Social scoring, manipulatieve AI, biometrische real-time surveillance op publieke plaatsen

MKB relevantie: Niet relevant voor standaard MKB

Verboden, niet gebruiken

Hoog risico

Strenge compliance-eisen

Voorbeelden: AI voor kredietbeoordeling, sollicitantenscreening, medische diagnose, CV-ranking

MKB relevantie: Relevant voor selectieve MKB-toepassingen

DPIA verplicht, uitgebreide documentatie, conformiteitsbeoordeling

Beperkt risico

Transparantieverplichtingen

Voorbeelden: Chatbots, klantenservice-agents, deepfakes, emotieherkenning

MKB relevantie: Meest voorkomende MKB-toepassing

Klant informeren over AI-gebruik, transparante communicatie

Minimaal risico

Geen specifieke verplichtingen

Voorbeelden: Spamfilters, interne workflow-automatisering, aanbevelingssystemen (low-risk)

MKB relevantie: Veel interne automatiseringen

Vrijwillige gedragscode, best practices volgen

Bron: EU AI Act (Europese Commissie) · Autoriteit Persoonsgegevens over AI

Compliance checklist

Alles wat je moet regelen.

Gebruik deze checklist voordat je een AI agent in productie brengt.

AVG / GDPR

  • Verwerkersovereenkomst gesloten met LLM-provider
  • Persoonsgegevens verwerkt binnen de EER (EU-hosted)
  • Verwerkingsactiviteiten opgenomen in register
  • Privacyverklaring bijgewerkt met AI-verwerking
  • DPIA uitgevoerd (bij hoog risico of grootschalige verwerking)
  • Bewaartermijnen voor chat-transcripten vastgesteld
  • Rechten betrokkenen gewaarborgd (inzage, verwijdering)

EU AI Act

  • Risicoclassificatie van het systeem bepaald
  • Transparantie-melding aan eindgebruikers ingebouwd
  • Menselijk toezicht (human-in-the-loop) geconfigureerd
  • Technische documentatie bijgehouden
  • Logging en auditing van agentacties ingeschakeld
  • Medewerker altijd beschikbaar als escalatiepad

Technische beveiliging

  • API-sleutels opgeslagen als environment variables, niet in code
  • Geen persoonsgegevens in LLM-prompts tenzij noodzakelijk
  • Prompt injection preventie geïmplementeerd
  • Minimale dataverwerking principe toegepast
  • Encryptie in transit (HTTPS) en at rest
  • Toegangscontrole tot agent-dashboard en logs

Disclaimer: Deze checklist is informatief en vervangt geen juridisch advies. Raadpleeg een privacy-jurist of compliance-specialist voor jouw specifieke situatie. Zie ook de Autoriteit Persoonsgegevens voor officiële richtlijnen.

GDPR-vriendelijke LLM-keuzes

Welk LLM is veilig voor Nederlandse MKB-data?

Zelf gehoste modellenAanbevolen

Volledige datacontrole, geen training op jouw data, eigen beheer nodig

Commerciële aanbieder met DPAControleer contract

EU-verwerking, duidelijke afspraken over logs en prompts

Onbekende of gratis APINiet aanbevolen

Onheldere data-afspraken en hogere risico's

Compliance ingebakken

Symphony bouwt compliant by design.

RoibyRoy bouwt AI agents met AVG en EU AI Act compliance als standaard, niet als afterthought. EU-hosting, DPA's, transparantie en logging ingebakken vanaf dag één.

Bekijk Symphony →

Veelgestelde vragen

FAQ: GDPR & AI Act voor AI agents in Nederland.

Wat zegt de EU AI Act over AI agents voor het MKB?+
De EU AI Act (van toepassing vanaf augustus 2026 voor de meeste systemen) categoriseert AI-systemen op risico. De meeste MKB-toepassingen (klantenservice, e-mail automatisering, leadkwalificatie) vallen in de 'minimaal risico' of 'beperkt risico' categorie. Voor deze systemen gelden voornamelijk transparantieverplichtingen: klanten moeten weten dat ze met AI communiceren. Hoog-risico systemen (bijv. AI die kredietwaardigheid of sollicitanten beoordeelt) vereisen uitgebreidere documentatie en conformiteitsbeoordelingen.
Moet ik voor elk AI-systeem een DPIA (gegevensbeschermingseffectbeoordeling) uitvoeren?+
Niet altijd, maar wel wanneer: de verwerking waarschijnlijk een hoog risico inhoudt voor betrokkenen, je op grote schaal bijzondere persoonsgegevens verwerkt, of je systematisch individuen beoordeelt (profiling). Voor een klantenservice-agent die e-mails verwerkt is een DPIA doorgaans aanbevolen maar niet altijd verplicht. Raadpleeg de AP-richtlijnen of een privacy-jurist bij twijfel.
Mag ik persoonsgegevens gebruiken om een AI agent te trainen?+
Alleen als je een geldige rechtsgrondslag hebt (bijv. toestemming of gerechtvaardigd belang) en de betrokkenen hierover informeert. Voor het fine-tunen van een LLM op klantdata is expliciete toestemming doorgaans nodig. Voor het inrichten van een kennisbank met anonieme informatie is dit eenvoudiger. Gebruik bij voorkeur synthetische data of geanonimiseerde voorbeelden voor training.
Welke LLM-providers zijn GDPR-compliant voor Nederlandse bedrijven?+
De veiligste keuzes voor AVG-compliance zijn: self-hosted open-source modellen (Mistral, Llama via vLLM of Ollama) en aanbieders die een duidelijke verwerkersovereenkomst, EU-verwerking en geen training op jouw data bieden. Kies niet blind op merknaam, maar op contract, data-afspraken en beheer.
Wat is het verschil tussen de EU AI Act en de AVG voor AI agents?+
De AVG (GDPR) regelt de verwerking van persoonsgegevens en geeft individuen rechten (inzage, correctie, verwijdering). De EU AI Act regelt specifiek de ontwikkeling en het gebruik van AI-systemen op basis van risicoclassificatie. Beide zijn gelijktijdig van toepassing. Een AI agent die persoonsgegevens verwerkt, moet voldoen aan beide. De AI Act richt zich meer op systeemniveau (documentatie, transparantie, menselijk toezicht); de AVG meer op dataniveau.
Hoe communiceer ik transparant naar klanten dat ze met een AI agent praten?+
Vereisten onder EU AI Act (artikel 52 voor chatbots): de agent moet zich kenbaar maken als AI aan het begin van elk gesprek. Aanbevolen praktijk: gebruik een duidelijke openingszin zoals 'U spreekt met een virtuele assistent van [bedrijfsnaam]. Wilt u liever een medewerker spreken, typ dan MEDEWERKER.' Zorg dat een menselijke medewerker altijd bereikbaar is als alternatief.
Heeft mijn AI agent een verwerkersovereenkomst nodig met de LLM-provider?+
Ja, als de LLM persoonsgegevens verwerkt (wat bij klantenservice bijna altijd het geval is). Vraag een verwerkersovereenkomst op, controleer waar data wordt verwerkt en leg vast wie toegang heeft tot logs en prompts. Zorg dat je dit vóór live-gang regelt.

Meer over AI agents

Stappenplan implementatieKosten AI agents MKBROI AI agents berekenenAI agent klantenservice

Plan een gesprek

Neem contact op met Roy.

Ik wil begrijpen wat jouw bedrijf nodig heeft. Dan laat ik zien wat Symphony daarvoor kan doen.

Stuur een bericht. Ik reageer binnen 24 uur.