14 oktober 2025

De VTC brengt deze waarschuwing uit naar aanleiding van een datalek dat bij haar werd aangemeld en waarbij er zonder toestemming met een AI-tool beeldopnames werden gemaakt bij een online overleg.

Als je je eindgebruikers apps laat installeren waar je geen controle over hebt en je geeft toegang tot essentiële data, dan is er een probleem.

Een ecosysteem als dat van MS Teams brengt mee dat er een veelvoud van apps allerlei data uitlezen en je hebt geen idee waar ze naartoe gaan.

Heel de wereld van plug ins in zo’n omgeving is een groot risico voor de burger waarvan je als Vlaamse instantie persoonsgegevens verwerkt.

Daarom waarschuwt de VTC ervoor dat je zo een tool niet mag gebruiken totdat

• de DPO betrokken werd,
• de tool goedgekeurd is door de IT – dienst, én
• alle deelnemers aan de conversatie.

De IT-dienst moet met de DPO nakijken of de plug voldoet aan de AVG:

• voldoet de plug in aan de eis van privacy by default?
• is de plug in veilig?
• waar gaan de gegevens naartoe? is de hosting in orde?

Om duidelijk te zijn: geef geen persoonsgegevens door aan een app als Copilot.

De Vlaamse instanties moeten ervoor zorgen dat deze waarschuwing wordt nageleefd door hun interne en externe medewerkers en verwerkers.

De VTC is aangeduid als een van de Belgische autoriteiten voor de bescherming van de grondrechten(PDF bestand opent in nieuw venster) in de zin van artikel 77 van de AI-verordening.

De hoofdthema’s van de DPO-studiedag van 2024 de VTC waren AI en gegevensbescherming.

juni 2025

De VTC heeft met een brief(PDF bestand opent in nieuw venster) van 22 mei 2025 aan het agentschap Digitaal Vlaanderen haar opmerkingen bezorgd over de ontwerprichtlijnen die het agentschap haar had voorgelegd.

Voor elke toepassing moet een aparte GEB worden gemaakt.

De VTC pleit er voor om een eigen AI-agent te maken als het gaat om gevoelige verwerkingen.

februari 2025

Je integreert een chatbot op de website die werkt op basis van een (standaard) chatclient van een leverancier die werkt met generatieve AI.

Je bent verwerkingsverantwoordelijke voor je website en de chatbot.

Je moet minimaal de bezoekers van de website duidelijk verwittigen dat ze geen persoonsgegevens mogen vrijgeven, dat de antwoorden niet de antwoorden zijn van de instantie zelf en niet noodzakelijk een betrouwbaar antwoord.

Risico’s voor persoonsgegevens

Het gebruik van AI kan een datalek vormen.

Een risicoanalyse is noodzakelijk.

Wat een onschuldige vraag lijkt, kan verkeerd geïnterpreteerd worden of er kan uit een vraag andere gevoelige informatie over een persoon afgeleid worden bv. info van mensen die hulp zoeken bij noodopvang, depressie, … of bv. waaruit de intentie om een procedure tegen het bestuur op te starten blijkt.

Hoe meer bronnen gebruikt worden en hoe meer partnerorganisaties betrokken worden, hoe groter de risico’s, bv. dat de vragen opduiken als antwoord bij een van de andere organisaties.

Maatregelen gegevensbescherming

Bewustmaking: de medewerkers moeten weten dat ze geen AI-tool mogen gebruiken of installeren zonder eerst het advies van de DPO en de CISO te hebben ingewonnen.

Outputfilters: de keuze van filters kan niet aan leverancier overgelaten worden. Iemand binnen de organisatie moet hier over waken.

Bewaren gegevens:

• identificatoren zoals IP-adres niet bijhouden;
• maak het mogelijk om een vraag snel terug in te trekken;
• de inhoud van de vraag niet bijhouden;
• de bewaartermijn van de chats beperken tot wat strikt noodzakelijk is;
• de toegang tot de logs strikt beperken.

Periodieke evaluatiemomenten: kijk naar eventuele nevenverschijnselen en schat de impact van volgende generaties AI op tijd in.

v.2.0

Het AI Competence Center van Digitaal Vlaanderen ontwikkelde volgende richtlijnen voor het gebruik van publiek toegankelijke generatieve AI-tools(PDF bestand opent in nieuw venster), de identificatie van potentiële risico’s en valkuilen en voorbeelden van gepast en ongepast gebruik

Advies van het EDPB over AI-modellen: GDPR-principes ondersteunen verantwoorde AI(opent in nieuw venster)

• Europese AI-verordening(opent in nieuw venster)

• Geharmoniseerde regels betreffende artificiële intelligentie - EUR-Lex(opent in nieuw venster)

• AI-verordening AI (Artificiële Intelligentie) - Digitale Overheid(opent in nieuw venster) Nederland

De AI-verordening geldt voor ontwikkelaars van AI-modellen en -systemen en voor organisaties en bedrijven die de AI-systemen gebruiken.

• AI-verordening | Autoriteit Persoonsgegevens(opent in nieuw venster) Nederland

De AI-verordening bevat een lijst met hoogrisicosystemen die aan deze en andere eisen moeten voldoen. Toepassingen die een lager risico vormen moeten voldoen aan verschillende regels op het gebied van transparantie. Een systeem dat kunstmatige content genereert, moet dit bijvoorbeeld duidelijk markeren voor de burger.