Is AI-documentverwerking AVG-conform? Een praktische EU-checklist
De vraag die elke operationeel verantwoordelijke in de EU stelt voordat documenten worden geautomatiseerd. Het korte antwoord: AI-documentverwerking KAN AVG-conform zijn, maar de compliance zit in het ontwerp van de werkstroom — niet op de marketingpagina van het AI-model.
De AVG verbiedt AI-documentverwerking niet. Ze vraagt wat ze altijd vraagt — rechtsgrond, doelbinding, minimalisatie, beveiliging, verantwoordingsplicht — toegepast op een werkstroom die toevallig AI gebruikt. Een goed ontworpen extractiewerkstroom is makkelijker conform te maken dan een menselijke inbox, omdat elke stap expliciet en controleerbaar is.
Wat compliance in de praktijk breekt: documenten naar tools sturen zonder verwerkersovereenkomst, aanbieders laten trainen op uw klantgegevens, stilzwijgend kopieën voor altijd bewaren en documentinhoud loggen in systemen die niemand beheert.
De checklist
Rechtsgrond benoemd per documenttype (uitvoering van een overeenkomst, wettelijke verplichting, gerechtvaardigd belang — schriftelijk vastgelegd).
Doelbinding: de werkstroom verwerkt documenten voor één gedefinieerd doel; hergebruik vraagt een nieuwe beslissing.
Dataminimalisatie: extraheer gedefinieerde velden; zuig niet het hele document de vervolgsystemen in.
Verwerkersovereenkomst aanwezig met de bouwer van de werkstroom ÉN elke subverwerker (inclusief de AI-modelaanbieder) benoemd.
Geen training op uw gegevens: de voorwaarden van de modelaanbieder moeten uw content uitsluiten van training.
Gegevensopslag in de EU waar de techniek het toelaat; geldige doorgiftemechanismen (SCC's) waar niet.
Bewaartermijnen afgesproken per documenttype; tijdelijke bestanden en logs van de AI-laag volgens schema verwijderd.
Menselijk toezicht op stappen met gevolgen; rechten van betrokkenen (inzage, verwijdering) van begin tot eind uitvoerbaar.
Een incidentroute: wie krijgt wat te horen, en wanneer, als er iets lekt.
Bijzondere gevallen die extra zorg vragen
Cv's en wervingsdocumenten: hoog risico onder de EU AI Act — AI mag structureren en samenvatten, maar een mens neemt elke beslissing.
Medische, juridische en financiële documenten: striktere grondslagen en vaak kortere toegangslijsten; ontwerp de goedkeuringspoort daarop.
Documenten over kinderen of kwetsbare personen: meestal een teken dat de werkstroom eerst een DPIA nodig heeft.
Wie verantwoordelijk is
Het bedrijf dat de documenten verwerkt, blijft de verwerkingsverantwoordelijke: het is eigenaar van de rechtsgrond, het bewaarschema en de uiteindelijke beslissingen. Een leverancier zoals Rexora treedt op als verwerker — gebonden aan de verwerkersovereenkomst, verantwoordelijk om de werkstroom zo te bouwen dat de verantwoordelijke KAN voldoen, en om de eigen laag (logs, tijdelijke bestanden, subverwerkers) schoon te houden.
De compliance-goedkeuring ligt bij de verantwoordelijke en zijn adviseurs. Een goede leverancier maakt die toetsing eenvoudig door de datastroom, de subverwerkerslijst en het bewaargedrag schriftelijk te overhandigen — en weigert scopes die niet conform te maken zijn.
Voordat u documenten automatiseert
Tien minuten met deze vragen bespaart later een pijnlijke verbouwing.
Noteer de documenttypes en de rechtsgrond voor elk.
Schrijf op welke velden u werkelijk geëxtraheerd wilt hebben.
Vraag elke aanbieder om de subverwerkerslijst en de voorwaarden die training uitsluiten.
Spreek bewaartermijnen af voor originelen, extracties, tijdelijke bestanden en logs.
Bepaal welke stappen een benoemde menselijke goedkeurder vereisen.
Waar Rexora past
Rexora ontwerpt documentwerkstromen AVG-eerst: minimalisatie, afgesproken bewaartermijnen, logs zonder inhoud, in de EU gehoste tooling waar mogelijk en een DPA-opzet klaar voor toetsing.
Bij wervingsdocumenten blijven mensen beslissen — de hoog-risicoregels van de EU AI Act zijn de architectuur, geen voetnoot.
Eerlijke grenzen
Deze gids is praktische oriëntatie, geen juridisch advies; de adviseurs van de verantwoordelijke geven de definitieve goedkeuring.
Wij weigeren scopes die vereisen dat menselijk toezicht bij gevoelige beslissingen wordt weggenomen.