Het herziene advies van de EDPS over generatieve AI

De snelle opkomst van generatieve AI stelt nieuwe uitdagingen voor de bescherming van persoonsgegevens, met name in de context van Europese instellingen die onderworpen zijn aan Verordening (EU) 2018/1725. Zich bewust van deze uitdagingen heeft de Europese Toezichthouder voor gegevensbescherming (EDPS) eind oktober 2025 een herziene versie gepubliceerd van zijn richtlijnen om de instellingen, instanties, kantoren en agentschappen van de Europese Unie te begeleiden bij de verantwoordelijke en conforme implementatie van generatieve AI-systemen met inachtneming van de normen voor gegevensbescherming.

Dit advies, dat in zekere zin een aanvulling vormt op advies 28/2024 van 17 december 2024 van het Europees Comité voor gegevensbescherming (EDPB), heeft betrekking op bepaalde aspecten van de bescherming van persoonsgegevens in de context van kunstmatige intelligentie (AI).

Belangrijkste punten uit het advies van de EDPS van oktober 2025 over generatieve AI

Het Europese advies (van ongeveer veertig pagina’s en voorzien van talrijke voorbeelden) gaat met name in op het feit dat:

1. de ontwikkeling en het gebruik van generatieve AI-systemen moeten voldoen aan de volledige EU-verordening 2018/1725 betreffende de bescherming van persoonsgegevens, die van toepassing is op de Europese instellingen. De verordening is namelijk (net als de AVG) technologisch neutraal ;
2. de rollen van de verschillende belanghebbenden duidelijk moeten worden omschreven. Zal de Europese instelling (mede)verantwoordelijke verwerker zijn met betrekking tot het gebruik van de AI-tool? Is zij een eenvoudige gegevensverwerker? Bij het definiëren van de rol moet worden gekeken naar wie beslist over de doeleinden en middelen van de verwerking, en het is van groot belang om te weten welke verplichtingen daarbij in acht moeten worden genomen;
3. de Europese instellingen zijn/zullen verplicht zijn om vóór de invoering van een risicovol systeem een Data Protection Impact Assessment (DPIA) uit te voeren, waarbij de functionaris voor gegevensbescherming (DPO) wordt betrokken;
4. het zal onmogelijk zijn om in het kader van generatieve AI op toestemming als rechtsgrondslag te vertrouwen, gezien het aantal, de aard en de complexiteit van de verwerkte gegevens;
5. instellingen moeten de betrokkenen duidelijk informeren over het gebruik van AI, de verwerkte gegevens, de doeleinden en de uitgeoefende rechten, met name in het geval van geautomatiseerde beslissingen.

Conclusie

In zijn advies benadrukt de EDPS het cruciale belang van een zorgvuldige, verantwoordelijke en rigoureuze aanpak bij de inzet van generatieve AI-systemen binnen de Europese instellingen. Gezien de complexiteit en de potentiële risico’s die gepaard gaan met de verwerking van persoonsgegevens, biedt de leidraad van de EDPS een duidelijk kader om ervoor te zorgen dat technologische innovaties de grondrechten, de transparantie en het vertrouwen van de burgers respecteren. De EDPS roept daarom op tot voortdurende waakzaamheid, proactief risicobeheer en governance op basis van de beginselen van ingebouwde gegevensbescherming, zodat generatieve AI op ethische en betrouwbare wijze en in overeenstemming met het Europese recht kan worden toegepast.

Deze aanpak waarborgt niet alleen de naleving van de wetgeving, maar ook de sociale en democratische aanvaardbaarheid van deze innovatieve technologieën in de publieke sector.