This report provides a detailed breakdown of ai privacy compliance guide for managed service providers.
De data dekt het volledige bereik van Autotask PSA-records die relevant zijn voor deze analyse, uitgesplitst naar de belangrijkste dimensies die je team nodig heeft voor dagelijkse beslissingen en klantrapportage.
Wie dit zou moeten gebruiken: Security teams, compliance officers, and MSP owners managing risk
Hoe vaak: Wekelijks for security posture, monthly for compliance reporting, op aanvraag for audits
Je wilt AI gebruiken om je bedrijfsdata via Power BI te bevragen. Maar de gegevens van je klanten stromen door die AI heen. Deze gids behandelt de wettelijke verplichtingen, hostingopties en praktische stappen zodat je een weloverwogen keuze kunt maken.
Je bent een MSP. Je bedrijfssystemen (PSA, RMM, CRM) bevatten ticketgegevens, klantnamen, medewerkersnamen, apparaatdetails, contractwaarden en operationele metrics van elke klant die je bedient. Dit zijn persoonsgegevens onder de AVG, en ze behoren toe aan je klanten, niet aan je.
Wanneer je een AI-agent koppelt om die data te bevragen, wordt bij elke vraag die je stelt informatie naar de servers van de AI-leverancier gestuurd. Daarmee wordt de AI-leverancier een subverwerker onder de gegevensbeschermingswetgeving. En dat activeert een keten van wettelijke verplichtingen onder Artikel 28 AVG die je niet kunt negeren.
Je klant (verwerkingsverantwoordelijke) → Jij, de MSP (verwerker) → De AI-leverancier (subverwerker). Elke schakel in deze keten draagt wettelijke verplichtingen. Als een schakel breekt, ben je aansprakelijk.
Proxuma Power BI biedt je een gestructureerd semantisch model met duidelijk gelabelde measures, tabellen en relaties over je volledige toolstack. Dit is wat AI-queries mogelijk maakt: de data is gestructureerd en gelabeld, zodat een AI precieze DAX-queries kan schrijven in plaats van te zoeken in ruwe API’s. Maar de AI moet wel de queryresultaten zien. En daar begint de privacyvraag.
Onder de AVG zijn MSP’s verwerkers. Je klanten zijn verwerkingsverantwoordelijken. Wanneer je een AI-leverancier introduceert, worden zij een subverwerker. Artikel 28(2) AVG vereist voorafgaande schriftelijke toestemming van de verwerkingsverantwoordelijke voordat je een subverwerker inschakelt.
Specifieke autorisatie. De klant moet elke individuele subverwerker goedkeuren. Wijzigingen vereisen opnieuw goedkeuring. Maximale controle, maximale wrijving.
Algemene autorisatie. De klant geeft brede voorafgaande goedkeuring. Je moet een subverwerkerlijst bijhouden, klanten informeren over wijzigingen en hen een redelijke termijn geven (doorgaans 30 dagen) om bezwaar te maken. Dit is wat de meeste MSP’s in de praktijk gebruiken.
In beide gevallen geldt: je moet je verwerkingsovereenkomsten bijwerken voordat je AI koppelt aan klantgegevens. Als je verwerkingsovereenkomst is opgesteld voordat AI-tools bestonden (dat geldt voor de meeste), dekt deze vrijwel zeker dit gebruiksgeval niet. De EDPB-richtlijnen over Artikel 28 bieden gedetailleerde guidance over wat verwerkingsovereenkomsten moeten bevatten.
In oktober 2024 heeft de European Data Protection Board Opinie 22/2024 aangenomen, specifiek gericht op verwerker- en subverwerkerketens. Belangrijkste conclusie: verwerkers blijven volledig aansprakelijk jegens verwerkingsverantwoordelijken voor het handelen van subverwerkers. Zelfs bij algemene autorisatie moet specifieke informatie over elke subverwerker aan de verwerkingsverantwoordelijke worden verstrekt.
Dit is de cruciale vraag. Verschillende AI-leveranciers gaan zeer verschillend om met je data. Hier is de vergelijking die ertoe doet:
| Leverancier | Traint op je data? | EU-dataresidentie | DPA beschikbaar | DPF-gecertificeerd |
|---|---|---|---|---|
| Azure OpenAI | Nee | Ja — EU Data Zone | Ja | Ja |
| OpenAI API | Nee (API) | Nee | Ja + SCCs | Ja |
| Anthropic Claude | Nee (API) | Via AWS/GCP only | Ja + SCCs | Onduidelijk |
| AWS Bedrock | Nee | Ja — Frankfurt, Ierland, Parijs, Stockholm | Ja | Ja |
| Google Vertex AI | Nee | Ja — EU-regio’s | Ja | Ja |
| Zelf gehost (Llama, Mistral) | Nee — jij hebt de controle | Waar je het host | N.v.t. | N.v.t. |
API-gebruik ≠ consumentengebruik. Wanneer je ChatGPT via de website gebruikt, kan OpenAI je invoer gebruiken voor training. Wanneer je de API gebruikt, doen ze dat niet. Hetzelfde geldt voor Claude. Gebruik altijd de commerciele API, nooit consumentenproducten, voor klantgegevens.
Elk hostingmodel weegt af tussen capaciteit, privacy, kosten en compliancelast. Dit is wat elke optie in de praktijk betekent voor je MSP.
GPT-modellen gehost in Microsofts EU-datacenters. Je data blijft in de EU Data Zone. Geen training op je data. Privé-endpoints beschikbaar. Past al in je Microsoft-stack.
Claude, Llama en andere modellen via AWS-infrastructuur. EU-regio’s: Frankfurt, Ierland, Parijs, Stockholm. Volledige AWS-compliancestack. Data verlaat nooit je gekozen regio.
Gemini- en Claude-modellen. EU-regio’s beschikbaar. Zero-dataretentiebeleid. Sterk complianceportfolio. Ideaal als je al in het Google Cloud-omgeving zit.
Azure OpenAI met EU Data Zone is de makkelijkste keuze. Je betaalt al voor Microsoft 365 en Azure. Je Power BI-data zit al in het Microsoft-stack. EU-dataresidentie is ingebouwd. SOC 2, ISO 27001, AVG: het is allemaal gedekt. Voor Angelsaksische MSP’s zonder EU-klanten is de directe API even geschikt.
Als je AI-leverancier in de VS gevestigd is (en de meeste zijn dat), is het versturen van EU-klantgegevens naar hun servers een internationale gegevensoverdracht onder AVG Hoofdstuk V (Artikelen 44-49). Het juridische mechanisme hiervoor is twee keer eerder ongeldig verklaard, en kan opnieuw worden aangevochten.
Het EU-US Data Privacy Framework heeft zijn eerste juridische uitdaging overleefd in september 2025. Maar Philippe Latombe’s beroep werd ingediend op 31 oktober 2025 en escaleert naar het Europees Hof van Justitie. Het HvJ-EU heeft beide eerdere kaders ongeldig verklaard (Safe Harbor — Schrems I en Privacy Shield — Schrems II).
Vertrouw niet uitsluitend op het DPF. Houd Standaard Contractbepalingen (SCCs) als back-up aan. Voer een Transfer Impact Assessment uit. Als het DPF valt, heeft je direct SCCs met aanvullende maatregelen nodig.
De eenvoudigste manier om dit hele vraagstuk te vermijden: kies een AI-leverancier met EU-dataresidentie. Azure OpenAI met de EU Data Zone, AWS Bedrock in Frankfurt, of Google Vertex AI in een EU-regio. Als je data de EU nooit verlaat, doet het transfervraagstuk zich niet voor.
MSP’s in verschillende landen hebben te maken met verschillende (maar overlappende) vereisten. Hier is het snelle overzicht:
| Jurisdictie | Belangrijkste wet | AI-specifieke opmerkingen |
|---|---|---|
| Nederland, België, Luxemburg | AVG + nationale implementaties | Volledige AVG is van toepassing. EU AI Act (volledig van toepassing per 2 augustus 2026). De Nederlandse toezichthouder (Autoriteit Persoonsgegevens) is actief op AI-handhaving. Belgische toezichthouder: GBA. Geef voorkeur aan AI-leveranciers met EU-residentie. |
| Verenigd Koninkrijk | UK GDPR + Data Protection Act 2018 | Spiegelt in essentie de EU AVG. Het VK heeft eigen adequaatheidsbesluiten. De UK-US data bridge bestaat los van het EU-US DPF. De ICO publiceerde AI-specifieke richtlijnen. |
| Verenigde Staten | Staatswetten (CCPA/CPRA, etc.) | Geen federale privacywet. CCPA/CPRA geldt voor gegevens van inwoners van Californië. 15+ staten hebben privacywetten. Voor MSP’s die uitsluitend in de VS opereren met uitsluitend VS-klanten is de compliancelast lichter, maar groeiende. |
| Canada | PIPEDA + provinciale wetten | Op toestemming gebaseerd kader. De voorgestelde CPPA (Consumer Privacy Protection Act) zou AI-verplichtingen aanscherpen. In Quebec gelden via Wet 25 al strenge eisen. |
| Australië | Privacy Act 1988 + APP’s | Australian Privacy Principles zijn van toepassing. Regels voor grensoverschrijdende openbaarmaking (APP 8) vereisen redelijke stappen om te waarborgen dat buitenlandse ontvangers voldoen. Nog geen AI-specifieke wetgeving. |
| Nieuw-Zeeland | Privacy Act 2020 | 12 Information Privacy Principles. Regels voor grensoverschrijdende overdracht vereisen adequate bescherming. NZ heeft EU-adequaatheidsstatus, wat datastromen vereenvoudigt. Toezichthouder: Office of the Privacy Commissioner. |
Vanaf januari 2026 zijn grote verzekeraars begonnen met het toepassen van AI-uitsluitingsclausules op polissen. Verisk (de sectorstandaard voor verzekeringsformulieren) heeft nieuwe AI-specifieke uitsluitingsteksten uitgebracht die verzekeraars snel overnemen. Dit treft MSP’s direct.
Als AI onjuiste remediatie voorstelt en dit leidt tot een storing bij een klant, is de MSP aansprakelijk. AI-leveranciers sluiten universeel de nauwkeurigheid van output uit. Je beroepsaansprakelijkheidsverzekering dekt dit mogelijk niet. Zie het NIST AI Risk Management Framework voor richtlijnen voor risicobeoordeling.
Standaard cyberpolissen dekken deepfake-fraudeverliezen niet meer sinds januari 2026. De nieuwe clausules van Verisk sluiten generatieve AI-blootstellingen expliciet uit. De FBI heeft richtlijnen gepubliceerd over deepfake-bedreigingen.
Nieuwe uitsluitingen dekken niet alleen je eigen AI, maar ook AI-platforms van derden die in je bedrijfsvoering worden gebruikt. Het gebruik van OpenAI of Claude in je workflow kan uitsluitingen activeren.
Het niet melden van AI-gebruik aan je verzekeraar kan de dekking volledig ongeldig maken. Meld het zelf, ook als dat de premie beïnvloedt.
Controleer je huidige cyber- en beroepsaansprakelijkheidspolissen op AI-uitsluitingsteksten voor je volgende verlenging. Vraag je makelaar specifiek naar AI-clausules. Documenteer je AI-governance. Verzekeraars koppelen premies steeds vaker aan aantoonbare AI-governance.
AVG Artikel 5(1)(c) vereist dat gegevens “beperkt zijn tot wat noodzakelijk is.” De EDPB Opinie 28/2024 over AI-modellen en persoonsgegevens verduidelijkt verder hoe dit principe van toepassing is op AI-verwerking. Elke API-call naar een AI-dienst is een verwerkingshandeling. Hoe minder persoonsgegevens je verstuurt, hoe lager je compliancelast.
Verwijder persoonsgegevens voordat je ze naar de AI stuurt. Verwijder namen, e-mailadressen, telefoonnummers, IP-adressen. Vervang door ticket-ID’s, geanonimiseerde referenties (“Gebruiker-A”, “Klant-7”), apparaatcategorieën.
Stuur voor rapportage en trendanalyse geaggregeerde data. In plaats van 500 individuele tickets, stuur “87 wachtwoordresetverzoeken over 12 klanten.” Dit kan kwalificeren als anonimisering, waardoor de AVG mogelijk helemaal niet meer van toepassing is.
Vervang identificatoren door pseudoniemen voordat de AI-verwerking plaatsvindt. Bewaar een mappingtabel lokaal (wordt nooit naar de AI gestuurd). Let op: gepseudonimiseerde gegevens zijn nog steeds persoonsgegevens onder de AVG, maar het is een erkende waarborg onder Artikel 32.
Draai modellen zoals Llama 3 of Mistral op je eigen hardware. Nul data verlaat je netwerk. Afweging: lagere modelkwaliteit, GPU-hardwarekosten, geen leveranciersondersteuning. Het beste voor zeer gevoelige omgevingen.
Waar Proxuma Power BI past: Omdat de data al gestructureerd is in een semantisch model met duidelijke measures en dimensies, kun je geaggregeerde metrics opvragen (totale uren, ticketaantallen, omzet per dienstverlening) in plaats van ruwe recordgegevens. Dit sluit van nature aan bij Niveau 2 dataminimalisatie. De AI ziet getallen en categorieën, geen individuele namen en ticketomschrijvingen.
Werk deze lijst af voordat je AI koppelt aan klantgegevens. Items zijn gerangschikt op prioriteit.
Onder het algemene autorisatiemodel van de AVG moet je klanten formeel informeren voordat je een nieuwe subverwerker introduceert. Hier is een sjabloon dat je kunt aanpassen:
Onderwerp: Melding nieuwe subverwerker — AI-ondersteund servicebeheer Geachte [Klantnaam], Als onderdeel van de continue verbetering van onze dienstverlening informeren wij u hierbij over ons voornemen om [AI-leverancier] in te schakelen als subverwerker onder onze bestaande verwerkingsovereenkomst van [datum]. DOEL: [AI-leverancier] zal worden ingezet voor [specifiek doel, bijv. "geautomatiseerde ticketclassificatie, rapportageanalyse en analyse van servicetrends"] om responstijden en servicekwaliteit te verbeteren. VERWERKTE GEGEVENS: De volgende categorieen kunnen worden verwerkt: - Geaggregeerde servicemetrics en ticketstatistieken - Apparaatcategorieen en configuratiesamenvattingen - Service-prestatie-indicatoren Wij sturen het volgende NIET naar deze subverwerker: - Wachtwoorden of authenticatiegegevens - Financiele gegevens (bankgegevens, creditcardinformatie) - Individuele persoonlijke gegevens van medewerkers GETROFFEN WAARBORGEN: - Data versleuteld tijdens transport (TLS 1.2+) en in rust - [Leverancier] beschikt over SOC 2 Type II / ISO 27001-certificering - Data verwerkt binnen [EU/onder EU-US Data Privacy Framework met standaard contractbepalingen] - [Leverancier] gebruikt klantdata niet voor modeltraining UW RECHT OM BEZWAAR TE MAKEN: Conform sectie [X] van onze verwerkingsovereenkomst heb je 30 dagen na ontvangst van deze melding om bezwaar te maken. Richt bezwaren schriftelijk aan [e-mail]. Met vriendelijke groet, [MSP-naam] [Compliance Officer / FG]
De EU AI Act (Verordening 2024/1689) is volledig van toepassing per 2 augustus 2026. Zelfs daarvoor gelden al bepaalde verplichtingen. De AI Act Explorer biedt een navigeerbare versie van de volledige tekst.
AI-geletterdheidsverplichtingen (Artikel 4). MSP’s moeten ervoor zorgen dat medewerkers de AI-systemen die zij inzetten begrijpen. Dit omvat kennis over welke data waarheen stroomt, wat de beperkingen zijn en wanneer menselijk toezicht nodig is.
Volledige toepasselijkheid. De meeste AI-toepassingen bij MSP’s (ticketverwerking, rapportage) zullen niet als “hoog risico” worden aangemerkt. Maar AI die wordt ingezet voor personeelsbeheer of toegangscontrolebeslissingen kan wel hoog-risicoverplichtingen activeren met aanvullende documentatievereisten.
Ongeacht de risicoclassificatie geldt: transparantie is vereist (Artikel 50): als klanten interacteren met AI-gegenereerde content, moeten zij daarover worden geïnformeerd.
AI gebruiken zonder bijgewerkte klantovereenkomsten is een contractbreuk, ongeacht AVG-compliance. Dit is de allerbelangrijkste stap.
Azure OpenAI (EU Data Zone), AWS Bedrock (Frankfurt) of Google Vertex (EU) houden data in de EU. Geen internationale overdracht, geen Schrems III-risico, geen TIA vereist.
De AI-uitsluitingsformulieren van Verisk zijn van kracht sinds januari 2026. Ga er niet van uit dat je gedekt bent. Meld AI-gebruik en documenteer je governance.
Omdat Proxuma Power BI je operationele data structureert in gelabelde measures en dimensies, kan AI geaggregeerde metrics opvragen in plaats van ruwe records. Minder persoonsgegevens naar de AI betekent minder compliancelast voor je.
ChatGPT.com, Claude.ai, Gemini: deze consumenteninterfaces kunnen je invoer gebruiken voor training. Gebruik altijd commerciële API’s met een ondertekende DPA. Stel duidelijk personeelsbeleid op.
Alle beweringen in deze gids worden ondersteund door de onderstaande officiële bronnen. Links geverifieerd in februari 2026.
AVG volledige tekst — gdpr-info.eu (onderling gelinkt, met overwegingen)
EU AI Act (Verordening 2024/1689) — EUR-Lex officiële publicatie
Standaard Contractbepalingen — Europese Commissie
EU-adequaatheidsbesluiten — Europese Commissie
European Data Protection Board (EDPB) — EU-brede richtlijnen en opinies
Autoriteit Persoonsgegevens — Nederlandse toezichthouder gegevensbescherming
Information Commissioner’s Office (ICO) — Britse toezichthouder gegevensbescherming
CNIL — Franse toezichthouder gegevensbescherming (TIA-richtlijnen)
OAIC — Australische informatiecommissaris
Office of the Privacy Commissioner — Nieuw-Zeeland
| EDPB-opinies & -richtlijnen | Onderwerp |
|---|---|
| Opinie 22/2024 | Verwerker- en subverwerkerketens onder Artikel 28 |
| Opinie 28/2024 | AI-modellen en persoonsgegevens — dataminimalisatie bij AI |
| Richtlijnen 02/2023 | Artikel 28 en het begrip verwerker |
| AI-leverancier | DPA | Privacy | DPF-status |
|---|---|---|---|
| Microsoft (Azure OpenAI) | DPA | Dataprivacy | Gecertificeerd |
| OpenAI | DPA | Enterprise privacy | Gecertificeerd |
| Anthropic (Claude) | DPA | Privacycentrum | — |
| AWS (Bedrock) | DPA | Beveiliging & compliance | Gecertificeerd |
| Google (Vertex AI) | DPA | Datagovernance | Gecertificeerd |
Aanvullende bronnen:
• EU-US Data Privacy Framework — US Department of Commerce
• UK-US Data Bridge — Britse overheid
• ICO AI-richtlijnen — UK Information Commissioner’s Office
• NIST AI — US National Institute of Standards and Technology
• CNIL Transfer Impact Assessment Gids — Franse toezichthouder
• Hof van Justitie van de EU (HvJ-EU) — Schrems I & II jurisprudentie
• California Consumer Privacy Act (CCPA) — CA Attorney General
• PIPEDA — Canadese federale privacywet
Proxuma Power BI geeft je de gestructureerde datalaag die AI-queries mogelijk maakt, met de labeling en organisatie die je compliancelast laag houdt.
Bekijk AI-gegenereerde rapporten Aan de slag met Power BIKoppel Proxuma's Power BI integratie, gebruik een MCP-compatible AI om vragen te stellen en genereer op maat gemaakte rapporten - in minuten, niet in dagen.
Bekijk meer rapporten Aan de slag