← Journal
FR EN NL
Compliance · AVG · 11 mei 2026 · 8 min leestijd

AI-agents en AVG: de checklist vóór u een pilot start

Een AI-agentpilot starten was nooit zo eenvoudig. Net daarom hebt u een checklist nodig.

In 2026 zet u een AI-agentpilot op in een paar dagen. Eén use case, één tool, twee gemotiveerde mensen, en u bent vertrokken. De techniek is niet langer het knelpunt.

Het knelpunt zou ergens anders moeten liggen. Voor u die agent aansluit op echte oproepen, echte cv's, echte klantdossiers of echte werkplekfoto's, telt één vraag: welke persoonsgegevens gaat deze agent verwerken, en wie is daarvoor verantwoordelijk?

De AVG verbiedt AI niet. Ze vraagt vier dingen: begrijp de data die u verwerkt, beperk ze tot wat u echt nodig hebt, beveilig ze, en kunt u uitleggen hoe ze gebruikt worden. Geen van die vier eisen is exotisch. Alle vier regelt u vóór de pilot — niet erna.

Waarom de AVG vóór de pilot komt, niet erna

Er bestaat een comfortabel misverstand: "Het is maar een pilot, we regelen de compliance wel als we naar productie gaan." Fout.

Een pilot draait niet op fictieve data. Hij draait op echte operationele data, want dat is net de bedoeling: klantnamen en telefoonnummers, gespreksopnames of transcripties, cv's van kandidaten, HR-data van werknemers, werkplekfoto's. De AVG geldt vanaf de allereerste dataset. Niet vanaf een bepaald volume. Niet pas vanaf productie.

En ze staat er niet alleen voor. De Europese AI Act regelt zogenaamde hoogrisicotoepassingen — waaronder werkgelegenheid en veiligheid op het werk, twee domeinen waar AI-agents rechtstreeks in landen. De AI Act trad in werking in augustus 2024, en het grootste deel van de verplichtingen geldt vanaf augustus 2026. Met andere woorden: de regelgevende kalender heeft u al ingehaald.

Het goede nieuws: deze vragen vooraf regelen vertraagt een pilot niet. Het voorkomt dat de pilot doodloopt — die situatie waarbij de demo werkt maar uitrol juridisch onmogelijk is.

De checklist vóór u start

Dit zijn de vragen die u moet stellen — in deze volgorde — voor u de eerste regel configuratie schrijft.

  • 1. Wat is het exacte doel van de agent? Een concrete workflow, geen "AI testen". "Gemiste oproepen buiten de kantooruren beantwoorden en een samenvatting naar het salesteam sturen" is een doel. "Zien wat AI kan" niet. De AVG spreekt van een welbepaald doel: zonder dat houdt niets anders stand.
  • 2. Welke persoonsgegevens worden verwerkt? Wees letterlijk. Een werkplekfoto bevat identificeerbare personen. Een cv is dichte persoonsdata — loopbaan, impliciete leeftijd, soms gezondheid of afkomst. Lijst elk veld op, niet elke "categorie".
  • 3. Kan de pilot met MINDER data? Dat is dataminimalisatie, en het levert vaak het meeste op. Vervaag gezichten. Bewaar samenvattingen in plaats van opnames. Test op geanonimiseerde of synthetische data. Verwijder pilotdata na afloop. Beperk de toegang. Als data niet nodig is om de waarde te bewijzen, hoort ze niet in de pilot thuis.
  • 4. Waar wordt de data opgeslagen en verwerkt? Binnen de EU? Welke externe modelleveranciers zijn betrokken? Wordt de data gebruikt om een model te trainen? Wat zit er in de logs, en hoe lang worden ze bewaard? Een vaag antwoord hier is een "nee".
  • 5. Wie is verwerkingsverantwoordelijke, wie is verwerker? U blijft doorgaans verwerkingsverantwoordelijke. De leverancier is verwerker. Dat vereist een verwerkersovereenkomst en een helder zicht op subverwerkers — de modelleverancier, de host, de transcriptietool.
  • 6. NEEMT de agent beslissingen, of assisteert hij enkel? Een agent die zelf een kandidaat afwijst of zelf een non-conformiteit sluit, neemt een geautomatiseerd besluit — gevoelig terrein onder zowel de AVG als de AI Act. Het veiligere ontwerp is "AI beveelt aan, mensen beslissen".
  • 7. Hoe worden mensen geïnformeerd? Transparantie is geen beleidsdocument van 20 pagina's dat niemand leest. Het is een duidelijke melding in eenvoudige taal: hier is dat een AI-agent deze oproep, dit cv, deze foto verwerkt, en waarom.
  • 8. Is een DPIA nodig? Een gegevensbeschermingseffectbeoordeling is verplicht wanneer de verwerking gevoelig of grootschalig is — HR-data, monitoring, profilering. Stel de vraag vroeg: het antwoord bepaalt het hele pilotontwerp.
  • 9. Hoe worden fouten en hallucinaties aangepakt? Een AI-agent maakt fouten. Voorzie correctie, escalatie naar een mens, en de mogelijkheid om de pilot onmiddellijk te pauzeren. Een pilot die u niet kunt stoppen, is geen pilot.
  • 10. Wat gebeurt er na de pilot? Verwijdering van testdata, vastgelegde bewaartermijnen, ingetrokken toegang. Een pilot heeft een einddatum — en die datum moet vaststaan voor de startdatum.

Tien vragen. Geen enkele vereist een voltijdse jurist. Alle tien vereisen een schriftelijk antwoord voor u de eerste echte data aansluit.

Een snelle pilot kan een verantwoorde pilot blijven

De afweging tussen "snel gaan" en "compliant blijven" is een vals dilemma. Dataminimalisatie maakt een pilot vaak sneller: minder data te integreren, minder risico-oppervlak, minder discussies op het laatste moment. Een helder doel versnelt de configuratie. Een uitstapplan voorkomt een chaotische opkuis.

De beste AI-pilot is niet die welke indruk maakt in een demo. Het is die welke u in de echte wereld kunt uitrollen zonder iets te herschrijven.

Net daar begint BeLogic elk project: niet met "welke agent wilt u?", maar met "welke data is in het spel, en hoe verwerken we die netjes?" Sentinel, Nova en Aria worden in die volgorde ontworpen — compliance eerst, demo daarna.

Een goed ontworpen AI-agent is niet die welke het meeste doet. Het is die waarvan u rustig kunt uitleggen wat hij met elk stuk data doet. Vink de tien vakjes af. Start dan de pilot.