GDPR staat voor General Data Protection Regulation. Het is de EU-verordening die vastlegt hoe organisaties persoonsgegevens van mensen in de EU mogen verzamelen, opslaan en verwerken. Hij geldt sinds mei 2018 en wordt gehandhaafd door nationale toezichthouders, met boetes die kunnen oplopen tot vier procent van de wereldwijde jaaromzet.
De Nederlandse vertaling van GDPR is AVG, de Algemene Verordening Gegevensbescherming. Dezelfde wet, dezelfde regels, dezelfde boetes, alleen een andere naam afhankelijk van de taal.
Wat GDPR feitelijk eist
De volledige tekst is dicht. De praktische principes zijn helder. Persoonsgegevens mogen alleen worden verzameld voor een specifiek doel, alleen het minimum dat voor dat doel nodig is, alleen zo lang als nodig, en moeten passend worden beschermd. Mensen hebben het recht te weten wat er over hen is opgeslagen, het te corrigeren, een kopie te ontvangen, en in veel gevallen verwijdering te eisen.
Verwerk je gegevens namens een ander (jij bent "verwerker", zij zijn "verantwoordelijke"), dan moet dat onder een contract dat we Verwerkersovereenkomst (DPA) noemen, volg je de instructies van de verantwoordelijke, en maak je de sub-verwerkers die je inzet bekend.
Waarom GDPR ertoe doet voor AI-klantenservice
Service-gesprekken zitten vol persoonsgegevens. Namen, e-mailadressen, bestelgegevens, soms betaalinformatie, soms gevoelige klachten. Elke leverancier die die gesprekken namens jou verwerkt, is verwerker onder de GDPR. Hij moet een DPA aanbieden, zijn sub-verwerkers noemen en de gegevens beschermen met passende technische en organisatorische maatregelen.
AI maakt dit ingewikkelder. Sommige AI-leveranciers trainen modellen op de data die klanten sturen. Dat is een probleem voor de GDPR, want persoonsgegevens belanden in een trainingscorpus, vaak zonder mogelijkheid om die er later weer uit te halen. Veel leveranciers hebben hun voorwaarden aangepast om training op klantdata uit te sluiten, maar het is aan jou om dat te lezen in het contract.
Data residency en doorgifte
Verlaten persoonsgegevens de EU, dan moet de verantwoordelijke zorgen voor adequate bescherming op de bestemming. Sinds het Schrems II-arrest vraagt doorgifte naar de Verenigde Staten om aanvullende waarborgen, of, simpeler, om in de EU te hosten.
Daarom vragen EU-kopers "waar staat de data" en "trainen jullie erop". Een leverancier met EU-hosting en een geen-training-beleid beantwoordt de GDPR door het ontwerp, niet door papierwerk.
In Keloa
In Keloa blijft data in de EU, trainen we niet op je gesprekken, en zijn de DPA, de lijst met sub-verwerkers en de data residency verklaring openbaar. Zie beveiliging voor de volledige opstelling.