CNIL zet de toon: GDPR-compliance voor AI wordt een engineering discipline (niet alleen legal)

De Franse (privacy)toezichthouder CNIL publiceerde recent een reeks “AI how-to sheets” voor GDPR-compliant AI development.

Opvallend is de nadruk op operationalisering:

• rechtsgrond bij modeltraining,
• gerechtvaardigd belang bij webscraping,
• DPIA-triggers bij GenAI,
• rolverdeling verwerkingsverantwoordelijke/verwerker,
• beoordeling of een model zelf persoonsgegevens bevat.

De boodschap is helder: privacy compliance moet aantoonbaar in het ontwikkelproces zitten.

Dit raakt direct aan AI-bouwers:

• training datasets moeten traceerbaar zijn
• dataminimalisatie moet technisch onderbouwd zijn,
• data-annotatie vereist governance.

Voor deployers betekent dit dat vendor due diligence inhoudelijker wordt. “We are GDPR compliant” is geen afdoende antwoord zonder inzicht in datastromen.

Privacy wordt hiermee een vorm van product governance.

Wie geen privacy-by-design kan aantonen, loopt niet alleen AVG-risico, maar ook AI Act-risico.