Mag ik klantdata gebruiken voor AI-training?

Klantdata gebruiken voor AI-training is een aparte verwerking met aparte grondslag. Doelbinding (Art. 5(1)(b)): data verzameld voor jouw verkoop-doel mag NIET zonder meer voor AI-training. Vereisten: (1) Specifieke nieuwe consent voor AI-training. Generieke "we mogen jouw data analyseren" in algemene voorwaarden = NIET voldoende. (2) DPIA verplicht (Art. 35 — hoge risico). AI-systeem met persoonsdata is by default hoog risico. (3) Anonimisering of pseudonimisering — model trainen op echte data zonder anonimisering = ongeschikt. (4) AI Act-vereisten (vanaf 2 aug 2026 voor high-risk): risk management, transparantie, menselijke oversight. (5) Retentie-controle: gebruikte data moet kunnen worden verwijderd uit model (Art. 17). Technisch lastig — bijna onmogelijk in deep neural networks. Wat NIET mag: klant-foto's gebruiken voor image-generation model, klant-e-mails voor LLM fine-tuning zonder consent, gevoelige data (Art. 9 — medisch, biometrisch) voor profielanalyse. Recent precedent: NOYB-klacht tegen Meta over EU-gebruikers'-data voor Llama-training (2024). EDPB ChatGPT Task Force-rapport. NL-AP heeft sinds 2024 AI-training specifiek als enforcement-prioriteit aangewezen. Alternatieven: volledig anonieme synthetic data, federated learning (model wordt naar data toe gebracht ipv andersom), differential privacy-technieken.