← Kennisbank/C37
c37Governance21 mei 20262 min lezenMvG — Atthis AI redactie

AVG-privacyverklaring: wat 2025 echt van je vraagt

Praktische kijk op AVG-conforme privacyverklaringen in 2025: van verwerkingsregister tot AI-tools, doorgifte buiten de EER en concrete bewaartermijnen.

Een privacyverklaring is geen sjabloonklus, maar de zichtbare neerslag van je verwerkingsregister. In 2025 schuiven AI-tools, doorgifte naar de VS en geautomatiseerde besluitvorming de lat omhoog. Een nuchtere blik op wat dat betekent voor je documentatie.

AVG-privacyverklaring: wat 2025 echt van je vraagt

Een privacyverklaring is geen sjabloonklus, maar de zichtbare neerslag van je verwerkingsregister. In 2025 schuiven AI-tools, doorgifte naar de VS en geautomatiseerde besluitvorming de lat omhoog. Een nuchtere blik op wat dat betekent voor je documentatie.

Het kort: 5 praktijk-takeaways

1. Start bij je register — Een privacyverklaring is een afgeleide van je verwerkingsregister (art. 30 AVG). Zonder actueel register schrijf je fictie. Inventariseer eerst alle verwerkingen, rollen en grondslagen — pas dan vertaal je dat naar publiekstaal.

2. Eén doel, één grondslag — Vermijd verzamelnamen als ‘dienstverlening’ of ‘marketingdoeleinden’. Schrijf doelen concreet en koppel exact één rechtsgrond per verwerking. Meerdere grondslagen op één doel is een teken dat je doel niet scherp genoeg is.

3. Benoem je AI-stack expliciet — OpenAI, Anthropic, Gemini of een chatbot-leverancier: noem ze als (sub)verwerker, beschrijf de doorgifte buiten de EER en benoem de waarborg (SCC, EU-US Data Privacy Framework). Toezichthouders kijken hier actief naar.

4. Concrete bewaartermijnen — ‘Zolang als nodig’ voldoet niet. Noem aantallen jaren of een hard criterium (‘einde garantieperiode plus 2 jaar’). Vage termijnen zijn een terugkerend handhavingspunt van de AP.

5. Behandel je verklaring als data — Bouw een gestructureerde bron (database of spreadsheet) met velden per verwerking en genereer de tekst hieruit. Dat maakt versiebeheer, meertaligheid en geautomatiseerde compliance-checks pas echt werkbaar.

Waar AI dit goed kan — en waar niet

Bij privacyverklaringen kan AI nuttig zijn op twee plekken: het genereren van leesbare, B1-achtige tekst vanuit gestructureerde brondata, en het signaleren van afwijkingen tussen verklaring, verwerkingsregister en feitelijke datastromen. Een LLM kan bijvoorbeeld checken of elke verwerking uit je register een corresponderend doel en grondslag in de verklaring heeft, of detecteren waar bewaartermijnen vaag blijven.

De nuance zit in de juridische kwalificatie. De rol bepalen (verantwoordelijke, verwerker, gezamenlijk verantwoordelijke), beoordelen of een gerechtvaardigd belang standhoudt in een LIA, of vaststellen of artikel 22 AVG geldt — dat zijn afwegingen die context, jurisprudentie en risicobereidheid vragen. Daar is een AI hooguit een eerste lezer, geen beslisser.

Een tweede risico: AI-tools die je inzet om de verklaring te schrijven, worden zelf vaak onderdeel van wat erin moet komen. Wie OpenAI of Anthropic gebruikt voor klantenservice of contentgeneratie verwerkt persoonsgegevens via een Amerikaanse partij. Dat hoort transparant in de verklaring, inclusief doorgifte-waarborg en — waar relevant — een Transfer Impact Assessment.

Bron

Dit overzicht is gebaseerd op het volledige artikel van C37: Hoe schrijf je een AVG-conforme privacyverklaring: een praktische handleiding voor 2025

Het brand-artikel van C37 bevat de volledige checklist, voorbeelden van doel-grondslagcombinaties en concrete tips voor versiebeheer en review-cycli.

Het kort: 5 praktijk-takeaways

  1. 01Start bij je register

    Een privacyverklaring is een afgeleide van je verwerkingsregister (art. 30 AVG). Zonder actueel register schrijf je fictie. Inventariseer eerst alle verwerkingen, rollen en grondslagen — pas dan vertaal je dat naar publiekstaal.

  2. 02Eén doel, één grondslag

    Vermijd verzamelnamen als ‘dienstverlening’ of ‘marketingdoeleinden’. Schrijf doelen concreet en koppel exact één rechtsgrond per verwerking. Meerdere grondslagen op één doel is een teken dat je doel niet scherp genoeg is.

  3. 03Benoem je AI-stack expliciet

    OpenAI, Anthropic, Gemini of een chatbot-leverancier: noem ze als (sub)verwerker, beschrijf de doorgifte buiten de EER en benoem de waarborg (SCC, EU-US Data Privacy Framework). Toezichthouders kijken hier actief naar.

  4. 04Concrete bewaartermijnen

    ‘Zolang als nodig’ voldoet niet. Noem aantallen jaren of een hard criterium (‘einde garantieperiode plus 2 jaar’). Vage termijnen zijn een terugkerend handhavingspunt van de AP.

  5. 05Behandel je verklaring als data

    Bouw een gestructureerde bron (database of spreadsheet) met velden per verwerking en genereer de tekst hieruit. Dat maakt versiebeheer, meertaligheid en geautomatiseerde compliance-checks pas echt werkbaar.

Waar AI dit goed kan — en waar niet

Bij privacyverklaringen kan AI nuttig zijn op twee plekken: het genereren van leesbare, B1-achtige tekst vanuit gestructureerde brondata, en het signaleren van afwijkingen tussen verklaring, verwerkingsregister en feitelijke datastromen. Een LLM kan bijvoorbeeld checken of elke verwerking uit je register een corresponderend doel en grondslag in de verklaring heeft, of detecteren waar bewaartermijnen vaag blijven.

De nuance zit in de juridische kwalificatie. De rol bepalen (verantwoordelijke, verwerker, gezamenlijk verantwoordelijke), beoordelen of een gerechtvaardigd belang standhoudt in een LIA, of vaststellen of artikel 22 AVG geldt — dat zijn afwegingen die context, jurisprudentie en risicobereidheid vragen. Daar is een AI hooguit een eerste lezer, geen beslisser.

Een tweede risico: AI-tools die je inzet om de verklaring te schrijven, worden zelf vaak onderdeel van wat erin moet komen. Wie OpenAI of Anthropic gebruikt voor klantenservice of contentgeneratie verwerkt persoonsgegevens via een Amerikaanse partij. Dat hoort transparant in de verklaring, inclusief doorgifte-waarborg en — waar relevant — een Transfer Impact Assessment.