AI-finetuning en klantgegevens: wat privacywetten daadwerkelijk vereisen
Het verfijnen van AI-modellen met eigen klantgegevens is een van de meest overtuigende toepassingen van enterprise AI — een model dat is getraind op uw eigen klantinteracties en transactiegeschiedenis presteert op manieren die een generiek model niet kan. De zakelijke argumentatie is duidelijk. De wettelijke en governance-vereisten zijn dat aanzienlijk minder.
De juiste vraag is niet of u mag klantgegevens gebruiken om een AI-model te verfijnen. In de meeste gevallen mag dat. De juiste vraag is of u dit wettelijk mag doen — en of u die rechtmatigheid kunt aantonen wanneer een toezichthouder, een betrokkene of het juridische team van een klant daar om vraagt.
Deze post legt uit wat privacywetgeving daadwerkelijk vereist voordat klantgegevens een trainingspipeline ingaan, waar de meest voorkomende governance-fouten optreden en hoe u een compliance-infrastructuur bouwt die verfijning verdedigbaar maakt.
Executive Summary
Belangrijkste idee: Het verfijnen van een AI-model met klantgegevens is niet per definitie verboden — maar het brengt verplichtingen op het gebied van gegevensbescherming met zich mee onder de GDPR, CCPA, HIPAA en andere kaders, waar de meeste organisaties niet aan hebben voldaan voordat de verwerking begint.
Waarom dit belangrijk is: Het gebruik van klantgegevens voor AI-training zonder de juiste wettelijke grondslag, dataminimalisatiecontroles en auditinfrastructuur stelt uw organisatie bloot aan handhaving door toezichthouders, claims van betrokkenen en mogelijke contractbreuk. Het risico neemt toe met de schaal: elk record dat wordt gebruikt voor training is een record dat u mogelijk niet kunt verwijderen als er een verwijderingsverzoek binnenkomt.
Belangrijkste inzichten
- Verfijning met klantgegevens is toegestaan onder GDPR, CCPA en HIPAA — maar alleen met een gedocumenteerde wettelijke grondslag, een beoordeling van doelcompatibiliteit en dataminimalisatiecontroles die zijn toegepast voordat de training begint.
- Het recht op verwijdering is het lastigste probleem: zodra klantgegevens zijn opgenomen in de modelgewichten, vereist verwijdering hertraining — uw verwijderingsplan moet bestaan voordat de eerste training start.
- De-identificatie vermindert het risico maar elimineert het niet — verfijnde modellen kunnen trainingsgegevens onthouden en reproduceren op manieren die heridentificatie mogelijk maken na standaardanonimisering.
- Trainingspipelines die uw normale toegangscontroles omzeilen creëren ongemonitorde datastromen buiten uw governance-perimeter — elke extractie moet worden geauthenticeerd, beleidsmatig worden beheerd en gelogd.
- Contractuele gebruiksbeperkingen in klantovereenkomsten verbieden vaak het hergebruiken van gegevens voor modeltraining — zelfs als privacywetgeving het zou toestaan — juridische beoordeling van klantcontracten is een vereiste.
Wat betekent verfijnen met klantgegevens echt — en waarom is het belangrijk voor privacy
Niet elke AI-training met klantgegevens brengt hetzelfde privacyrisico met zich mee. De gekozen aanpak bepaalt zowel de wettelijke verplichtingen als de moeilijkheid om rechten van betrokkenen achteraf te respecteren.
Verfijnen werkt een bestaand model bij door te trainen op een nieuwe dataset — uw klantgegevens. Het model leert patronen en relaties uit die gegevens. Cruciaal is dat trainingsdata door het model kan worden onthouden en gereproduceerd in uitkomsten, en het raakt op zo’n manier verweven in de modelgewichten dat het niet schoon kan worden verwijderd zonder het hele model opnieuw te trainen.
RAG (Ophalen-Geaugmenteerde Generatie) wijzigt de modelgewichten niet. Het haalt relevante documenten op uit een gereguleerde datastore tijdens de uitvoering. Omdat gegevens in een gereguleerde opslag blijven, is verwijdering technisch eenvoudig — verwijdering uit de retrieval-index voldoet aan verwijderingsverzoeken zonder modelhertraining.
In-context learning levert gegevens binnen de prompt tijdens de uitvoering zonder het model te wijzigen of een blijvende opslag te creëren. Dit brengt het laagste privacyrisico van de drie benaderingen met zich mee, omdat er geen trainingsdata blijft bestaan na de sessie.
Verfijnen is de aanpak met het hoogste risico omdat trainingsgegevens niet langer alleen worden opgeslagen — ze zijn onomkeerbaar verwerkt, kunnen niet worden verwijderd bij een verzoek van een betrokkene zonder hertraining, en kunnen via modeluitvoer worden blootgesteld aan partijen die anders geen toegang zouden hebben gehad.
Welke Data Compliance Standards zijn relevant?
Read Now
Het juridische landschap: welke privacywetten zijn van toepassing en wat vereisen ze
Verfijnen met klantgegevens activeert niet één privacykader — meestal zijn er meerdere tegelijk van toepassing, afhankelijk van wie uw klanten zijn, welke gegevens u bezit en in welke sector u actief bent. De vereisten zijn niet uniform, maar de onderliggende governance-eisen zijn consistent: wettelijke grondslag, dataminimalisatie, doellimiet en audittrail.
GDPR. Voor alle persoonsgegevens van EU-ingezetenen vereist GDPR-naleving een gedocumenteerde wettelijke grondslag onder Artikel 6 voordat de training begint. Toestemming en gerechtvaardigd belang zijn de meest waarschijnlijke opties, elk met belangrijke voorwaarden: toestemming moet vrij gegeven, specifiek en intrekbaar zijn; gerechtvaardigd belang vereist een belangenafweging die moeilijker is te onderbouwen bij gevoelige gegevenscategorieën.
Doellimiet onder Artikel 5 betekent dat gegevens die zijn verzameld voor dienstverlening niet stilzwijgend mogen worden hergebruikt voor modeltraining zonder een gedocumenteerde compatibiliteitsbeoordeling. Het recht op verwijdering onder Artikel 17 vormt het grootste praktische probleem: als een klant verwijdering vraagt nadat zijn gegevens zijn gebruikt voor verfijning, is verwijdering uit de modelgewichten technisch onmogelijk zonder hertraining. Een DPIA is vereist bij risicovolle verwerking en wordt sterk aanbevolen voor elk verfijningsproject met persoonsgegevens op schaal.
CCPA / CPRA. Consumenten in Californië hebben het recht om zich af te melden voor de “verkoop” of “deling” van hun persoonsgegevens onder de CCPA en opvolger CPRA. Het gebruik van klantgegevens voor het trainen of verbeteren van een AI-model kan worden gezien als “deling” onder de brede definitie van de CPRA, vooral als een externe AI-leverancier betrokken is. Organisaties moeten secundair gebruik — inclusief AI-training — vermelden in hun privacyverklaringen en moeten afmeldverzoeken honoreren voordat die gegevens in trainingspipelines worden gebruikt.
HIPAA. Beschermde gezondheidsinformatie mag niet worden gebruikt voor AI-training zonder patiënttoestemming of de-identificatie volgens de Safe Harbor- of Expert Determination-standaarden van HIPAA. De HIPAA Minimum Necessary Rule geldt voor alle PHI die wordt geëxtraheerd voor training — alleen wat strikt noodzakelijk is voor het doel mag worden gebruikt. De-identificatie voor LLM-training is technisch complex: de contextuele rijkdom die klinische notities waardevol maakt voor training, maakt ze ook gevoelig voor heridentificatie, zelfs na het verwijderen van standaardidentificatoren.
Contractuele verplichtingen. Naast privacywetgeving zijn klantgegevens vaak onderhevig aan contractuele gebruiksbeperkingen die onafhankelijk — en vaak strenger — zijn dan het geldende regelgevingskader. Enterprise SaaS-overeenkomsten, gegevensverwerkingsovereenkomsten en contracten in de financiële sector beperken het gebruik van gegevens vaak tot het primaire dienstdoel. Het gebruik van die gegevens voor modeltraining zonder expliciete contractuele toestemming brengt risico op contractbreuk met zich mee, ongeacht of privacywetgeving het anders zou toestaan. Juridische beoordeling van klantcontracten is een vereiste voor elk verfijningsprogramma.
| Regulering | Vereiste wettelijke grondslag | Belangrijkste risico bij verfijning | Implicatie recht op verwijdering |
|---|---|---|---|
| GDPR | Artikel 6-wettelijke grondslag (toestemming of gerechtvaardigd belang waarschijnlijk); compatibiliteitsbeoordeling bij hergebruik | Doellimiet; recht op verwijdering kan niet worden nageleefd zonder modelhertraining | Verwijdering uit modelgewichten vereist volledige hertraining; uitzondering of hertrainingstoezegging nodig vóór training |
| CCPA / CPRA | Privacyverklaring over secundair gebruik; afmeldmechanisme voor verkoop of deling | Gebruik van gegevens voor AI-training kan worden gezien als “deling” onder de brede CPRA-definitie | Rechten op verwijdering voor consumenten zijn van toepassing; afmelding moet worden gehonoreerd voordat gegevens in de trainingspipeline komen |
| HIPAA | Patiënttoestemming of geverifieerde de-identificatie (Safe Harbor of Expert Determination) | Minimum Necessary Rule beperkt welke PHI mag worden geëxtraheerd; de-identificatie is technisch complex voor LLM-training | Geen HIPAA-recht op verwijdering als zodanig, maar intrekking van toestemming en documentatieverplichtingen creëren vergelijkbare verplichtingen |
| Contractueel | Expliciete contractuele toestemming voor secundair gebruik | Klantovereenkomsten beperken gegevensgebruik vaak tot het primaire dienstdoel, ongeacht privacywetgeving | Contractbreuk los van regelgeving; kan klantmelding of aanpassing van toestemming vereisen |
De vier vragen die u moet beantwoorden vóór verfijning
Voordat klantgegevens worden geëxtraheerd voor een trainingspipeline, moeten vier governance-vragen gedocumenteerd zijn beantwoord. Dit zijn geen juridische formaliteiten — het zijn de voorwaarden die bepalen of verfijning wettelijk is toegestaan en of uw organisatie het achteraf kan verdedigen.
1. Heeft u een wettelijke grondslag? Onder GDPR betekent dit een gedocumenteerde Artikel 6-grondslag die voorafgaat aan de verwerking — geen achteraf geconstrueerde rechtvaardiging na een klacht. Onder CCPA en CPRA betekent dit dat afmeldmechanismen aanwezig zijn en uw privacyverklaring het AI-trainingsgebruik vermeldt. Onder HIPAA is patiënttoestemming verkregen of is de-identificatie formeel geverifieerd vóór extractie. De wettelijke grondslag moet zijn gedocumenteerd en aanwezig voordat gegevens in de trainingspipeline komen.
2. Is het doel compatibel met het oorspronkelijke verzameldoel? Dataminimalisatie en doellimiet zijn niet afgedekt door alleen een wettelijke grondslag. Gegevens die zijn verzameld voor dienstverlening kunnen niet automatisch worden hergebruikt voor modeltraining. GDPR vereist een gedocumenteerde beoordeling van doelcompatibiliteit — waarbij de link tussen het oorspronkelijke en nieuwe doel, de aard van de gegevens en de gevolgen voor betrokkenen worden onderzocht. CCPA vereist vermelding van het secundaire doel in de privacyverklaring. Als het oorspronkelijke doel smal was, kan voor verfijning opnieuw toestemming nodig zijn.
3. Kunt u verwijderingsverzoeken honoreren? Zodra klantgegevens zijn opgenomen in modelgewichten, kunnen ze niet worden verwijderd zonder hertraining. Voor de eerste trainingsronde moet uw organisatie een van de drie posities innemen: (a) een gedocumenteerde uitzondering op het recht op verwijdering is van toepassing; (b) een specifieke toezegging tot hertraining wordt binnen een vastgestelde termijn nagekomen bij gevalideerde verwijderingsverzoeken; of (c) uw trainingsaanpak ondersteunt machine unlearning waarmee gerichte gegevensverwijdering mogelijk is. Deze beslissing moet vóór de training worden genomen — als een verwijderingsverzoek eenmaal binnenkomt, zijn uw opties beperkt.
4. Kunt u aantonen welke gegevens zijn gebruikt en hoe ze zijn verwerkt? GDPR Artikel 30 vereist een register van verwerkingsactiviteiten. Voor verfijning betekent dit documentatie van welke klantgegevens zijn geëxtraheerd, uit welke systemen, onder welke wettelijke grondslag, welke transformaties zijn toegepast en welke modelversie ermee is getraind. Deze documentatie is uw verdediging bij een onderzoek door een toezichthouder of een verzoek van een betrokkene — en moet gelijktijdig zijn, niet achteraf gereconstrueerd.
| Vraag | Wat moet bestaan vóór de training | Veelvoorkomende faalmodus |
|---|---|---|
| Hebben we een wettelijke grondslag? | Gedocumenteerde Artikel 6-grondslag (GDPR); privacyverklaring en afmeldmechanisme (CCPA); toestemming of geverifieerde de-identificatie (HIPAA) | Aannemen dat bestaande toestemming secundair AI-gebruik dekt; geen documentatie voorafgaand aan training |
| Is het doel compatibel? | Schriftelijke beoordeling doelcompatibiliteit; privacyverklaring geüpdatet met AI-trainingsgebruik | Geen compatibiliteitsbeoordeling uitgevoerd; training gezien als verlengstuk van de primaire dienst zonder analyse |
| Kunnen we verwijderingsverzoeken honoreren? | Gedocumenteerde positie over verwijdering (uitzondering, hertrainingstoezegging of machine unlearning) vastgesteld vóór de eerste trainingsronde | Geen verwijderingsplan; eerste verwijderingsverzoek leidt tot reactieve juridische analyse na inzet van model |
| Kunnen we de verwerking aantonen? | Artikel 30-verwerkingsregister aangemaakt; data-extractielog met scope, wettelijke grondslag, transformaties en modelversie gedocumenteerd | Geen verwerkingsregister; data-extractie buiten governance-perimeter zonder audittrail |
De-identificatie: lost het het probleem op?
De-identificatie is de meest voorgestelde oplossing voor het probleem van de wettelijke grondslag — als gegevens geen persoonsgegevens zijn, zijn GDPR, HIPAA en de meeste Amerikaanse privacywetten simpelweg niet van toepassing. De logica klopt. De uitvoering is lastiger dan de meeste organisaties verwachten.
Onder GDPR moeten gegevens echt anoniem zijn — niet slechts pseudoniem — om buiten de reikwijdte van de verordening te vallen. Pseudonieme gegevens blijven persoonsgegevens onder de GDPR, ongeacht de toegepaste transformaties. Echte anonimisering vereist dat heridentificatie redelijkerwijs onmogelijk is. Voor LLM-verfijningsdatasets is die standaard moeilijk te halen: zeldzame aandoeningen, ongebruikelijke combinatie van attributen of een kenmerkende schrijfstijl kunnen heridentificatie mogelijk maken, zelfs na het verwijderen van namen en directe identificatoren.
Onder HIPAA vereist Safe Harbor-de-identificatie het verwijderen van 18 specifieke identificatiecategorieën. Expert Determination vereist statistische certificering dat het heridentificatierisico zeer klein is. LLM-trainingsdata voldoet vaak aan geen van beide standaarden — niet omdat identificatoren zijn gemist, maar omdat de contextuele rijkdom die klinische notities waardevol maakt voor training, ze ook gevoelig maakt voor heridentificatie in samenhang.
Het memorisatieprobleem is het meest onderschatte risico. Verfijnde modellen kunnen letterlijke passages uit trainingsgegevens onthouden en reproduceren bij gerichte prompts. De-identificatie bij de invoer garandeert geen privacybescherming bij uitvoer — een model dat is getraind op gedeïdentificeerde records kan passages reproduceren die heridentificatie in context mogelijk maken. Dit risico is herhaaldelijk aangetoond in gepubliceerd onderzoek en kan niet worden genegeerd door alleen upstream-anonimisering.
De-identificatie vermindert AI-risico en kan de regeldruk verlagen, maar het is een risicobeperkende maatregel, geen compliance-oplossing. Het lost het recht-op-verwijdering-probleem niet op als heridentificatie redelijkerwijs mogelijk blijft, en het beschermt niet tegen memorisatie-gebaseerde onthulling bij uitvoer.
Hoe gebruikt u klantgegevens compliant voor AI-verfijning?
Compliance voor verfijning is haalbaar — maar vereist governance-infrastructuur die vóór extractie is opgebouwd, niet achteraf wordt toegevoegd na inzet van een model. Dezelfde governance op datalaag die AI-agenttoegang compliant maakt, geldt direct voor trainingsdatapipelines: elke extractie moet worden geauthenticeerd, beleidsmatig beheerd, versleuteld en gelogd voordat klantgegevens de gereguleerde omgeving verlaten.
Stel de wettelijke grondslag vast en documenteer deze vóór extractie. Het verwerkingsregister moet voorafgaan aan de verwerking. De Artikel 6-grondslag is gedocumenteerd, de beoordeling van doelcompatibiliteit is afgerond en de privacyverklaring is geüpdatet voordat gegevens uit productiesystemen worden gehaald. Voor HIPAA-gedekte gegevens is toestemming aanwezig of de-identificatie geverifieerd vóór extractie.
Pas dataminimalisatie toe vóór training. Extraheer alleen de gegevensvelden en records die nodig zijn voor het specifieke verfijningsdoel. ABAC-handhaving op de extractielaag voorkomt dat trainingspipelines toegang krijgen tot gegevens buiten de vastgestelde scope — hetzelfde principe dat AI-agenttoegang tot gereguleerde data in productie beheerst, geldt ook voor de trainingsdatapipeline. Dit voldoet aan Artikel 5 van de GDPR en is een goede praktijk ongeacht de rechtsbevoegdheid.
Onderhoud een volledig, manipulatiebestendig verwerkingsregister. Documenteer welke gegevens zijn geëxtraheerd, uit welke systemen, onder welke wettelijke grondslag, welke transformaties zijn toegepast en welke modelversie ermee is getraind. Dit is uw Artikel 30-register en uw bewijsvoering bij een onderzoek door een toezichthouder. Het moet worden bewaard zolang het model dat op die gegevens is getraind in productie blijft. Auditlogs van de extractiepipeline, transformaties en modelinzet bieden gelijktijdige documentatie die niet achteraf kan worden gereconstrueerd.
Beheer data-extractie via uw standaard toegangscontrole-perimeter. Trainingspipelines die normale toegangscontroles omzeilen creëren ongemonitorde datastromen buiten uw AI-databeheerperimeter. Elke klantdata-extractie voor verfijning moet dezelfde identiteitsverificatie, beleidsafdwinging, FIPS 140-3 Level 1 gevalideerde encryptie en auditlogging ondergaan als elke andere gereguleerde data-access. De datapolicy-engine die bepaalt wat AI-agenten in productie mogen, moet ook bepalen wat trainingspipelines mogen extraheren.
Bouw een verwijderingsplan vóór de eerste trainingsronde. Stel uw gedocumenteerde positie vast over het recht op verwijdering: welke uitzondering geldt, wat uw hertrainingstijdlijn is, of welke machine unlearning-mogelijkheden uw infrastructuur ondersteunt. Dit plan kan niet reactief worden ontwikkeld — als een verwijderingsverzoek binnenkomt, is het model in productie en zijn uw opties beperkt.
Kiteworks Compliant AI: het datalayer beheren van training tot inferentie
De meeste organisaties behandelen AI-trainingsdata als een apart probleem van AI-productiedata — beheerd door verschillende teams, via verschillende pipelines, met verschillende controles. Die scheiding is waar compliance-gaten ontstaan. Dezelfde regelgeving die bepaalt wat AI-agenten in productie mogen, bepaalt wat trainingspipelines uit uw klantdata-omgeving mogen halen. En dezelfde governance-infrastructuur die AI in productie verdedigbaar maakt, maakt verfijning verdedigbaar.
Kiteworks compliant AI beheert de datalaag in beide contexten — binnen het Private Data Network — met afdwinging van geauthenticeerde identiteit, ABAC-beleid op operationeel niveau, FIPS 140-3 Level 1 gevalideerde encryptie en manipulatiebestendige auditlogs voor elke data-interactie, of dat nu een AI-agent is die productiedata benadert of een trainingspipeline die records extraheert voor verfijning.
Elke extractie wordt toegeschreven, afgebakend, versleuteld en gelogd voordat data wordt verplaatst. Wanneer uw DPO, juridisch team of toezichthouder vraagt welke klantgegevens zijn gebruikt om uw model te trainen en onder welke autorisatie, is het antwoord een gestructureerd bewijspakket — geen onderzoek.
Neem contact met ons op om te ontdekken hoe Kiteworks compliant AI-verfijning mogelijk maakt voor gereguleerde ondernemingen.
Veelgestelde vragen
Niet per se. Toestemming is één wettelijke grondslag onder GDPR Artikel 6, maar gerechtvaardigd belang kan van toepassing zijn als uw organisatie een formele belangenafweging kan documenteren waaruit blijkt dat de belangen bij verfijning zwaarder wegen dan de privacybelangen van betrokkenen. Onder de CCPA is toestemming niet het uitgangspunt — afmeldrechten en privacyverklaring zijn leidend. Onder HIPAA is patiënttoestemming vereist, tenzij gegevens aantoonbaar zijn gedeïdentificeerd. De juiste vraag is niet of u specifiek toestemming nodig heeft, maar of u een gedocumenteerde wettelijke grondslag heeft die past bij de geldende regelgeving — vastgelegd vóórdat gegevens in de trainingspipeline komen.
Dit is het lastigste praktische probleem bij compliance voor verfijning. Zodra klantgegevens zijn opgenomen in modelgewichten, kunnen ze niet worden verwijderd zonder hertraining. Vóór de training moeten organisaties een van drie gedocumenteerde posities innemen: een wettelijke uitzondering op het recht op verwijdering is van toepassing; een specifieke hertrainingstoezegging wordt nagekomen bij gevalideerde verwijderingsverzoeken binnen een vastgestelde termijn; of machine unlearning-mogelijkheden ondersteunen gerichte gegevensverwijdering. Deze beslissing kan niet reactief worden genomen — als een verwijderingsverzoek binnenkomt, is het model in productie en zijn de opties beperkt. Het verwijderingsplan is een governance-vereiste.
Als gegevens echt anoniem zijn — heridentificatie is redelijkerwijs onmogelijk — vallen ze buiten de GDPR en de meeste privacykaders. Maar echte anonimisering voor LLM-verfijning is technisch veeleisend: zeldzame aandoeningen, kenmerkende schrijfstijlen of ongebruikelijke attributen kunnen heridentificatie mogelijk maken, zelfs na het verwijderen van standaardidentificatoren. Beste practices voor dataminimalisatie adviseren om gedeïdentificeerde trainingsdata met dezelfde toegangscontroles en auditdiscipline te behandelen als persoonsgegevens, totdat anonimisering formeel is geverifieerd. Bovendien kunnen verfijnde modellen trainingsdata onthouden en reproduceren bij inferentie — de-identificatie bij invoer garandeert geen privacybescherming bij uitvoer.
Mogelijk, maar een algemene clausule over “dienstverbetering” voldoet waarschijnlijk niet aan de doellimietvereisten van de GDPR of de specifieke meldingsplicht van de CCPA voor AI-training. Onder de GDPR moeten het oorspronkelijke en het beoogde doel worden beoordeeld op compatibiliteit en het resultaat worden gedocumenteerd. Onder de CCPA en CPRA kan het gebruik van gegevens voor AI-training — vooral met een externe AI-leverancier — worden gezien als “deling”, waarvoor specifieke melding en afmeldmechanismen vereist zijn, bovenop een algemene dienstverbeteringsclausule. Juridische beoordeling van uw privacyverklaring tegen het specifieke gebruik is vereist.
GDPR Artikel 30 vereist registraties van: verwerkingsdoeleinden, categorieën van gebruikte persoonsgegevens, categorieën ontvangers, mechanismen voor internationale overdracht en bewaartermijnen. Voor AI-verfijning documenteert u ook welke data-velden zijn geëxtraheerd en uit welke systemen, de wettelijke grondslag en compatibiliteitsbeoordeling, toegepaste transformaties of de-identificatie, welke modelversie is getraind op welke dataset en waar dat model is ingezet. De registratie moet worden bewaard zolang het model in productie is. Auditlogs van data-extractie, transformatie en training vormen de gelijktijdige documentatie die een toezichthouder zal opvragen bij een klacht of onderzoek.
Aanvullende bronnen
- Blog Post
Zero‑Trust Strategieën voor betaalbare AI-privacybescherming - Blog Post
Hoe 77% van de organisaties faalt in AI-databeveiliging - eBook
AI Governance Gap: Waarom 91% van de kleine bedrijven Russisch roulette speelt met databeveiliging in 2025 - Blog Post
Er bestaat geen “–dangerously-skip-permissions” voor uw data - Blog Post
Toezichthouders zijn klaar met vragen of u een AI-beleid heeft. Ze willen bewijs dat het werkt.