Blogs

DeepSeek en privacy: gegevensdoorgifte naar derdelanden onder de AVG

3 februari 2025 /
Leestijd: 3 minuten

Door: Max Bouwmeester
Inleiding
Artificiële intelligentie (hierna: AI) krijgt een steeds grotere rol in ons dagelijks leven. AI-modellen verwerken enorme hoeveelheden data om zoekresultaten te verbeteren en processen te automatiseren. Dit doen ze mede op basis van de input van gebruikers. Steeds vaker rijst de vraag in hoeverre deze gegevens beschermd worden. Vooral met het oog op de lancering van het AI-model DeepSeek, waarvan de servers in China staan.

Deze problematiek raakt aan een belangrijk onderwerp binnen de Algemene Verordening Gegevensbescherming (hierna: AVG): de doorgifte van persoonsgegevens naar derdelanden. Derdelanden zijn landen die niet in  de EU zitten. Niet elk land hanteert immers even strenge regels als de EU op het gebied van gegevensbescherming, waardoor het belangrijk is om zorgvuldig om te gaan met dataoverdrachten. In deze blog leg ik uit wat dit betekent en waar organisaties op moeten letten bij het gebruik van AI-modellen die persoonsgegevens buiten de EU verwerken.

Gegevensdoorgifte naar derdelanden
Wanneer persoonsgegevens, zoals namen en e-mailadressen, binnen de EU worden verwerkt, gelden automatisch de strenge privacyregels van de AVG. Maar zodra deze data in een derdeland terechtkomt, is dat niet meer vanzelfsprekend.

Veel AI-diensten, waaronder DeepSeek, worden gehost op servers in landen buiten de Europese Unie. Dit roept vragen op over de veiligheid van de gegevens en over welke partijen daar toegang toe hebben. Overheden in bepaalde landen kunnen bedrijven bijvoorbeeld verplichten  gegevens vrij te geven, zonder dezelfde waarborgen te garanderen als die in Europa. Dit brengt risico’s met zich mee, zowel voor gebruikers als voor organisaties die de technologie inzetten. Om ervoor te zorgen dat persoonsgegevens ook buiten de EU goed beschermd blijven, stelt de AVG daarom specifieke eisen aan internationale gegevensdoorgifte.

AVG en gegevensdoorgifte
De AVG biedt een aantal mechanismen waarmee persoonsgegevens met voldoende waarborgen kunnen worden overgedragen naar derdelanden. Dit zijn de belangrijkste manieren:

  1. Adequaatheidsbesluit (artikel 45, van de AVG)

De Europese Commissie beoordeelt of een derdeland een gelijkwaardig niveau van gegevensbescherming heeft als binnen de EU. Indien dat het geval is, wordt een zogenoemd ‘’adequaatheidsbesluit’’ afgegeven. Dit betekent dat persoonsgegevens zonder aanvullende maatregelen mogen worden doorgegeven. Landen zonder adequaatheidsbesluit moeten voldoen aan alternatieve waarborgen.

  1. Standaard Contractbepalingen (artikel 46, tweede lid, onder c, van de AVG)

Voor landen zonder adequaatheidsbeslissing kunnen organisaties gebruik maken van standaard contractbepalingen. Dit zijn juridische overeenkomsten waarin bedrijven afspreken dat persoonsgegevens volgens de AVG-normen worden beschermd buiten de EU. Een bedrijf dat DeepSeek gebruikt en daardoor mogelijk persoonsgegevens naar China stuurt, moet dus standaard contractbepalingen afsluiten met de AI-leverancier wil zij passende waarborgen genieten op het gebied van gegevensbescherming.

  1. Bindende bedrijfsvoorschriften (artikel 46, tweede lid, onder b, van de AVG)

Grote organisaties kunnen gebruik maken van bindende bedrijfsvoorschriften. Dit zijn interne privacyregels die binnen een concern gelden en goedgekeurd moeten worden door een Europese toezichthouder. Dit wordt vooral gebruikt door grote techbedrijven zoals Google en Meta.

  1. Uitzonderingen onder artikel 49, van de AVG

In sommige gevallen kunnen persoonsgegevens worden doorgestuurd zonder adequaatheidsbesluit, contractuele waarborgen of bindende bedrijfsvoorschriften. Dit mag enkel als:

  1. De betrokkene expliciet toestemming geeft voor de doorgifte;
  2. De doorgifte noodzakelijk is voor de uitvoering van een contract;
  3. Het in het algemeen belang noodzakelijk is vanwege gewichtige redenen.

Deze uitzonderingen zijn beperkt toepasbaar en mogen niet standaard worden gebruikt voor grootschalige dataoverdracht.

Wat betekent de opkomst van DeepSeek voor organisaties?
AI-modellen zoals DeepSeek zijn vaak afhankelijk van grote hoeveelheden gegevens om effectief te functioneren. Wanneer deze gegevens persoonsgegevens bevatten en naar een derdeland worden gestuurd, moeten organisaties zorgvuldig nagaan of de doorgifte voldoet aan de AVG alvorens zij dergelijke systemen gebruiken. Zij moeten zich afvragen of sprake is van een van de bovenstaande waarborgen uit de AVG. Wanneer dat niet het geval is, wordt afgeraden om gevoelige informatie in DeepSeek te verwerken.

Conclusie
AI-modellen bieden grote kansen, maar brengen ook verantwoordelijkheid voor de gebruiker met zich mee als het gaat om gegevensbescherming. De doorgifte van persoonsgegevens naar landen buiten de EU is een gevoelig punt binnen de AVG en vereist dat organisaties zorgvuldig omgaan met hun datastromen. Door zorgvuldig te kijken of sprake is van adequaatheidsbesluiten en/of contractuele waarborgen kunnen bedrijven AI inzetten zonder gevoelige gegevens van hun gebruikers of hun organisatie in gevaar te brengen.

Wilt u zeker weten dat uw organisatie voldoet aan de AVG? Zorg dan voor een goede risicoanalyse en let op passende juridische waarborgen. Heeft u verder juridische vragen met betrekking tot de AVG, of andere vraagstukken op het gebied van het IT-recht? De IT-rechtswinkel staat klaar om u te helpen!

 

 

 

 

Door  Reacties uitgeschakeld voor DeepSeek en privacy: gegevensdoorgifte naar derdelanden onder de AVG