Is de DSG van toepassing op AI-tools zoals ChatGPT of Copilot die in bedrijven worden gebruikt?
Ja. Zodra deze tools persoonsgegevens van identificeerbare natuurlijke personen verwerken (namen, e-mailadressen, informatie over medewerkers of klanten), is de nDSG van toepassing. Het bedrijf dat deze tools gebruikt, is verantwoordelijk voor de verwerking. Het moet ervoor zorgen dat het doel is gedocumenteerd, dat de betrokkenen worden geïnformeerd en dat de gegevens niet worden hergebruikt voor doeleinden die de aanbieder niet heeft voorzien. Een verificatie van de contractuele voorwaarden van de aanbieder is onontbeerlijk, met name wat betreft de locatie van de gegevens en het hergebruik voor modeltraining.
Moet mijn bedrijf een functionaris voor gegevensbescherming (FG) aanwijzen om AI te gebruiken?
De nDSG maakt de FG niet verplicht onder dezelfde voorwaarden als de GDPR. Het aanwijzen of mandateren van een verantwoordelijke voor gegevensbescherming wordt echter sterk aanbevolen zodra uw bedrijf AI-systemen inzet die op grote schaal persoonsgegevens of gevoelige gegevens verwerken. Deze verantwoordelijke kan intern of extern zijn (juridisch adviseur, gespecialiseerde consultant). Zijn rol: toezicht houden op de naleving, DPIA's uitvoeren, verzoeken van betrokkenen beheren en indien nodig de liaison met de EDÖB verzorgen.
Wat is een DPIA en in welke gevallen is deze verplicht voor een AI-project?
Een gegevensbeschermingseffectbeoordeling (DPIA) is een gedocumenteerde evaluatie van de risico's die een gegevensverwerking met zich meebrengt voor de rechten en vrijheden van betrokkenen. Ze is verplicht onder de nDSG wanneer de verwerking waarschijnlijk een hoog risico met zich meebrengt: verwerking van gevoelige gegevens op grote schaal, uitgebreide profilering, geautomatiseerde beslissingen met aanzienlijke gevolgen, of systematische bewaking. Voor de meeste ambitieuze AI-projecten in bedrijven (HR-AI, klantscoring, gedragsanalyse) is een DPIA noodzakelijk. Ze moet vóór de inzet worden uitgevoerd.
Kan een AI-model worden getraind met klant- of medewerkergegevens van het bedrijf?
Ja, onder bepaalde voorwaarden. Ten eerste moet er een geldige wettelijke grondslag zijn voor deze nieuwe verwerking (de oorspronkelijke verzameling van de gegevens volstaat niet als het doel anders was). De betrokkenen moeten worden geïnformeerd over dit gebruik. Als de gegevens gevoelig zijn, is uitdrukkelijke toestemming of een andere sterke wettelijke grondslag vereist. De locatie van het model is bepalend: een model dat wordt gehost op servers buiten Zwitserland of buiten de EER, impliceert een internationale gegevensoverdracht die aan aanvullende garanties is onderworpen. Het documenteren van deze beslissingen in uw verwerkingsregister is onontbeerlijk.
Welke AI-praktijken zijn verboden door de nDSG?
De nDSG stelt geen uitputtende lijst op, maar de EDÖB heeft verduidelijkt dat bepaalde toepassingen onverenigbaar zijn met de grondrechten die zij beschermt: real-time gezichtsherkenning op grote schaal in openbare ruimten, systemen voor sociale scoring die het gedrag van individuen systematisch evalueren, en elke verzameling of verwerking van biometrische of gevoelige gegevens zonder solide wettelijke grondslag. De AI Act van de EU, die sommige van deze praktijken expliciet verbiedt, kan indirect van toepassing zijn op Zwitserse bedrijven die gegevens van EU-ingezetenen verwerken.
Wat zijn de sancties bij schending van de nDSG in de AI-context?
De nDSG sanctioneert natuurlijke personen, niet rechtstreeks het bedrijf. Boetes kunnen oplopen tot 250.000 CHF per overtreding. Leidinggevenden, IT-verantwoordelijken en betrokken medewerkers zijn persoonlijk blootgesteld. De meest sanctioneerbare overtredingen: betrokkenen niet informeren, een datalek niet melden, of de regels inzake individuele geautomatiseerde beslissingen schenden. Er moet een klacht worden ingediend om een procedure in gang te zetten. Het reputatierisico is vaak zorgwekkender dan de boete zelf.
Zijn de nDSG en de GDPR tegelijkertijd van toepassing op mijn Zwitsers bedrijf?
Dat hangt af van uw activiteit. Als u gegevens van EU-ingezetenen verwerkt (klanten, partners, prospects), is de GDPR op die verwerkingen van toepassing, ongeacht of uw bedrijf in Zwitserland is gevestigd. De nDSG is van toepassing op alle verwerkingen van gegevens van personen in Zwitserland. In de praktijk moeten veel Zwitserse bedrijven beide kaders naleven. Goed nieuws: beide zijn grotendeels op elkaar afgestemd en een goed opgebouwde compliancebeleid dekt beide, mits rekening wordt gehouden met de enkele verschillen (sancties, FG, meldingstermijnen).
Is de Europese AI Act van toepassing op in Zwitserland gevestigde bedrijven?
De AI Act van de EU is niet rechtstreeks van toepassing in Zwitserland, dat geen EU-lid is. Als uw bedrijf echter AI-systemen op de Europese markt brengt, of als uw systemen gevolgen hebben voor personen in de EU, kunnen de regels van de AI Act op u van toepassing zijn. Zwitserland heeft daarnaast het Verdrag van de Raad van Europa over AI ondertekend (maart 2025), waarvan de ratificering aanvullende verplichtingen zal invoeren, met name voor AI-systemen met een hoog risico.
Hoe kiest u een AI-aanbieder die voldoet aan de nDSG?
Drie belangrijkste criteria: de locatie van de gegevens (geef de voorkeur aan servers in Zwitserland of de EU/EER om ongeregelde internationale overdrachten te vermijden), het beleid inzake hergebruik van gegevens (gebruikt de aanbieder uw gegevens om zijn modellen te trainen? Zo ja, op welke wettelijke grondslag?), en contractuele transparantie (kan de aanbieder u een register van subverwerkers, een DPA en gedocumenteerde beveiligingsgaranties verstrekken?). Open-source modellen die op uw eigen infrastructuur of op een Europese infrastructuur zijn ingezet, bieden doorgaans het beste antwoord op deze drie criteria.
Is de nDSG van toepassing op intern ingezette open-source AI-modellen?
Ja. De nDSG is van toepassing op de verwerkingsverantwoordelijke, dat wil zeggen uw bedrijf, ongeacht de aard van het model (open source of propriëtair, intern of bij een derde gehost). Als uw open-source model persoonsgegevens verwerkt, zijn alle verplichtingen van de nDSG van toepassing: informatie, minimalisering, beveiliging, DPIA indien hoog risico, enz. Het voordeel van intern ingezet open source is juist dat u volledige controle heeft over de gegevens en het risico van ongewenste overdracht aan een derde wordt geëlimineerd.