De gids, zonder juridisch jargon

AI en LPD/nLPD in Zwitserland: wat dit betekent

Een helder overzicht van wat de nieuwe wet op de gegevensbescherming verandert voor uw AI-projecten, en hoe we bouwen met respect voor de gegevensresidentie. Belangrijk: wij geven geen juridisch advies.

Europese hostingOpen sourceTraceerbaar

14'082+ sites gemaakt in de afgelopen 30 dagen

actif
🇪🇺 Europe
Falkenstein
Helsinki
Nürnberg

Hetzner · Europe

US cloud
Europese hosting
Open source
Traceerbaar

Sinds 1 september 2023 is de nieuwe federale wet op de gegevensbescherming (nDSG) van kracht in Zwitserland. De wet vermeldt kunstmatige intelligentie niet bij naam, en dat is bewust: de wet is technologieneutraal geformuleerd. Het directe gevolg: elk AI-systeem dat persoonsgegevens van natuurlijke personen verwerkt, valt onder de nDSG, punt. Deze gids legt uit wat dit concreet betekent voor een Zwitsers bedrijf dat AI-tools inzet of overweegt in te zetten, of het nu gaat om een interne chatbot, een geautomatiseerde wervingstool, een aanbevelingsmotor of een oplossing voor klantanalyse.

14'082+
sites gemaakt in de afgelopen 30 dagen
16
talen
100%
EU-hosting
0
US cloud

De belangrijkste punten om te weten

Het essentiële, eenvoudig uitgelegd.

Gegevensresidentie

Waar uw gegevens worden opgeslagen en verwerkt is belangrijk. We bouwen met Europese hosting en opensourcemodellen.

Minimalisatie

Alleen de noodzakelijke gegevens verwerken: een eenvoudig principe dat het risico verkleint.

Transparantie en traceerbaarheid

Weten wat AI met uw gegevens doet, met gelogde en controleerbare verwerkingen.

Verwerkers

Kies leveranciers die uw gegevens niet blootstellen aan niet-beheerste cloudomgevingen van derden.

De nDSG en AI: het principe van technologieneutraliteit

De federale gegevensbeschermings- en informatiecommissaris (EDÖB) bevestigde zijn standpunt in november 2023: de huidige wet op de gegevensbescherming is rechtstreeks van toepassing op AI. Zwitserland heeft geen specifieke wet op kunstmatige intelligentie, in tegenstelling tot de Europese Unie met haar AI Act. De Zwitserse wetgever heeft bewust gekozen voor een technologieneutrale aanpak: de bestaande regels (nDSG, Obligatierecht, RDSG) gelden voor elke technologie, inclusief AI. Dit betekent dat uw AI-gestuurde CRM-aanbieder, uw voorspellende analysetool of uw interne chatassistent allemaal onder de nDSG vallen zodra zij gegevens verwerken die betrekking hebben op een identificeerbare persoon.

  • Geen specifieke AI-wet in Zwitserland tot op heden: de nDSG fungeert als het belangrijkste kader
  • Technologieneutraliteit: de wettekst noemt AI niet, maar is er volledig op van toepassing
  • De EDÖB heeft deze interpretatie officieel bevestigd in november 2023
  • Het Verdrag van de Raad van Europa over AI (door Zwitserland ondertekend op 27 maart 2025) zal dit kader vóór 2026-2027 versterken
  • De AI Act van de EU kan indirect van toepassing zijn op Zwitserse bedrijven die gegevens van EU-ingezetenen verwerken

De vijf fundamentele verplichtingen voor elk AI-gebruik

Ongeacht de aard van het ingezette AI-systeem gelden vijf beginselen van de nDSG voor het bedrijf dat verantwoordelijk is voor de verwerking.

  • Transparantie: de betrokken personen moeten weten dat een AI-systeem hun gegevens verwerkt, voor welk doel en op welke basis. Opzettelijke ondoorzichtigheid is een schending.
  • Bepaald doel: gegevens die voor een specifiek doel zijn verzameld, mogen niet vrij worden hergebruikt om een AI-model te trainen of te verbeteren zonder een afzonderlijke wettelijke grondslag.
  • Minimalisering: een AI-systeem mag alleen de gegevens verwerken die strikt noodzakelijk zijn voor het nagestreefde doel. Het voor alle zekerheid aggregeren van gegevens is een schending van dit beginsel.
  • Nauwkeurigheid: de gegevens die een AI-systeem voeden, moeten actueel worden gehouden. Een geautomatiseerde beslissing op basis van verouderde gegevens brengt de aansprakelijkheid van het bedrijf met zich mee.
  • Beveiliging en traceerbaarheid: AI-verwerkingen moeten worden gelogd en de toegang moet worden gecontroleerd. Bij een datalek verplicht de nDSG tot melding aan de bevoegde autoriteiten zonder onnodige vertraging (tegenover 72 uur onder de GDPR).

Geautomatiseerde beslissingen en het recht van bezwaar: wat uw gebruikers kunnen eisen

De nDSG verleent betrokkenen een recht van bezwaar tegen beslissingen die uitsluitend op basis van geautomatiseerde verwerking worden genomen, wanneer deze beslissingen rechtsgevolgen voor hen hebben of op hen een gelijksoortige aanzienlijke invloed uitoefenen. Concreet: als uw AI-tool automatisch een sollicitatie afwijst, een verzekeringstarieftarief vaststelt of een krediet weigert zonder menselijke tussenkomst, kan de betrokkene eisen dat een natuurlijk persoon de beslissing heroverweegt. De EDÖB formuleert dit in termen van hoge digitale zelfbeschikking: bedrijven moeten betrokkenen in staat stellen geautomatiseerde beslissingen die hen raken te begrijpen en zo nodig aan te vechten. Dit bezwaarrecht is niet optioneel: het moet operationeel zijn vóór de inzet van het systeem, niet daarna.

  • Recht van bezwaar tegen geautomatiseerde beslissingen met rechtsgevolgen of aanzienlijke gevolgen
  • Verplichting om op verzoek een mechanisme voor menselijke heroverweging te voorzien
  • Transparantie over de werking van het algoritme is een voorwaarde voor dit recht
  • Bijzonder blootgestelde sectoren: HR (screening van sollicitaties), verzekeringen (tariefstelling), banken (kredietscore), e-commerce (discriminerende personalisering)

Wanneer is een gegevensbeschermingseffectbeoordeling (DPIA) verplicht?

De nDSG introduceert de verplichting om vóór elke verwerking die waarschijnlijk een hoog risico voor de grondrechten en -vrijheden van betrokkenen met zich meebrengt, een gegevensbeschermingseffectbeoordeling (DPIA) uit te voeren. Voor AI-systemen wordt de drempel van hoog risico snel bereikt. Een DPIA is onder meer vereist wanneer: de verwerking betrekking heeft op gevoelige gegevens op grote schaal (gezondheid, politieke opvattingen, biometrische gegevens), het systeem uitgebreide profilering van personen uitvoert, geautomatiseerde beslissingen aanzienlijke juridische of economische gevolgen hebben, of de verwerking de systematische bewaking van een voor het publiek toegankelijke ruimte betreft. De DPIA moet vóór de lancering worden uitgevoerd, gedocumenteerd en bijgewerkt als het systeem verandert. Als uit de analyse een hoog resterend risico blijkt dat niet is beperkt, kan de EDÖB worden geraadpleegd.

  • Verwerking van gevoelige gegevens op grote schaal: DPIA verplicht
  • Uitgebreide profilering of geautomatiseerde scoring: DPIA verplicht
  • Geautomatiseerde beslissingen met aanzienlijke juridische of economische gevolgen: DPIA verplicht
  • Systematische bewaking van openbare ruimten: DPIA verplicht
  • De DPIA moet vóór de inzet worden uitgevoerd, niet na een incident
  • De EDÖB kan worden geraadpleegd als er een hoog resterend risico blijft bestaan

AI-praktijken die door de nDSG verboden zijn

Hoewel de nDSG geen uitputtende lijst van verboden AI-toepassingen opstelt, zijn bepaalde praktijken duidelijk onverenigbaar met de grondrechten die zij beschermt, evenals met de standpunten van de EDÖB.

  • Real-time gezichtsherkenning op grote schaal in openbare ruimten: onverenigbaar met de nDSG en de grondrechten
  • Systemen voor sociale scoring die individuen systematisch beoordelen op al hun gedrag: onverenigbaar met de door de DSG beschermde informatieve zelfbeschikking
  • Verzameling en verwerking van biometrische gegevens zonder solide wettelijke grondslag en zonder gedocumenteerd legitiem doel
  • Training van AI-modellen met persoonsgegevens die van hun oorspronkelijke doel zijn afgeweken, zonder afzonderlijke wettelijke grondslag
  • Verwerking van gevoelige gegevens (gezondheid, ras, politieke opvattingen) zonder uitdrukkelijke toestemming of zonder een andere toegestane wettelijke grondslag

Een AI-model trainen met uw interne gegevens: wat de nDSG zegt

Een van de meest voorkomende situaties in bedrijven: interne gegevens (e-mails, HR-dossiers, klanthistorieken, contracten) gebruiken om een AI-model te trainen of te verfijnen. De nDSG stelt verschillende vereisten. Ten eerste het doel: gegevens die zijn verzameld voor het beheer van klantcontracten, mogen niet worden hergebruikt om een AI-model te trainen zonder een afzonderlijke wettelijke grondslag. Ten tweede de locatie: als het model wordt gehost door een aanbieder buiten Zwitserland of buiten de EER, vindt een internationale gegevensoverdracht plaats die onderworpen is aan de passende garanties van de nDSG. Ten derde de ondoorzichtigheid van modellen: zodra een model is getraind, is het moeilijk te garanderen dat er geen persoonsgegevens uit kunnen worden geëxtraheerd of afgeleid. Een soevereine architectuur, met een model dat is ingezet op een Europese infrastructuur of op uw eigen servers, is de meest robuuste oplossing voor dit probleem.

  • Controleer de wettelijke grondslag vóór elk hergebruik van interne gegevens voor AI
  • Documenteer het trainingsdoel en zorg ervoor dat het verenigbaar is met de oorspronkelijke verzameling
  • Bepaal of er een internationale overdracht plaatsvindt (Amerikaanse aanbieder, cloud buiten de EER) en stel passende garanties in
  • Classificeer uw gegevens (openbaar, intern, vertrouwelijk, gevoelig) vóór u beslist welke een model kunnen voeden
  • Geef de voorkeur aan open-source modellen die op Europese infrastructuur zijn ingezet om extraterritorialiteit te vermijden
  • Documenteer de architectuurbeslissingen in een verwerkingsregister

Sancties nDSG: persoonlijke aansprakelijkheid en bedragen

Een punt dat vaak wordt onderschat: in tegenstelling tot de GDPR, die het bedrijf sanctioneert, sanctioneert de nDSG in de eerste plaats natuurlijke personen. Het zijn de leidinggevenden, IT-verantwoordelijken en bepaalde medewerkers die persoonlijk kunnen worden vervolgd en beboet. Het maximumbedrag is 250.000 CHF per overtreding. De meest blootgestelde overtredingen betreffen: het niet naleven van de informatieplicht, het nalaten een datalek bij de bevoegde autoriteit te melden, of het schenden van de verplichtingen inzake individuele geautomatiseerde beslissingen. De sanctie is niet automatisch: er moet een klacht worden ingediend. Maar het reputatierisico, in geval van een openbare procedure, kan groter zijn dan de boete zelf.

  • Maximale sanctie: 250.000 CHF per overtreding (persoonlijke boete, niet voor het bedrijf)
  • Blootgestelde personen: leidinggevenden, IT-verantwoordelijken, functionarissen voor gegevensbescherming, betrokken medewerkers
  • Meest gesanctioneerde overtredingen: gebrek aan informatie, geen melding van een datalek, schending van de regels inzake geautomatiseerde beslissingen
  • Geen automatische boete: een klacht is noodzakelijk (in tegenstelling tot de GDPR)
  • Reputatierisico is mogelijk groter dan de boete zelf

DSG vs GDPR: de belangrijkste verschillen voor AI-projecten

Veel Zwitserse bedrijven verwerken ook gegevens van EU-ingezetenen en zijn daarom naast de nDSG ook aan de GDPR onderworpen. De twee kaders lijken grotendeels op elkaar, maar wijken op enkele belangrijke punten van elkaar af. Hieronder de meest significante verschillen voor een AI-project.

  • Sancties: GDPR richt zich op bedrijven (tot 4% van de wereldwijde omzet), nDSG richt zich op natuurlijke personen (max. 250.000 CHF)
  • FG: verplicht in bepaalde gevallen onder de GDPR, aanbevolen maar niet verplicht onder de nDSG
  • Melding van datalekken: 72 uur voor de GDPR, zonder onnodige vertraging voor de nDSG (flexibeler maar ook vager)
  • Toestemming: nDSG vereist geen uitdrukkelijke toestemming als enige wettelijke grondslag, in tegenstelling tot de GDPR die er een centrale pijler van maakt
  • Extraterritoriale werking: GDPR geldt zodra een EU-ingezetene betrokken is, zelfs als het bedrijf in Zwitserland is gevestigd
  • EU AI Act: niet rechtstreeks van toepassing in Zwitserland, maar een Zwitsers bedrijf dat in de EU op de markt brengt, kan eraan onderworpen zijn

Regelgevende vooruitzichten 2025-2027: wat er aankomt

Het Zwitserse wettelijke kader voor AI is in beweging. Bedrijven die AI-systemen inzetten moeten rekening houden met verschillende aankomende ontwikkelingen.

  • Verdrag van de Raad van Europa over AI (CETS 225): Zwitserland heeft dit op 27 maart 2025 ondertekend. De ratificering ervan zal aanvullende verplichtingen creëren, met name met betrekking tot AI-systemen met een hoog risico en toezicht door de autoriteiten
  • EU AI Act geleidelijk van kracht tot 2026: Zwitserse bedrijven die op de EU-markt opereren, kunnen hiermee te maken krijgen, met name voor AI-systemen met een hoog risico (HR, krediet, gezondheid, kritieke infrastructuur)
  • Mogelijke herziening van de nDSG: de federale raad volgt de Europese ontwikkelingen en een aanpassing is denkbaar voor de horizon 2026-2027
  • Federale verordening over het gebruik van AI in het openbaar bestuur: in consultatie, kan sectorale privaatrechtelijke normen inspireren
  • Toenemende invloed van de EDÖB: meer sectorale standpunten over specifieke AI-toepassingen (chatbots, profilering, generatieve AI)

Checklist: tien concrete acties voor AI die voldoet aan de nDSG

Hier is een operationeel startpunt voor bedrijven die AI-tools inzetten of overwegen in te zetten. Deze lijst is geen juridisch advies: raadpleeg een gespecialiseerde jurist voor uw specifieke situatie.

  • 1. In kaart brengen: stel een lijst op van alle AI-tools die in uw organisatie worden gebruikt en bepaal welke persoonsgegevens verwerken
  • 2. Gegevens classificeren: maak onderscheid tussen openbare, interne, vertrouwelijke en gevoelige gegevens vóór u beslist welke een model kunnen voeden
  • 3. Doel documenteren: documenteer voor elke AI-verwerking het precieze doel in uw register van verwerkingsactiviteiten
  • 4. Risico beoordelen: bepaal of een verwerking een DPIA vereist (gevoelige gegevens, profilering, impactvolle geautomatiseerde beslissingen)
  • 5. Informeren: zorg ervoor dat de informatieverklaringen (privacybeleid, verwerkingsmededelingen) AI-toepassingen expliciet behandelen
  • 6. Bezwaar voorzien: stel een operationeel mechanisme voor menselijk verhaal in voor elke significante geautomatiseerde beslissing
  • 7. Subverwerkers controleren: controleer de garanties van uw AI-aanbieders (locatie, overdrachten, certificeringen)
  • 8. Teams opleiden: maak medewerkers bewust van nDSG-verplichtingen in de AI-context, met name HR-, marketing- en IT-teams
  • 9. Testen en auditen: voorzien in regelmatige audits van AI-systemen om de naleving en de afwezigheid van discriminerende vooroordelen te controleren
  • 10. Een levend register bijhouden: documentatie bijwerken bij elke wijziging van het AI-systeem of de regelgeving

nDSG vs GDPR: de essentiële verschillen voor uw AI-projecten

De meeste Zwitserse bedrijven moeten met beide kaders jongleren. Hier zijn de belangrijkste verschillen die u moet kennen om uw AI-projecten te structureren.

CriteriumnDSG (Zwitserland)GDPR (EU)
Inwerkingtreding1 september 202325 mei 2018
SanctiesMax. 250.000 CHF, persoonlijke boeteTot 4% van de wereldwijde omzet, boete voor het bedrijf
FG (functionaris voor gegevensbescherming)Aanbevolen, niet verplicht voor kmo'sVerplicht in bepaalde gevallen
Termijn voor melding van datalekkenZonder onnodige vertraging (flexibeler)Maximaal 72 uur
Toestemming als wettelijke grondslagEen grondslag naast andere (flexibeler)Centraal maar omkaderd
DPIA verplichtJa, voor verwerkingen met een hoog risicoJa, voor verwerkingen met een hoog risico
Extraterritoriale werkingVan toepassing als het bedrijf gegevens van personen in Zwitserland verwerktVan toepassing zodra een EU-ingezetene betrokken is
Specifieke AI-wetGeen (technologieneutraliteit)AI Act geleidelijk van kracht tot 2026

Onze rol

We bouwen met respect voor uw gegevens

We doen geen rechtskunde, maar we bouwen AI op een manier die de residentie en vertrouwelijkheid van uw gegevens respecteert.

Europese hosting

Infrastructuur in Europa (Hetzner), geen Amerikaanse cloud.

Open source

Opensourcemodellen op onze eigen infrastructuur, uw gegevens worden niet gebruikt om een model te trainen.

Traceerbaar

Gelogde en controleerbare verwerkingen.

swissIa.lpdNlpdSuisse.localContextTitle

Zwitserland beschikt over een onafhankelijke, toegewijde autoriteit: de federale gegevensbeschermings- en informatiecommissaris (EDÖB), gevestigd in Bern, die aanbevelingen uitvaardigt en voorlopige onderzoeken kan openen.
De kantons Vaud, Genève, Fribourg en Neuchâtel hebben hun eigen kantonale wetgeving inzake gegevensbescherming, die van toepassing is op kantonale publieke entiteiten. Voor particuliere ondernemingen heeft de federale nDSG voorrang.
Romandisch Zwitserland telt verschillende gespecialiseerde actoren op het gebied van nDSG- en AI-compliance: gespecialiseerde advocatenkantoren (met name in Genève en Lausanne), consultants inzake gegevensbescherming en technologieleveranciers die compliance vanaf het begin integreren.
De Zwitserse financiële sector (banken, verzekeringen, vermogensbeheer) is bijzonder blootgesteld aan nDSG-verplichtingen in de AI-context, gezien de gevoelige aard van de verwerkte gegevens en de frequente geautomatiseerde beslissingen (scoring, fraudedetectie, geautomatiseerd advies).
Het Verdrag van de Raad van Europa over AI (door Zwitserland ondertekend op 27 maart 2025) is het eerste internationaal juridisch bindende verdrag over AI. De ratificering ervan door het Zwitserse parlement zal aanvullende formele verplichtingen creëren.

Veelgestelde vragen

Is de DSG van toepassing op AI-tools zoals ChatGPT of Copilot die in bedrijven worden gebruikt?

Ja. Zodra deze tools persoonsgegevens van identificeerbare natuurlijke personen verwerken (namen, e-mailadressen, informatie over medewerkers of klanten), is de nDSG van toepassing. Het bedrijf dat deze tools gebruikt, is verantwoordelijk voor de verwerking. Het moet ervoor zorgen dat het doel is gedocumenteerd, dat de betrokkenen worden geïnformeerd en dat de gegevens niet worden hergebruikt voor doeleinden die de aanbieder niet heeft voorzien. Een verificatie van de contractuele voorwaarden van de aanbieder is onontbeerlijk, met name wat betreft de locatie van de gegevens en het hergebruik voor modeltraining.

Moet mijn bedrijf een functionaris voor gegevensbescherming (FG) aanwijzen om AI te gebruiken?

De nDSG maakt de FG niet verplicht onder dezelfde voorwaarden als de GDPR. Het aanwijzen of mandateren van een verantwoordelijke voor gegevensbescherming wordt echter sterk aanbevolen zodra uw bedrijf AI-systemen inzet die op grote schaal persoonsgegevens of gevoelige gegevens verwerken. Deze verantwoordelijke kan intern of extern zijn (juridisch adviseur, gespecialiseerde consultant). Zijn rol: toezicht houden op de naleving, DPIA's uitvoeren, verzoeken van betrokkenen beheren en indien nodig de liaison met de EDÖB verzorgen.

Wat is een DPIA en in welke gevallen is deze verplicht voor een AI-project?

Een gegevensbeschermingseffectbeoordeling (DPIA) is een gedocumenteerde evaluatie van de risico's die een gegevensverwerking met zich meebrengt voor de rechten en vrijheden van betrokkenen. Ze is verplicht onder de nDSG wanneer de verwerking waarschijnlijk een hoog risico met zich meebrengt: verwerking van gevoelige gegevens op grote schaal, uitgebreide profilering, geautomatiseerde beslissingen met aanzienlijke gevolgen, of systematische bewaking. Voor de meeste ambitieuze AI-projecten in bedrijven (HR-AI, klantscoring, gedragsanalyse) is een DPIA noodzakelijk. Ze moet vóór de inzet worden uitgevoerd.

Kan een AI-model worden getraind met klant- of medewerkergegevens van het bedrijf?

Ja, onder bepaalde voorwaarden. Ten eerste moet er een geldige wettelijke grondslag zijn voor deze nieuwe verwerking (de oorspronkelijke verzameling van de gegevens volstaat niet als het doel anders was). De betrokkenen moeten worden geïnformeerd over dit gebruik. Als de gegevens gevoelig zijn, is uitdrukkelijke toestemming of een andere sterke wettelijke grondslag vereist. De locatie van het model is bepalend: een model dat wordt gehost op servers buiten Zwitserland of buiten de EER, impliceert een internationale gegevensoverdracht die aan aanvullende garanties is onderworpen. Het documenteren van deze beslissingen in uw verwerkingsregister is onontbeerlijk.

Welke AI-praktijken zijn verboden door de nDSG?

De nDSG stelt geen uitputtende lijst op, maar de EDÖB heeft verduidelijkt dat bepaalde toepassingen onverenigbaar zijn met de grondrechten die zij beschermt: real-time gezichtsherkenning op grote schaal in openbare ruimten, systemen voor sociale scoring die het gedrag van individuen systematisch evalueren, en elke verzameling of verwerking van biometrische of gevoelige gegevens zonder solide wettelijke grondslag. De AI Act van de EU, die sommige van deze praktijken expliciet verbiedt, kan indirect van toepassing zijn op Zwitserse bedrijven die gegevens van EU-ingezetenen verwerken.

Wat zijn de sancties bij schending van de nDSG in de AI-context?

De nDSG sanctioneert natuurlijke personen, niet rechtstreeks het bedrijf. Boetes kunnen oplopen tot 250.000 CHF per overtreding. Leidinggevenden, IT-verantwoordelijken en betrokken medewerkers zijn persoonlijk blootgesteld. De meest sanctioneerbare overtredingen: betrokkenen niet informeren, een datalek niet melden, of de regels inzake individuele geautomatiseerde beslissingen schenden. Er moet een klacht worden ingediend om een procedure in gang te zetten. Het reputatierisico is vaak zorgwekkender dan de boete zelf.

Zijn de nDSG en de GDPR tegelijkertijd van toepassing op mijn Zwitsers bedrijf?

Dat hangt af van uw activiteit. Als u gegevens van EU-ingezetenen verwerkt (klanten, partners, prospects), is de GDPR op die verwerkingen van toepassing, ongeacht of uw bedrijf in Zwitserland is gevestigd. De nDSG is van toepassing op alle verwerkingen van gegevens van personen in Zwitserland. In de praktijk moeten veel Zwitserse bedrijven beide kaders naleven. Goed nieuws: beide zijn grotendeels op elkaar afgestemd en een goed opgebouwde compliancebeleid dekt beide, mits rekening wordt gehouden met de enkele verschillen (sancties, FG, meldingstermijnen).

Is de Europese AI Act van toepassing op in Zwitserland gevestigde bedrijven?

De AI Act van de EU is niet rechtstreeks van toepassing in Zwitserland, dat geen EU-lid is. Als uw bedrijf echter AI-systemen op de Europese markt brengt, of als uw systemen gevolgen hebben voor personen in de EU, kunnen de regels van de AI Act op u van toepassing zijn. Zwitserland heeft daarnaast het Verdrag van de Raad van Europa over AI ondertekend (maart 2025), waarvan de ratificering aanvullende verplichtingen zal invoeren, met name voor AI-systemen met een hoog risico.

Hoe kiest u een AI-aanbieder die voldoet aan de nDSG?

Drie belangrijkste criteria: de locatie van de gegevens (geef de voorkeur aan servers in Zwitserland of de EU/EER om ongeregelde internationale overdrachten te vermijden), het beleid inzake hergebruik van gegevens (gebruikt de aanbieder uw gegevens om zijn modellen te trainen? Zo ja, op welke wettelijke grondslag?), en contractuele transparantie (kan de aanbieder u een register van subverwerkers, een DPA en gedocumenteerde beveiligingsgaranties verstrekken?). Open-source modellen die op uw eigen infrastructuur of op een Europese infrastructuur zijn ingezet, bieden doorgaans het beste antwoord op deze drie criteria.

Is de nDSG van toepassing op intern ingezette open-source AI-modellen?

Ja. De nDSG is van toepassing op de verwerkingsverantwoordelijke, dat wil zeggen uw bedrijf, ongeacht de aard van het model (open source of propriëtair, intern of bij een derde gehost). Als uw open-source model persoonsgegevens verwerkt, zijn alle verplichtingen van de nDSG van toepassing: informatie, minimalisering, beveiliging, DPIA indien hoog risico, enz. Het voordeel van intern ingezet open source is juist dat u volledige controle heeft over de gegevens en het risico van ongewenste overdracht aan een derde wordt geëlimineerd.

Een AI-project dat uw gegevens respecteert?

Laten we het over uw geval hebben. We bouwen met respect voor de gegevensresidentie.

Vraag een Demo op Maat aan

Vertel ons over je team en we nemen binnen 24 uur contact op.

We delen je informatie nooit. Verwacht een reactie binnen 24 uur.

AI en LPD/nLPD in Zwitserland | Wat dit betekent (gids)