Compliance- en Gegevensresidentiehandleiding voor Slimme Verwerking
Stand: 03.09.2025 • Leestijd: ~12 minuten
Deze handleiding legt uit hoe Slimme Verwerking externe AI-diensten gebruikt, welke compliance-eisen per land/regio relevant zijn en hoe u voldoet aan de vereisten door middel van regionale levering (Gegevensresidentie) en configureerbare opties.
Belangrijke Opmerking (geen juridisch advies)
Dit artikel biedt geen juridisch advies. Controleer de vereisten met uw juridische/gegevensbeschermingsafdeling en sluit de noodzakelijke contracten (bijv. DPA, SCC's) met uw verwerkers/subverwerkers.
Overzicht: Welke externe AI-diensten gebruikt Slimme Verwerking?
Slimme Verwerking kan – afhankelijk van de geconfigureerde workflow – de volgende Microsoft-diensten gebruiken:
| Doel | Dienst | Kernpunten over gegevensverwerking |
|---|---|---|
| Classificeren/Extraheren (Documenten) | Azure AI Document Intelligence | Verwerking in de regio van uw dienstbronlocatie; Invoer/resultaten worden tijdelijk versleuteld opgeslagen en binnen 24 uur verwijderd. Aangepaste modellen blijven in uw regio/abonnement. (Microsoft Learn) |
| Classificeren/Extraheren (generiek, multimodaal) | Azure AI Content Understanding | Verwerking in de regio van de Content Understanding-bronlocatie; Gegevens worden tijdelijk versleuteld opgeslagen in Azure Storage en indien nodig doorgegeven aan Azure OpenAI voor verdere verwerking (binnen het servicekader). (Microsoft Learn) |
| Generatief KI-model / Matching-logica | Azure OpenAI Service | Prompts/outputs worden niet gebruikt voor het trainen van OpenAI- of Azure-modellen; Verwerking binnen de gekozen geografie (tenzij bij Global/DataZone-implementaties, zie hieronder); optionele misbruikmonitoring-logs, regio-specifieke gegevenstoegang. (Microsoft Learn) |
Aanbeveling
Maak alle AI-bronnen (OpenAI, Document Intelligence, Content Understanding) in de doelgeografie aan waar uw gegevens moeten blijven (bijv. EU). Gebruik voor strikte gegevensresidentie geen Global-implementaties (zie hieronder). (Microsoft Learn, Microsoft Azure)
Gegevensstromen & Gegevenstypen in Slimme Verwerking
| Gegevenstype | Voorbeelden | Typische stroom |
|---|---|---|
| Documentinhoud | PDF, afbeelding, e-mailbijlage, XML | Upload → Classificatie/Extractie (DI/CU) → Resultaten terug in BC; bij DI/CU regionale verwerking, tijdelijke opslag, tijdige verwijdering. (Microsoft Learn) |
| Geëxtraheerde velden/metadata | Header-/regelvelden, bedragen, ID's | Teruggeven aan Slimme Verwerking; Gebruik in sjablonen/matching; optionele archivering in Document Central. |
| KI-prompts/outputs | Toewijzingsvoorstellen, validatie-instructies | Verwerkt via Azure OpenAI; geen trainingsdoel; Verwerking in de gekozen geografie (geen gegevensoverdracht naar OpenAI.com). (Microsoft Learn) |
| Logboeken/diagnostiek | Status, fouten, misbruikmonitoring | Servicezijde (Azure) mogelijk tijdelijke opslag/review bij verdenking; opties voor uitschakelen/aanpassen beschikbaar. (Microsoft Learn) |
Rollen & Verantwoordelijkheden (typisch GDPR-model)
- Uw bedrijf: Verantwoordelijke (Controller) voor de verwerkte persoonsgegevens.
- Simova-oplossing/Slimme Verwerking: Verwerker (Processor) binnen uw BC-omgeving.
- Microsoft (Azure-diensten): Sub-verwerker, die de geconfigureerde AI-functies levert (Azure OpenAI, DI, CU).
- Contracten & garanties: Sluit/controleer DPA (Microsoft Products and Services DPA) en bij gegevensoverdrachten naar derde landen de Standaardcontractbepalingen (SCC's). (Microsoft Learn, Europese Commissie)
Regio & Gegevensresidentie: zo blijven gegevens "thuis"
Azure-principe
De meeste Azure-diensten stellen u in staat om de regio/geo voor opslag en verwerking vast te stellen. Microsoft slaat/verwerkt klantgegevens niet buiten de gekozen geo, behalve voor veerkracht binnen deze geo. (Microsoft Azure)
EU-specifieke punten
Met de Microsoft EU Data Boundary worden klantgegevens en persoonsgegevens voor Microsofts Enterprise-online diensten (o.a. Azure, Dynamics 365) binnen de EU verwerkt/opgeslagen. (Microsoft Learn, Microsoft)
Dienst-specifieke punten
-
Azure OpenAI
-
Prompts/outputs niet voor trainingsdoeleinden, geen overdracht aan OpenAI.com; Verwerking in uw geografie, tenzij bij Global of DataZone-implementaties (dan verwerking in de betreffende zone, gegevens at rest blijven in uw geo). (Microsoft Learn)
-
Optie misbruikmonitoring-logboek aanpassen/uitschakelen (op aanvraag); voor EER-implementaties worden eventuele menselijke reviews uitgevoerd door medewerkers in de EER. (Microsoft Learn)
-
Document Intelligence
-
Verwerking in de regio van de bron; tijdelijke (regionale) opslag voor asynchrone analyse; verwijdering binnen 24 uur; Aangepaste modellen blijven in uw regio/abonnement. (Microsoft Learn)
-
Content Understanding
-
Verwerking in de regio; Gegevens worden tijdelijk versleuteld opgeslagen in Azure Storage en vervolgens binnen het servicekader (o.a. Azure OpenAI) verder verwerkt. Let op Preview-beperkingen/regio's. (Microsoft Learn)
Juridische kaders (selectie)
| Rechtsgebied | Kernthema | Betekenis voor u |
|---|---|---|
| EU (GDPR) | Gegevensoverdrachten naar derde landen | Gebruik SCC's/geschikte garanties; controleer DPA & Transfer-Impact-Assessment. (Europese Commissie) |
| EU (AI Act) | Fasegewijze toepassing (eerste verboden 02.02.2025, uitgebreide verplichtingen 02.08.2026) | Controleer of uw gebruiksgevallen hoog risico zijn en of GPAI-transparantieverplichtingen van toepassing zijn. (DLA Piper, Digitale Strategie Europa) |
| VK (UK GDPR) | Internationale overdrachten | Gebruik IDTA/Addendum en BCR's voor overdrachten naar derde landen. (ICO) |
| Zwitserland (nFADP) | Gewijzigde gegevensbeschermingswet sinds 01.09.2023 | Controleer informatieverplichtingen, DSFA, verwerkingsovereenkomsten, overdrachten naar derde landen. (KMU.admin.ch) |
| VS (Californië, CCPA/CPRA) | Rechten van betrokkenen/Opt-out | Let op informatieverplichtingen, verwijderverzoeken, opt-out-mechanismen (indien van toepassing). (Justitie ministerie Californië, cppa.ca.gov) |
Configuratie-checklist (aanbevolen)
- Regio keuze vaststellen
- Maak alle AI-bronnen (OpenAI, DI, CU) aan in de doel-geo (bijv. EU). Vermijd "Global" voor strikte gegevensresidentie; gebruik DataZone alleen als de zone aan uw compliance voldoet. (Microsoft Learn, Microsoft Azure)
- Gegevensminimalisatie
- Alleen noodzakelijke velden vastleggen; gevoelige velden maskeren/overschrijven waar mogelijk.
- Misbruikmonitoring controleren (Azure OpenAI)
- Logboekstatus controleren en – indien goedgekeurd – uitschakelen/aanpassen; documenteer de instelling. (Microsoft Learn)
- Versleuteling & sleutelbeheer
- Standaard: TLS 1.2+ in Transit, AES-256 at Rest; optioneel CMK gebruiken, waar beschikbaar. (Microsoft Learn)
- Verwijdertermijnen & Retentie
- DI: automatische verwijdering doorgaans binnen 24 uur; OpenAI/BC-Copilot: kortstondige opslag mogelijk (bijv. misbruikmonitoring tot 24 uur) – intern documenteren. (Microsoft Learn)
- Contractuele waarborg
- DPA (Microsoft), SCC's voor overdrachten naar derde landen, verwerkersovereenkomsten met partners. (Microsoft Learn, Europese Commissie)
- EU-Data-Boundary gebruiken (indien EU-scope)
- Controleer of alle gebruikte Microsoft-diensten onder de EU Data Boundary vallen. (Microsoft Learn, Microsoft)
Veelgestelde vragen (FAQ)
Worden onze gegevens gebruikt voor training?
Bij Azure OpenAI worden Prompts/Outputs/Embeddings niet gebruikt voor het trainen van OpenAI- of Azure-modellen en zijn niet toegankelijk voor andere klanten of OpenAI. (Microsoft Learn)
Blijven documenten in de EU als we EU-bronnen gebruiken?
Document Intelligence en Content Understanding verwerken in de regio van de bron; Azure OpenAI verwerkt in de gekozen geografie (let op Global/DataZone-implementaties). (Microsoft Learn)
Hoe adresseren we EU-overdrachten juridisch?
Gebruik SCC's/geschikte garanties voor derde landen; in het VK gebruikt u IDTA/Addendum. (Europese Commissie, ICO)
Slaat Simova GmbH gegevens op?
Nee. Wij verwerken geen gegevens buiten uw Business Central-omgeving.