Een Belgisch adviesbureau ontdekte tijdens een GDPR-audit dat hun AI-planningssysteem klantfactuurdata opsloeg op servers buiten de EU. De leverancier had dit niet actief vermeld. De boete was te vermijden geweest.
Compliance checklist voor AI-financiële systemen
1. Verwerkersovereenkomst aanwezig — Elke leverancier die financiële data verwerkt, moet een geldige verwerkersovereenkomst tekenen conform de AVG. Controleer of dit document up-to-date is.
2. Datalocatie bevestigd — Vraag schriftelijk bevestiging waar de data wordt opgeslagen en verwerkt. Servers buiten de EER vereisen aanvullende juridische safeguards.
3. Bewaarbeleid afgestemd op wettelijke termijnen — Belgische boekhoudwetgeving vereist bewaring van zeven jaar. Controleer of het systeem dit respecteert en geen data eerder verwijdert.
4. Auditlog beschikbaar — Kan het systeem aantonen welke gebruiker welke prognose heeft geraadpleegd of gewijzigd? Voor interne controle en externe audits is dit vereist.
5. Toegangsbeheer per rol ingesteld — Niet elke medewerker heeft toegang nodig tot alle financiële prognoses. Controleer of het systeem rolgebaseerde toegang ondersteunt en of dit correct is geconfigureerd.
Compliance kost tijd bij de start. Een datalek of boete kost altijd meer.