Data Protection Impact Assessment (DPIA)
OrgGPT - Platform
Managementsamenvatting
Deze Data Protection Impact Assessment (DPIA) is uitgevoerd voor het OrgGPT-platform, een veilige AI-werkplek voor organisaties. Het platform verwerkt persoonsgegevens ten behoeve van AI-gestuurde dienstverlening aan klanten in de zorg, het mkb en het bedrijfsleven.
Conclusie: Na grondige analyse concluderen wij dat de verwerkingen binnen het OrgGPT-platform voldoen aan de vereisten van de AVG, mits de aanbevolen maatregelen worden geïmplementeerd. De restrisico's zijn acceptabel.
1. Beschrijving van de gegevensverwerking
OrgGPT is een AI-platform dat organisaties in staat stelt om veilig gebruik te maken van kunstmatige intelligentie. Het platform biedt een afgeschermde omgeving waarin medewerkers AI-tools kunnen gebruiken zonder dat gevoelige bedrijfsgegevens het platform verlaten.
| Verwerkingsverantwoordelijke | CivAI B.V. i.o. (voor eigen verwerkingen) / Klant (voor platformgebruik) |
| Verwerker | CivAI B.V. i.o. (OrgGPT) |
| Aard van de verwerking | AI-gestuurde tekstverwerking, documentanalyse, chatinteracties |
| Locatie gegevensverwerking | Uitsluitend binnen de EU (Nederland/Duitsland) |
| Bewaartermijn | AI-interacties: 30 dagen (configureerbaar), Accountgegevens: duur contract + 3 maanden |
2. Persoonsgegevens
2.1 Betrokken persoonsgegevens
Accountgegevens
- • Naam
- • E-mailadres
- • Functietitel
- • Organisatie
Technische gegevens
- • IP-adres
- • Browser/apparaat info
- • Inlogtijden
- • Sessiegegevens
Gebruiksgegevens
- • AI-prompts en responses
- • Geüploade documenten
- • Chatgeschiedenis
- • Gebruiksstatistieken
Mogelijk bijzondere gegevens
- • Afhankelijk van klantinvoer
- • Zie sectie 9 voor waarborgen
3. Verwerkingsdoeleinden
| Doeleinde | Grondslag | Noodzaak |
|---|---|---|
| Leveren AI-diensten | Overeenkomst | Noodzakelijk |
| Accountbeheer | Overeenkomst | Noodzakelijk |
| Beveiliging & fraudepreventie | Gerechtvaardigd belang | Noodzakelijk |
| Productverbetering (geanonimiseerd) | Gerechtvaardigd belang | Wenselijk |
| Wettelijke verplichtingen | Wettelijke plicht | Verplicht |
4. Betrokken partijen
Betrokkenen
- • Medewerkers van klantorganisaties
- • Beheerders
- • Websitebezoekers
Verwerkingsverantwoordelijke
- • CivAI B.V. i.o. (eigen verwerkingen)
- • Klantorganisaties (platformgebruik)
Subverwerkers
- • EU Hostingproviders
- • AI-infrastructuur (EU)
- • Betalingsverwerkers
5. Technische en organisatorische maatregelen
Technische maatregelen
- • End-to-end encryptie (TLS 1.3)
- • Encryptie at rest (AES-256)
- • Multi-factor authenticatie
- • Role-based access control
- • Audit logging
- • Automatische sessie-timeout
- • DDoS-bescherming
- • Penetratietests
Organisatorische maatregelen
- • Privacy by Design & Default
- • Verwerkersovereenkomsten
- • Geheimhoudingsverklaringen
- • Security awareness training
- • Incidentresponsplan
- • Regelmatige audits
- • Documentatiebeheer
- • Functionaris Gegevensbescherming
6. Beoogde risico's
| Risico | Kans | Impact | Maatregel |
|---|---|---|---|
| Datalek door cyberaanval | Laag | Hoog | Encryptie, monitoring, pentests |
| Onbevoegde toegang | Laag | Medium | MFA, RBAC, audit logs |
| Dataverlies | Zeer laag | Medium | Backups, redundantie |
| Doorgifte buiten EU | Geen | N.v.t. | EU-only infrastructuur |
| AI-training met klantdata | Geen | N.v.t. | Contractueel uitgesloten |
7. Rechten van betrokkenen
Betrokkenen kunnen de volgende rechten uitoefenen:
Verzoeken kunnen worden ingediend via privacy@orggpt.nl. Reactietermijn: 30 dagen.
8. Risicobeoordeling
8.1 Methodologie
De risicobeoordeling is uitgevoerd conform de richtlijnen van de European Data Protection Board (EDPB) en de Autoriteit Persoonsgegevens. Risico's zijn beoordeeld op basis van kans × impact.
8.2 Risicomatrix
8.3 Conclusie
Restrisico: LAAG
Na implementatie van alle technische en organisatorische maatregelen is het restrisico voor betrokkenen acceptabel. De verwerking kan doorgang vinden.
9. Bijzondere persoonsgegevens (Artikel 9 AVG)
Aandachtspunt
Klanten kunnen mogelijk bijzondere persoonsgegevens invoeren in het platform (bijv. gezondheidsgegevens in de zorgsector). OrgGPT verwerkt deze data uitsluitend als verwerker onder instructie van de klant.
Waarborgen
- Verwerkersovereenkomst met specifieke bepalingen voor bijzondere gegevens
- Extra encryptieniveau voor gevoelige data
- Strikte toegangscontroles
- NEN 7510 compliance traject (voor zorgklanten)
10. Doeltreffendheid en noodzakelijkheid
| Doeltreffendheid | De verwerking is noodzakelijk om AI-diensten te leveren die voldoen aan strenge privacy- en beveiligingseisen. |
| Noodzakelijkheid | Alleen strikt noodzakelijke gegevens worden verwerkt. Dataminimalisatie is toegepast. |
| Proportionaliteit | De maatregelen zijn proportioneel aan de risico's. Geen overmatige verwerking. |
| Alternatieven | Er zijn geen minder ingrijpende alternatieven die dezelfde functionaliteit bieden. |
11. Aanbevelingen en implementatie
12. Planning en mijlpalen
| Mijlpaal | Datum | Status |
|---|---|---|
| DPIA opstellen | Q4 2025 | Afgerond |
| Technische maatregelen | Q4 2025 | Afgerond |
| SOC 2 Type II audit | Q1 2026 | Gepland |
| ISO 27001 / NEN 7510 | Q2 2026 | Gepland |
| DPIA herziening | Q4 2026 | Toekomstig |
13. Juridisch kader
Deze DPIA is opgesteld conform:
- Algemene Verordening Gegevensbescherming (AVG/GDPR)
- Uitvoeringswet AVG (UAVG)
- EU AI Act (Verordening 2024/1689)
- Richtlijnen Autoriteit Persoonsgegevens
- EDPB Guidelines on DPIA
14. Document goedkeuring
Opgesteld door
CivAI B.V. i.o.
Datum
1 januari 2026
Versie
1.0
Volgende herziening
Q4 2026
Status
Goedgekeurd© 2026 CivAI B.V. i.o. Alle rechten voorbehouden.