Uw vrachtwagens rijden. Uw chauffeurs scannen. Uw GPS trackt. Elke rit laat een digitale stroom achter: wie reed waar, hoe snel, hoe lang, met welke lading en voor welke klant. Dat is de operationele data die uw bedrijf draaiende houdt — maar het is ook persoonsdata. En een deel ervan is juridisch verplichte data.
Voor veel transportbedrijven begint het gesprek over AI bij de vraag: “Kan ik mijn routeplanning automatiseren?” Het gesprek dat eerder gevoerd moet worden, is: “Wat verwerk ik al, voor wie, op wiens servers — en wat zijn mijn verplichtingen?” Die volgorde maakt het verschil tussen een nuttige tool en een juridisch risico.
Uw chauffeur is uw meest gemonitorde werknemer
Continue GPS-tracking, tachograafdata, rijgedragscores, pauzeregistratie: de hoeveelheid persoonsdata die u dagelijks verwerkt over uw chauffeurs overtreft die van vrijwel elke andere medewerker in een kmo. De AVG vereist een geldige rechtsgrondslag voor die verwerking — doorgaans gerechtvaardigd belang voor operationele doeleinden — maar die rechtsgrond kent duidelijke grenzen.
Proportionaliteit is het sleutelwoord. Locatiedata die u verzamelt voor ritplanning en klantenservice, mag u niet zomaar inzetten voor functioneringsgesprekken of ontslagprocedures. Uw chauffeurs hebben het recht te weten welke data wordt verzameld, voor welk doel, hoe lang die bewaard wordt en wie er toegang toe heeft. Weten dat er een GPS in de truck zit, is niet hetzelfde als weten dat hun locatiedata drie jaar bewaard wordt op een server buiten de EU en wordt gebruikt voor AI-modeltraining. Dat onderscheid is juridisch relevant.
In België gelden bovendien specifieke cao-verplichtingen: de invoering van monitoringsystemen vereist informatie en raadpleging van het CPBW (Comité voor Preventie en Bescherming op het Werk). In Nederland bevat de cao Transport Nederlandse Ondernemingen bepalingen over het gebruik van GPS-data voor beoordelingsdoeleinden. FEBETRANS en TLN publiceren hierover sectorrichtlijnen die in de praktijk als referentie worden gebruikt.
De AI Act maakt het concreet: Bijlage III, punt 4
Zodra u AI inzet om het rijgedrag van uw chauffeurs te analyseren — remgedrag, snelheidsprofiel, bochtengedrag — en die analyse op enige manier doorwerkt in een beoordeling of beslissing over die chauffeur, bent u de inzetter van een hoog-risico AI-systeem onder AI Act Bijlage III, punt 4: werkgelegenheid en beheer van werknemers.
Dat heeft concrete gevolgen. U moet het systeem documenteren. U moet transparant zijn tegenover uw chauffeurs over hoe de AI werkt en welke beslissingen ze beïnvloedt. U moet menselijk toezicht waarborgen: een score die automatisch doorgestuurd wordt naar HR zonder menselijke beoordeling is problematisch. Een chauffeur die een slechte rijgedragscore krijgt, heeft het recht te begrijpen op welke basis die score tot stand is gekomen.
Het gebruik van de scores bepaalt het juridische risico — niet het systeem zelf. Rijgedraganalyse ingezet als veiligheidscoaching is één ding. Diezelfde scores gebruiken bij loononderhandelingen of ontslagprocedures is een ander juridisch domein, met cao-verplichtingen die gerespecteerd moeten worden.
“Jouw klantadressen, jouw leveringspatronen, jouw rijtijden — dat is operationele kennis die jij over jaren hebt opgebouwd. Als je die verwerkt via een cloudplatform, draag je die kennis over aan een systeem dat ook de data van je concurrent verwerkt. Jouw routeoptimalisatiemodel wordt gedeeld inzicht.”
Hoe het misgaat met een cloudplatform
Een transportbedrijf van dertig chauffeurs stapt over op een modern cloudplatform voor fleetmanagement — routeplanning, rijgedragscoring en klantenservice in één omgeving. Het platform is gecertificeerd. De provider “regelt de AVG-compliance”.
Maar: de GPS-positie van elke chauffeur wordt elke dertig seconden gestreamd naar servers buiten de EU. De rijgedragscore wordt dagelijks berekend op basis van geaggregeerde platformdata — inclusief de historische data van uw chauffeurs, die nu meetraint aan een model dat door concurrenten gebruikt wordt. Bij een datalek bij de provider bent u meldingsplichtig: u bent de verwerkingsverantwoordelijke, niet de provider. Als de Sociale Inspectie toegang vraagt tot de tachograafdata van een bestuurder, staat die data op servers die u niet beheert. En als een vakbondsvertegenwoordiger de documentatie van het AI-scoremodel opvraagt namens een chauffeur met een slechte beoordeling, kunt u die niet leveren.
De provider is een verwerker. U bent de verwerkingsverantwoordelijke. Een verwerkersovereenkomst verdeelt de verantwoordelijkheid — ze heft ze niet op. De aansprakelijkheid bij een datalek, de meldingsplicht bij de autoriteit en de verantwoording tegenover uw chauffeurs: die blijven bij u.
Drie stappen die het verschil maken
Lokale AI lost niet alles automatisch op, maar het geeft u de controle terug die u wettelijk al moet hebben. Routeoptimalisatie op basis van uw eigen klantadressen en historische rijtijden, tachograafcompliance gecontroleerd op uw eigen server, rijgedraganalyse die uw netwerk niet verlaat — dat is de architectuur die zowel AVG- als AI Act-compliance beheersbaar maakt.
Stap 1: Breng uw verwerkingen in kaart. Welke data verwerkt u over uw chauffeurs? Waar staat die data? Wie heeft er toegang toe, intern en extern? Voor elke verwerking: wat is de rechtsgrond, hoe lang wordt de data bewaard en voor welk doel mag ze worden gebruikt? Dit register is geen bureaucratische oefening — het is de basis van iedere AVG-verdediging bij een inspectie of datalek.
Stap 2: Scheid compliance-data van analyse-data. Tachograafdata bewaren voor de Sociale Inspectie is een wettelijke verplichting onder Verordening (EG) 561/2006. Diezelfde data invoeren in een AI-model voor rijgedragscoring is een aparte verwerking — met een eigen rechtsgrond, eigen documentatieplicht en eigen AI Act-verplichtingen. Die twee vallen niet automatisch samen, ook al gaat het om dezelfde bron.
Stap 3: Kies bewust voor lokale verwerking van werknemersdata. GPS-locatiedata en tachograafdata horen op een goed beveiligde omgeving die u zelf beheert. Routeoptimalisatie en compliance-analyse kunnen lokaal draaien — uw operationele intelligence hoeft geen extern platform te voeden. De meeste bedrijfsspecifieke waarde zit in uw eigen data: uw klantadressen, uw tijdvensters, uw historische levertijden. Die waarde hoeft de onderneming niet te verlaten.