AI Act en AVG: hoe verhouden ze zich tot elkaar?

Bijgewerkt: juni 2026

Inleiding: twee regelgevingen, één praktijk

Organisaties die hoog-risicorisicoIn de termen van de EU AI Act de combinatie van de waarschijnlijkheid dat een schade optreedt en de ernst ervan als dat gebeurt. De schakel tussen een principe (via de schade die het zou schenden) en een control (de maatregel die het vermindert). Het benoemen van de schade en het inschatten van het risico is op grond van Art. 9 vereist voordat een maatregel wordt gekozen. Zie schade, control, restrisico.Open full entry → AI inzetten worden geconfronteerd met twee overlappende maar niet identieke regelgevingskaders: de EU AI Act (Verordening (EU) 2024/1689) en de Algemene Verordening Gegevensbescherming (AVG/GDPR). Beide zijn EU-recht, beide worden gehandhaafd door nationale autoriteiten, en beide richten zich op de bescherming van grondrechten. Maar ze hanteren verschillende concepten, verplichten verschillende assessments en kennen verschillende sanctieregimes.

Deze gids analyseert de samenloop systematisch: waar gelden verplichtingen cumulatief, waar vullen ze elkaar aan, en waar kunnen ze botsen.

Benodigde voorkennis

U heeft basiskennis van zowel de EU AI Act (deployer-verplichtingen Art. 26) als de AVG (grondrechten, verwerkersverhoudingen, DPIADPIAData Protection Impact Assessment, vereist vóór verwerking met waarschijnlijk hoog risico (systematische profilering met aanzienlijke gevolgen, grootschalige bijzondere categorieën, publieke monitoring); AI-ontwikkeling roept het voortdurend op. Zie impactassessment, profilering.Open full entry →, betrokkenenrechten). Als u nog niet vertrouwd bent met een van beide, lees dan eerst de betreffende basisartikelen.

Stap 1: begrijp de kernverschillen

Aspect	AVG	EU AI Act
Beschermd belang	Privacy en persoonsgegevens	Bredere grondrechten (ook veiligheid, non-discriminatie)
Reikwijdte	Alle verwerking van persoonsgegevens	AI-systemen (ook zonder persoonsgegevens)
Kernverplichting	Rechtmatige grondslag, informatie, beveiliging	Risicoklasse-afhankelijke compliance
Assessment	DPIA (Art. 35 AVG)	FRIAFRIAFundamental Rights Impact Assessment, vereist van publieke organen en bepaalde private gebruiksverantwoordelijken voordat ze sommige hoog-risico-AI-systemen onder de EU AI Act gebruiken. Zie grondrechten-impactassessment, gebruiksverantwoordelijke.Open full entry → (Art. 27 EU AI Act)
Toezichthouder NL	Autoriteit Persoonsgegevens (AP)	Aangewezen markttoezichthouder(s), gecoördineerd door de AP
Maximale boete	€20 mln / 4% omzet (Art. 83.5 AVG)	€35 mln / 7% omzet (Art. 99.3 EU AI Act)

Stap 2: identificeer de overlappende verplichtingen

A. TransparantietransparantieOpenheid over het feit dát AI wordt gebruikt en hoe het in het algemeen werkt: openbaarmakingen, documentatie, kennisgevingen. Vormt een paar met uitlegbaarheid, die over individuele uitkomsten gaat. Zie uitlegbaarheid, principe.Open full entry → (cumulatief)

AVG Art. 13/14 verplichten informatie bij het verzamelen van persoonsgegevens. EU AI Act Art. 26.7 verplicht informatie over het gebruik van hoog-risico AI. Beide moeten worden nageleefd maar kunnen worden gecombineerd in één communicatiemoment. Controleer dat uw privacyverklaring én uw AI-transparantiedocumentatie op elkaar zijn afgestemd.

B. Geautomatiseerde besluitvorminggeautomatiseerde besluitvormingBeslissingen die uitsluitend op geautomatiseerde verwerking berusten en rechtsgevolgen of vergelijkbaar aanzienlijke gevolgen hebben, door AVG-artikel 22 beperkt tot drie uitzonderingsgronden, met waarborgen voor menselijke tussenkomst. Zie profilering, menselijk toezicht.Open full entry → (cumulatief)

AVG Art. 22 geeft betrokkenenbetrokkenenDe individuen of groepen die onderworpen zijn aan of geraakt worden door de uitkomsten of beslissingen van een AI-systeem, en wier rechten het governance-regime beoogt te beschermen. Zie schade, belanghebbendenanalyse.Open full entry → het recht om niet te worden onderworpen aan volledig geautomatiseerde beslissingen met significante gevolgen. EU AI Act Art. 26.2 verplicht menselijk toezichtmenselijk toezichtHet ingebouwde vermogen van een mens om een AI-systeem te monitoren, erin in te grijpen, het te overrulen of stil te leggen, alleen betekenisvol wanneer de mens de bevoegdheid, de informatie en de tijd heeft om te handelen. Zie principe, human-in-the-loop, human-on-the-loop.Open full entry → bij hoog-risico AI. Art. 26.2-compliance leidt automatisch tot Art. 22 AVG-compliance (menselijk toezicht = geen volledig geautomatiseerde besluitvorming), mits het toezicht reëel is en niet louter formeel.

C. Datakwaliteit (cumulatief)

AVG Art. 5.1.d vereist dat persoonsgegevens juist zijn. EU AI Act Art. 26.4 vereist dat inputdata voldoet aan de provider-specificaties. Bij AI-systemen die persoonsgegevens verwerken, lopen deze verplichtingen parallel. Een onjuiste persoonsgegeven als inputdata is zowel een AVG-overtreding als een Art. 26.4-overtreding.

D. Logretentie (cumulatief met spanning)

EU AI Act Art. 26.6 verplicht logs minimaal 6 maanden te bewaren. AVG Art. 5.1.e vereist minimale gegevensretentie (zo kort mogelijk bewaren). Bij hoog-risico AI die persoonsgegevens logt, moeten beide principes worden gebalanceerd via pseudonimiseringpseudonimiseringIdentificerende velden vervangen zodat data niet aan een persoon kan worden toegeschreven zonder afzonderlijke informatie, een minimalisatie- en beveiligingstechniek die data onder de AVG persoonsgegevens houdt. Zie dataminimalisatie.Open full entry → (zie ook het Art. 26.6-artikel).

Stap 3: combineer DPIA en FRIA efficiënt

De DPIA (AVG Art. 35) en FRIA (EU AI Act Art. 27) overlappen inhoudelijk maar zijn juridisch afzonderlijk. In de praktijk worden ze best gecombineerd uitgevoerd:

Gecombineerd assessment-document:

1. Beschrijving van de verwerking/het AI-systeemAI-systeemEen machinaal systeem dat voor expliciete of impliciete doelen uit invoer afleidt hoe het uitvoer genereert, voorspellingen, inhoud, aanbevelingen of beslissingen, die fysieke of virtuele omgevingen kunnen beïnvloeden. De OESO-achtige definitie die de EU AI Act volgt. Zie algoritme, machine learning.Open full entry → (gedeeld)
2. AVG-component: doelbinding, grondslag, dataminimalisatiedataminimalisatieAlleen data verwerken die toereikend, ter zake dienend en noodzakelijk is, in ML uitgevoerd via pseudonimisering, kenmerkselectie, synthetische data en privacyverhogende technieken. Zie pseudonimisering, bijzondere categorieën persoonsgegevens.Open full entry →, bewaartermijnen
3. EU AI Act-component: grondrechten-analyse per Handvest-artikel
4. Gecombineerde risicomatrix: privacyrisico's én bredere grondrechtenrisico's
5. Gecombineerde mitigaties: Art. 26-maatregelen dekken vaak beide regelgevingskaders
6. DPO-raadpleging (verplicht voor DPIA, aanbevolen voor FRIA)

Voordeel: één document, één review-cyclus, één oplevering. Nadeel: het document wordt complexer, zorg voor duidelijke sectiemarkeringen (AVG vs. EU AI Act) zodat beide autoriteiten snel de voor hen relevante secties kunnen vinden.

Stap 4: navigeer de toezichthouder-verhoudingen

In Nederland houden meerdere autoriteiten toezicht op AI:

• AP: toezicht op de AVG, inclusief het gebruik van persoonsgegevens in AI-systemen, en coördinerende rol voor het AI-toezicht
• Aangewezen markttoezichthouders: toezicht op de EU AI Act binnen hun eigen sector of domein

Deze autoriteiten werken samen maar zijn afzonderlijke instanties. Bij een incident dat beide regelgevingskaders raakt (bijv. een AI-systeem dat discriminerende beslissingen neemt op basis van biased persoonsgegevens), kunnen meerdere autoriteiten onderzoek doen. Coördineer meldingen en communicatie.

Praktisch: Als u wordt benaderd door de AP over een hoog-risico AI-systeem, informeer dan ook uw contactpersoon bij de bevoegde markttoezichthouder (indien aanwezig) en vice versa.

Stap 5: borgen van betrokkenenrechten

De AVG geeft betrokkenen een reeks rechten bij AI-verwerkingen:

• Recht op inzage (Art. 15 AVG): betrokkenen kunnen de persoonsgegevens opvragen die u in een AI-beslissing heeft gebruikt. Zorg dat u deze data snel kunt leveren vanuit uw logs.
• Recht op rectificatie (Art. 16 AVG): als onjuiste data is gebruikt in een AI-beslissing, heeft de betrokkene het recht op correctie. Implementeer een procedure voor herbeoordeling na rectificatie.
• Recht van bezwaar (Art. 21 AVG): bij verwerking op basis van gerechtvaardigd belang. Hoe gaat u om met bezwaar tegen een AI-beslissing?
• Recht op uitleg (Art. 22 AVG): bij geautomatiseerde besluitvorming heeft de betrokkene recht op een "zinvolle uitleg" van de logica. Dit vereist dat uw toezichthouders de AI-beslissing kunnen uitleggen, niet alleen "het systeem zei X".

Combineer uw procedure voor betrokkenenrechten: een inzageverzoek kan zowel AVG- als EU AI Act-informatie vereisen. Zorg dat uw privacy-officer en AI-compliance-officer samenwerken bij de afhandeling.

Stap 6: verwerkersovereenkomsten en leveranciersketens

Bij het inzetten van hoog-risico AI via een SaaS-leverancier heeft u twee contracten nodig:

• Verwerkersovereenkomst (AVG Art. 28): als de leverancier persoonsgegevens verwerkt namens u. Bevat: doeleinden, verwerkte gegevenssoorten, beveiligingsmaatregelen, subverwerkers, auditrecht.
• AI Act-leveranciersovereenkomst: bevat de Art. 13.3-gebruiksinstructies, de Art. 5-garantie, de notificatieplicht bij updates, en de conformiteitsverklaringconformiteitsverklaringDe ondertekende verklaring van de aanbieder dat een hoog-risico-AI-systeem aan de eisen van de AI Act voldoet, opgesteld voordat het systeem op de markt wordt gebracht. Zie aanbieder, conformiteitsbeoordeling.Open full entry →.

In de praktijk worden deze twee contracten soms gecombineerd of aan elkaar gekoppeld. Zorg dat beide aspecten volledig zijn gedekt.

Veelgestelde vragen

V: Wij hebben al een AVG-compliance-programma. Hoeveel extra werk is de EU AI Act?
A: De EU AI Act voegt verplichtingen toe die de AVG niet dekt: Art. 4 AI-geletterdheidAI-geletterdheidVoldoende begrip van de werking, mogelijkheden en risico's van AI voor de eigen rol, een expliciete verwachting voor medewerkers van aanbieders en gebruiksverantwoordelijken onder de EU AI Act. Zie aanbieder, gebruiksverantwoordelijke.Open full entry →, Art. 26.1 gebruiksinstructies, Art. 26.2 menselijk toezicht, Art. 26.5 monitoring, Art. 73 incidentmelding aan de bevoegde toezichthouder, Art. 49 EU-database registratie. Uw AVG-fundament (privacyverklaringen, DPIA, verwerkersovereenkomsten) is herbruikbaar maar niet afdoende. Reken op 30-50% extra inspanning voor EU AI Act-specifieke compliance bovenop een volledig AVG-programma.

V: Onze DPIA concludeert dat er geen hoog privacyrisico is. Moeten wij dan nog een FRIA doen?
A: Als uw organisatie onder de FRIA-verplichting van Art. 27 valt (publieke sector, krediet, verzekeringen), dan ja. De FRIA dekt bredere grondrechten dan alleen privacy, non-discriminatie, menselijke waardigheid en sociale rechten kunnen relevant zijn ook als de privacyrisico's beperkt zijn.

Samenvatting

EU AI Act en AVG zijn complementaire maar niet identieke regelgevingskaders. De meest efficiënte aanpak is integratie: gecombineerde DPIA/FRIA, één leverancierscontract dat beide kaders dekt, en één betrokkenenrechten-procedure. Zorg dat uw privacy-officer en AI-compliance-officer structureel samenwerken, dit is geen eenmalig project maar een doorlopend vereiste.