Art. 26.9, DPIA: koppeling tussen AI Act en AVG

Bijgewerkt: juni 2026

Inleiding: twee wetten, één assessment

Art. 26.9 EU AI Act koppelt expliciet aan Art. 35 AVG: wanneer een hoog-risicorisicoIn de termen van de EU AI Act de combinatie van de waarschijnlijkheid dat een schade optreedt en de ernst ervan als dat gebeurt. De schakel tussen een principe (via de schade die het zou schenden) en een control (de maatregel die het vermindert). Het benoemen van de schade en het inschatten van het risico is op grond van Art. 9 vereist voordat een maatregel wordt gekozen. Zie schade, control, restrisico.Open full entry → AI-systeemAI-systeemEen machinaal systeem dat voor expliciete of impliciete doelen uit invoer afleidt hoe het uitvoer genereert, voorspellingen, inhoud, aanbevelingen of beslissingen, die fysieke of virtuele omgevingen kunnen beïnvloeden. De OESO-achtige definitie die de EU AI Act volgt. Zie algoritme, machine learning.Open full entry → persoonsgegevens verwerkt en dit naar verwachting een hoog risico inhoudt voor de rechten en vrijheden van betrokkenenbetrokkenenDe individuen of groepen die onderworpen zijn aan of geraakt worden door de uitkomsten of beslissingen van een AI-systeem, en wier rechten het governance-regime beoogt te beschermen. Zie schade, belanghebbendenanalyse.Open full entry →, zijn deployers verplicht een Data Protection Impact Assessment (DPIADPIAData Protection Impact Assessment, vereist vóór verwerking met waarschijnlijk hoog risico (systematische profilering met aanzienlijke gevolgen, grootschalige bijzondere categorieën, publieke monitoring); AI-ontwikkeling roept het voortdurend op. Zie impactassessment, profilering.Open full entry →) uit te voeren. Hiermee bevestigt de EU AI Act dat de AVG onverkort van toepassing blijft naast de nieuwe AI-regelgeving.

In de praktijk vereist vrijwel elk hoog-risico AI-systeem zowel een DPIA (AVG-verplichting) als een FRIAFRIAFundamental Rights Impact Assessment, vereist van publieke organen en bepaalde private gebruiksverantwoordelijken voordat ze sommige hoog-risico-AI-systemen onder de EU AI Act gebruiken. Zie grondrechten-impactassessment, gebruiksverantwoordelijke.Open full entry → (EU AI Act Art. 27). De twee assessments overlappen inhoudelijk maar zijn juridisch afzonderlijk. Dit artikel behandelt de DPIA-verplichting; zie het Art. 27-artikel voor de FRIA.

Wanneer is een DPIA verplicht bij AI?

Art. 35 AVG vereist een DPIA bij verwerkingen die "waarschijnlijk een hoog risico" opleveren. De AP (Autoriteit Persoonsgegevens) heeft een lijst gepubliceerd van verwerkingen waarvoor een DPIA altijd verplicht is. Hoog-risico AI-systemen vallen in meerdere categorieën van die lijst:

• ProfileringprofileringGeautomatiseerde verwerking van persoonsgegevens om aspecten van een persoon te beoordelen of voorspellen, zoals prestaties, gedrag of locatie, zoals gedefinieerd in de AVG. Zie geautomatiseerde besluitvorming, natuurlijke persoon.Open full entry → / geautomatiseerde besluitvorminggeautomatiseerde besluitvormingBeslissingen die uitsluitend op geautomatiseerde verwerking berusten en rechtsgevolgen of vergelijkbaar aanzienlijke gevolgen hebben, door AVG-artikel 22 beperkt tot drie uitzonderingsgronden, met waarborgen voor menselijke tussenkomst. Zie profilering, menselijk toezicht.Open full entry →: hoog-risico AI neemt of ondersteunt beslissingen over individuen op basis van hun persoonsgegevens
• Biometrische gegevens: verwerking van gezichtsherkenning, vingerafdrukken of andere biometrische kenmerken
• Grootschalige verwerking van bijzondere categorieën: gezondheidsgegevens, strafrechtelijke gegevens, gegevens over kwetsbare groepen
• Stelselmatige monitoring: continue bewaking van medewerkers, klanten of burgers

Voor hoog-risico AI-systemen is een DPIA in vrijwel alle gevallen verplicht. De aanwezigheid van menselijk toezichtmenselijk toezichtHet ingebouwde vermogen van een mens om een AI-systeem te monitoren, erin in te grijpen, het te overrulen of stil te leggen, alleen betekenisvol wanneer de mens de bevoegdheid, de informatie en de tijd heeft om te handelen. Zie principe, human-in-the-loop, human-on-the-loop.Open full entry → (Art. 26.2) maakt de besluitvorming niet "niet-geautomatiseerd" in de zin van Art. 22 AVG als het AI-systeem de feitelijke beoordeling uitvoert.

Inhoud van de DPIA bij AI-systemen

Art. 35.7 AVG bepaalt de minimumeisen. Een DPIA voor een hoog-risico AI-systeem bevat ten minste:

1. Beschrijving van de verwerking: Welke persoonsgegevens worden gebruikt als inputdata? Welke worden door het systeem gegenereerd (scores, classificaties, voorspellingen)? Hoe lang worden deze bewaard (zie Art. 26.6)?

2. Noodzakelijkheid en evenredigheid: Is het gebruik van dit AI-systeem voor dit doel noodzakelijk? Zijn er minder ingrijpende alternatieven? Is het inzetten van hoog-risico AI proportioneel gezien de impact op betrokkenen?

3. Risicobeoordeling: Welke risico's voor de rechten en vrijheden van betrokkenen zijn geïdentificeerd? Denk aan: discriminatie door biased AI, schending van privacy door overmatige dataverzameling, onjuiste beslissingen door modelfouten.

4. Mitigerende maatregelen: Welke technische en organisatorische maatregelen beperken de geïdentificeerde risico's? Hier overlappen DPIA en FRIA: uw Art. 26-maatregelen (menselijk toezicht, monitoring, inputdatacontrole) zijn ook DPIA-mitigaties.

5. Raadpleging van de DPO: Art. 35.2 AVG verplicht raadpleging van de functionaris voor gegevensbescherming (FG/DPO) bij het uitvoeren van een DPIA. Documenteer deze raadpleging.

DPIA vs. FRIA: de verschillen

Aspect	DPIA (Art. 35 AVG)	FRIA (Art. 27 EU AI Act)
Rechtsgrondslag	AVG	EU AI Act
Focus	Privacyrisico's, persoonsgegevens	Bredere grondrechten (ook non-discriminatie, waardigheid, vrijheid)
Wie verplicht	Alle verwerkingsverantwoordelijken bij hoog-risico verwerking	Publieke deployers + private deployers bij bepaalde systemen
Publicatie	Intern (AP op verzoek)	Samenvatting in EU-database (Art. 49)
DPO-raadpleging	Verplicht	Aanbevolen maar niet verplicht

In de praktijk kunt u DPIA en FRIA gecombineerd uitvoeren als één geïntegreerd assessment-document, mits beide wettelijke minimumeisen zijn gedekt.

Deployer-specifieke implicaties

Timing: Voer de DPIA uit vóór de verwerking start, niet achteraf. Bij een hoog-risico AI-systeem dat u wilt implementeren, is de DPIA onderdeel van het inkoop- en implementatietraject.

Iteratieve review: Een DPIA is niet éénmalig. Bij materiële wijzigingen in de verwerking (nieuw gebruik, nieuw systeem, nieuwe doelgroepen) moet u de DPIA herzien.

Raadpleging van de AP: Als uit de DPIA blijkt dat de resterende risico's hoog zijn ondanks mitigerende maatregelen, bent u verplicht de AP vooraf te raadplegen (Art. 36 AVG). Dit is een formeel adviesproces dat de AP 8 weken heeft om te beantwoorden.

Handhaving en sancties

Niet-naleving van de DPIA-verplichting is een AVG-overtreding: boetes tot €10.000.000 of 2% van de wereldwijde jaaromzet (Art. 83.4 AVG). Bovendien riskeert u Art. 99.4 EU AI Act-sancties voor het niet naleven van Art. 26.9. De AP en de bevoegde markttoezichthouder werken samen bij AI-incidenten met een privacydimensie.

Veelgestelde vragen

V: Wij verwerken geen bijzondere categorieën persoonsgegevensbijzondere categorieën persoonsgegevensGegevens uit AVG-artikel 9: gezondheid, etniciteit, politieke opvattingen, religie, seksuele gerichtheid, biometrie voor identificatie, alleen op beperkte gronden verwerkbaar. Het afleiden van deze kenmerken creëert ze. Zie pseudonimisering, dataminimalisatie.Open full entry →. Is een DPIA dan nog verplicht?
A: Bij hoog-risico AI-systemen is een DPIA vrijwel altijd verplicht, ook zonder bijzondere categorieën, vanwege de geautomatiseerde besluitvorming en de grootschaligheid of gevoeligheid van de verwerking. Raadpleeg de AP-lijst van verplichte DPIA-verwerkingen.

V: Onze provider heeft al een DPIA uitgevoerd. Zijn wij dan klaar?
A: Nee. De provider-DPIA betreft de verwerking door de provider. Als deployer heeft u een eigen verwerkingsverantwoordelijkheid voor het gebruik van het systeem in uw context. U moet uw eigen DPIA uitvoeren.

Checklist: Art. 26.9 / Art. 35 AVG compliance

1. Is er voor elk hoog-risico AI-systeem dat persoonsgegevens verwerkt een DPIA uitgevoerd vóór ingebruikname?
2. Is de DPO/FG geconsulteerd bij de DPIA?
3. Zijn de risico's voor betrokkenen gedocumenteerd inclusief mitigerende maatregelen?
4. Is de DPIA opgesteld vóór de start van de verwerking?
5. Is er een procedure voor het herzien van de DPIA bij materiële wijzigingen?
6. Is bij onacceptabele restrisicorestrisicoHet risico dat overblijft nadat controls het hebben verminderd. Geen control brengt een risico tot nul terug, en niet elke control is zijn kosten waard, dus wordt er een bewuste afweging gemaakt: of de kosten van verdere control opwegen tegen de risicovermindering die het oplevert, en of het resterende risico aanvaardbaar is tegen de risicobereidheid van de organisatie. Dit is een afweging op inrichtingsniveau, waar de uitvoering terugrapporteert en governance het restrisico aanvaardt, om meer control vraagt, of de use case afwijst. EU AI Act Art. 9(5) vereist dat het per gevaar en in totaal aanvaardbaar wordt geoordeeld. Zie risico, control, risicobereidheid.Open full entry →'s de AP vooraf geraadpleegd (Art. 36 AVG)?
7. Is de DPIA gecombineerd of afgestemd met de FRIA (Art. 27) om dubbel werk te voorkomen?