AI Act en AVG: hoe verhouden ze zich tot elkaar?
Bijgewerkt: juni 2026 — volledige herziening naar Validai-kwaliteitsstandaard
Inleiding: twee regelgevingen, één praktijk
Organisaties die hoog-risico AI inzetten worden geconfronteerd met twee overlappende but niet identieke regelgevingskaders: de EU AI Act (Verordening (EU) 2024/1689) en de Algemene Verordening Gegevensbescherming (AVG/GDPR). Beide zijn EU-recht, beide worden gehandhaafd door nationale autoriteiten, en beide richten zich op de bescherming van grondrechten. Maar ze hanteren verschillende concepten, verplichten verschillende assessments en kennen verschillende sanctieregimes.
Deze gids analyseert de samenloop systematisch: waar gelden verplichtingen cumulatief, waar vullen ze elkaar aan, en waar kunnen ze botsen.
Benodigde voorkennis
U heeft basiskennis van zowel de EU AI Act (deployer-verplichtingen Art. 26) als de AVG (grondrechten, verwerkersverhoudingen, DPIA, betrokkenenrechten). Als u nog niet vertrouwd bent met een van beide, lees dan eerst de betreffende basisartikelen.
Stap 1: Begrijp de kernverschillen
| Aspect | AVG | EU AI Act |
|---|---|---|
| Beschermd belang | Privacy en persoonsgegevens | Bredere grondrechten (ook veiligheid, non-discriminatie) |
| Reikwijdte | Alle verwerking van persoonsgegevens | AI-systemen (ook zonder persoonsgegevens) |
| Kernverplichting | Rechtmatige grondslag, informatie, beveiliging | Risicoklasse-afhankelijke compliance |
| Assessment | DPIA (Art. 35 AVG) | FRIA (Art. 27 EU AI Act) |
| Toezichthouder NL | Autoriteit Persoonsgegevens (AP) | Autoriteit Consument & Markt (ACM) |
| Maximale boete | €20 mln / 4% omzet (Art. 83.5 AVG) | €35 mln / 7% omzet (Art. 99.3 EU AI Act) |
Stap 2: Identificeer de overlappende verplichtingen
A. Transparantie (cumulatief)
AVG Art. 13/14 verplichten informatie bij het verzamelen van persoonsgegevens. EU AI Act Art. 26.7 verplicht informatie over het gebruik van hoog-risico AI. Beide moeten worden nageleefd maar kunnen worden gecombineerd in één communicatiemoment. Controleer dat uw privacyverklaring én uw AI-transparantiedocumentatie op elkaar zijn afgestemd.
B. Geautomatiseerde besluitvorming (cumulatief)
AVG Art. 22 geeft betrokkenen het recht om niet te worden onderworpen aan volledig geautomatiseerde beslissingen met significante gevolgen. EU AI Act Art. 26.2 verplicht menselijk toezicht bij hoog-risico AI. Art. 26.2-compliance leidt automatisch tot Art. 22 AVG-compliance (menselijk toezicht = geen volledig geautomatiseerde besluitvorming) — mits het toezicht reëel is en niet louter formeel.
C. Datakwaliteit (cumulatief)
AVG Art. 5.1.d vereist dat persoonsgegevens juist zijn. EU AI Act Art. 26.4 vereist dat inputdata voldoet aan de provider-specificaties. Bij AI-systemen die persoonsgegevens verwerken, lopen deze verplichtingen parallel. Een onjuiste persoonsgegeven als inputdata is zowel een AVG-overtreding als een Art. 26.4-overtreding.
D. Logretentie (cumulatief met spanning)
EU AI Act Art. 26.6 verplicht logs minimaal 6 maanden te bewaren. AVG Art. 5.1.e vereist minimale gegevensretentie (zo kort mogelijk bewaren). Bij hoog-risico AI die persoonsgegevens logt, moeten beide principes worden gebalanceerd via pseudonimisering (zie ook het Art. 26.6-artikel).
Stap 3: Combineer DPIA en FRIA efficiënt
De DPIA (AVG Art. 35) en FRIA (EU AI Act Art. 27) overlappen inhoudelijk maar zijn juridisch afzonderlijk. In de praktijk worden ze best gecombineerd uitgevoerd:
Gecombineerd assessment-document:
- Beschrijving van de verwerking/het AI-systeem (gedeeld)
- AVG-component: doelbinding, grondslag, dataminimalisatie, bewaartermijnen
- EU AI Act-component: grondrechten-analyse per Handvest-artikel
- Gecombineerde risicomatrix: privacyrisico's én bredere grondrechtenrisico's
- Gecombineerde mitigaties: Art. 26-maatregelen dekken vaak beide regelgevingskaders
- DPO-raadpleging (verplicht voor DPIA, aanbevolen voor FRIA)
Voordeel: één document, één review-cyclus, één oplevering. Nadeel: het document wordt complexer — zorg voor duidelijke sectiemarkeringen (AVG vs. EU AI Act) zodat beide autoriteiten snel de voor hen relevante secties kunnen vinden.
Stap 4: Navigeer de toezichthouder-verhoudingen
In Nederland houden twee autoriteiten toezicht op AI:
- AP: toezicht op de AVG, inclusief het gebruik van persoonsgegevens in AI-systemen
- ACM: toezicht op de EU AI Act
De AP en ACM werken samen maar zijn afzonderlijke instanties. Bij een incident dat beide regelgevingskaders raakt (bijv. een AI-systeem dat discriminerende beslissingen neemt op basis van biased persoonsgegevens), kunnen beide autoriteiten onderzoek doen. Coördineer meldingen en communicatie.
Praktisch: Als u wordt benaderd door de AP over een hoog-risico AI-systeem, informeer dan ook uw ACM-contactpersoon (indien aanwezig) en vice versa.
Stap 5: Borgen van betrokkenenrechten
De AVG geeft betrokkenen een reeks rechten bij AI-verwerkingen:
- Recht op inzage (Art. 15 AVG): betrokkenen kunnen de persoonsgegevens opvragen die u in een AI-beslissing heeft gebruikt. Zorg dat u deze data snel kunt leveren vanuit uw logs.
- Recht op rectificatie (Art. 16 AVG): als onjuiste data is gebruikt in een AI-beslissing, heeft de betrokkene het recht op correctie. Implementeer een procedure voor herbeoordeling na rectificatie.
- Recht van bezwaar (Art. 21 AVG): bij verwerking op basis van gerechtvaardigd belang. Hoe gaat u om met bezwaar tegen een AI-beslissing?
- Recht op uitleg (Art. 22 AVG): bij geautomatiseerde besluitvorming heeft de betrokkene recht op een "zinvolle uitleg" van de logica. Dit vereist dat uw toezichthouders de AI-beslissing kunnen uitleggen — niet alleen "het systeem zei X".
Combineer uw procedure voor betrokkenenrechten: een inzageverzoek kan zowel AVG- als EU AI Act-informatie vereisen. Zorg dat uw privacy-officer en AI-compliance-officer samenwerken bij de afhandeling.
Stap 6: Verwerkersovereenkomsten en leveranciersketens
Bij het inzetten van hoog-risico AI via een SaaS-leverancier heeft u twee contracten nodig:
- Verwerkersovereenkomst (AVG Art. 28): als de leverancier persoonsgegevens verwerkt namens u. Bevat: doeleinden, verwerkte gegevenssoorten, beveiligingsmaatregelen, subverwerkers, auditrecht.
- AI Act-leveranciersovereenkomst: bevat de Art. 13.3-gebruiksinstructies, de Art. 5-garantie, de notificatieplicht bij updates, en de conformiteitsverklaring.
In de praktijk worden deze twee contracten soms gecombineerd of aan elkaar gekoppeld. Zorg dat beide aspecten volledig zijn gedekt.
Veelgestelde vragen
V: Wij hebben al een AVG-compliance-programma. Hoeveel extra werk is de EU AI Act?
A: De EU AI Act voegt verplichtingen toe die de AVG niet dekt: Art. 4 AI-geletterdheid, Art. 26.1 gebruiksinstructies, Art. 26.2 menselijk toezicht, Art. 26.5 monitoring, Art. 73 incidentmelding aan ACM, Art. 49 EU-database registratie. Uw AVG-fundament (privacyverklaringen, DPIA, verwerkersovereenkomsten) is herbruikbaar maar niet afdoende. Reken op 30-50% extra inspanning voor EU AI Act-specifieke compliance bovenop een volledig AVG-programma.
V: Onze DPIA concludeert dat er geen hoog privacyrisico is. Moeten wij dan nog een FRIA doen?
A: Als uw organisatie onder de FRIA-verplichting van Art. 27 valt (publieke sector, krediet, verzekeringen), dan ja. De FRIA dekt bredere grondrechten dan alleen privacy — non-discriminatie, menselijke waardigheid en sociale rechten kunnen relevant zijn ook als de privacyrisico's beperkt zijn.
Samenvatting
EU AI Act en AVG zijn complementaire maar niet identieke regelgevingskaders. De meest efficiënte aanpak is integratie: gecombineerde DPIA/FRIA, één leverancierscontract dat beide kaders dekt, en één betrokkenenrechten-procedure. Zorg dat uw privacy-officer en AI-compliance-officer structureel samenwerken — dit is geen eenmalig project maar een doorlopend vereiste.