Art. 26.9 — DPIA: koppeling tussen AI Act en AVG
Bijgewerkt: juni 2026 — volledige herziening naar Validai-kwaliteitsstandaard
Inleiding: twee wetten, één assessment
Art. 26.9 EU AI Act koppelt expliciet aan Art. 35 AVG: wanneer een hoog-risico AI-systeem persoonsgegevens verwerkt en dit naar verwachting een hoog risico inhoudt voor de rechten en vrijheden van betrokkenen, zijn deployers verplicht een Data Protection Impact Assessment (DPIA) uit te voeren. Hiermee bevestigt de EU AI Act dat de AVG onverkort van toepassing blijft naast de nieuwe AI-regelgeving.
In de praktijk vereist vrijwel elk hoog-risico AI-systeem zowel een DPIA (AVG-verplichting) als een FRIA (EU AI Act Art. 27). De twee assessments overlappen inhoudelijk maar zijn juridisch afzonderlijk. Dit artikel behandelt de DPIA-verplichting; zie het Art. 27-artikel voor de FRIA.
Wanneer is een DPIA verplicht bij AI?
Art. 35 AVG vereist een DPIA bij verwerkingen die "waarschijnlijk een hoog risico" opleveren. De AP (Autoriteit Persoonsgegevens) heeft een lijst gepubliceerd van verwerkingen waarvoor een DPIA altijd verplicht is. Hoog-risico AI-systemen vallen in meerdere categorieën van die lijst:
- Profilering / geautomatiseerde besluitvorming: hoog-risico AI neemt of ondersteunt beslissingen over individuen op basis van hun persoonsgegevens
- Biometrische gegevens: verwerking van gezichtsherkenning, vingerafdrukken of andere biometrische kenmerken
- Grootschalige verwerking van bijzondere categorieën: gezondheidsgegevens, strafrechtelijke gegevens, gegevens over kwetsbare groepen
- Stelselmatige monitoring: continue bewaking van medewerkers, klanten of burgers
Voor hoog-risico AI-systemen is een DPIA in vrijwel alle gevallen verplicht. De aanwezigheid van menselijk toezicht (Art. 26.2) maakt de besluitvorming niet "niet-geautomatiseerd" in de zin van Art. 22 AVG als het AI-systeem de feitelijke beoordeling uitvoert.
Inhoud van de DPIA bij AI-systemen
Art. 35.7 AVG bepaalt de minimumeisen. Een DPIA voor een hoog-risico AI-systeem bevat ten minste:
1. Beschrijving van de verwerking: Welke persoonsgegevens worden gebruikt als inputdata? Welke worden door het systeem gegenereerd (scores, classificaties, voorspellingen)? Hoe lang worden deze bewaard (zie Art. 26.6)?
2. Noodzakelijkheid en evenredigheid: Is het gebruik van dit AI-systeem voor dit doel noodzakelijk? Zijn er minder ingrijpende alternatieven? Is het inzetten van hoog-risico AI proportioneel gezien de impact op betrokkenen?
3. Risicobeoordeling: Welke risico's voor de rechten en vrijheden van betrokkenen zijn geïdentificeerd? Denk aan: discriminatie door biased AI, schending van privacy door overmatige dataverzameling, onjuiste beslissingen door modelfouten.
4. Mitigerende maatregelen: Welke technische en organisatorische maatregelen beperken de geïdentificeerde risico's? Hier overlappen DPIA en FRIA: uw Art. 26-maatregelen (menselijk toezicht, monitoring, inputdatacontrole) zijn ook DPIA-mitigaties.
5. Raadpleging van de DPO: Art. 35.2 AVG verplicht raadpleging van de functionaris voor gegevensbescherming (FG/DPO) bij het uitvoeren van een DPIA. Documenteer deze raadpleging.
DPIA vs. FRIA: de verschillen
| Aspect | DPIA (Art. 35 AVG) | FRIA (Art. 27 EU AI Act) |
|---|---|---|
| Rechtsgrondslag | AVG | EU AI Act |
| Focus | Privacyrisico's, persoonsgegevens | Bredere grondrechten (ook non-discriminatie, waardigheid, vrijheid) |
| Wie verplicht | Alle verwerkingsverantwoordelijken bij hoog-risico verwerking | Publieke deployers + private deployers bij bepaalde systemen |
| Publicatie | Intern (AP op verzoek) | Samenvatting in EU-database (Art. 49) |
| DPO-raadpleging | Verplicht | Aanbevolen maar niet verplicht |
In de praktijk kunt u DPIA en FRIA gecombineerd uitvoeren als één geïntegreerd assessment-document, mits beide wettelijke minimumeisen zijn gedekt.
Deployer-specifieke implicaties
Timing: Voer de DPIA uit vóór de verwerking start — niet achteraf. Bij een hoog-risico AI-systeem dat u wilt implementeren, is de DPIA onderdeel van het inkoop- en implementatietraject.
Iteratieve review: Een DPIA is niet éénmalig. Bij materiële wijzigingen in de verwerking (nieuw gebruik, nieuw systeem, nieuwe doelgroepen) moet u de DPIA herzien.
Raadpleging van de AP: Als uit de DPIA blijkt dat de resterende risico's hoog zijn ondanks mitigerende maatregelen, bent u verplicht de AP vooraf te raadplegen (Art. 36 AVG). Dit is een formeel adviesproces dat de AP 8 weken heeft om te beantwoorden.
Handhaving en sancties
Niet-naleving van de DPIA-verplichting is een AVG-overtreding: boetes tot €10.000.000 of 2% van de wereldwijde jaaromzet (Art. 83.4 AVG). Bovendien riskeert u Art. 99.4 EU AI Act-sancties voor het niet naleven van Art. 26.9. De AP en ACM werken samen bij AI-incidenten met een privacydimensie.
Veelgestelde vragen
V: Wij verwerken geen bijzondere categorieën persoonsgegevens. Is een DPIA dan nog verplicht?
A: Bij hoog-risico AI-systemen is een DPIA vrijwel altijd verplicht, ook zonder bijzondere categorieën, vanwege de geautomatiseerde besluitvorming en de grootschaligheid of gevoeligheid van de verwerking. Raadpleeg de AP-lijst van verplichte DPIA-verwerkingen.
V: Onze provider heeft al een DPIA uitgevoerd. Zijn wij dan klaar?
A: Nee. De provider-DPIA betreft de verwerking door de provider. Als deployer heeft u een eigen verwerkingsverantwoordelijkheid voor het gebruik van het systeem in uw context. U moet uw eigen DPIA uitvoeren.
Checklist: Art. 26.9 / Art. 35 AVG compliance
- Is er voor elk hoog-risico AI-systeem dat persoonsgegevens verwerkt een DPIA uitgevoerd vóór ingebruikname?
- Is de DPO/FG geconsulteerd bij de DPIA?
- Zijn de risico's voor betrokkenen gedocumenteerd inclusief mitigerende maatregelen?
- Is de DPIA opgesteld vóór de start van de verwerking?
- Is er een procedure voor het herzien van de DPIA bij materiële wijzigingen?
- Is bij onacceptabele restrisico's de AP vooraf geraadpleegd (Art. 36 AVG)?
- Is de DPIA gecombineerd of afgestemd met de FRIA (Art. 27) om dubbel werk te voorkomen?