AI Act en AVG: hoe verhouden ze zich tot elkaar?
De EU AI Act en de AVG zijn complementaire maar niet identieke kaders voor AI-systemen die persoonsgegevens verwerken. Ze overlappen op transparantie, datakwaliteit, geautomatiseerde besluitvorming en impactassessments (DPIA en FRIA), maar verschillen in reikwijdte, toezicht en sanctieregime. De efficiënte aanpak is integratie: één gecombineerde DPIA/FRIA en één set leverancierscontracten.
Bijgewerkt: juni 2026
Inleiding: twee regelgevingen, één praktijk
Organisaties die hoog-risico AI inzetten worden geconfronteerd met twee overlappende maar niet identieke regelgevingskaders: de EU AI Act (Verordening (EU) 2024/1689) en de Algemene Verordening Gegevensbescherming (AVG/GDPR). Beide zijn EU-recht, beide worden gehandhaafd door nationale autoriteiten, en beide richten zich op de bescherming van grondrechten. Maar ze hanteren verschillende concepten, verplichten verschillende assessments en kennen verschillende sanctieregimes.
Deze gids analyseert de samenloop systematisch: waar gelden verplichtingen cumulatief, waar vullen ze elkaar aan, en waar kunnen ze botsen.
Benodigde voorkennis
U heeft basiskennis van zowel de EU AI Act (deployerdeployerAn organization using an AI system under its own authority in its activities — carrying operator duties: use per instructions, oversight, input relevance, monitoring, notices.Open full entry →-verplichtingen Art. 26) als de AVG (grondrechten, verwerkersverhoudingen, DPIADPIAData Protection Impact Assessment — required before likely-high-risk processing (systematic profiling with significant effects, large-scale special categories, public monitoring); AI development triggers it constantly.Open full entry →, betrokkenenrechten). Als u nog niet vertrouwd bent met een van beide, lees dan eerst de betreffende basisartikelen.
Stap 1: begrijp de kernverschillen
| Aspect | AVG | EU AI Act |
|---|---|---|
| Beschermd belang | Privacy en persoonsgegevens | Bredere grondrechten (ook veiligheid, non-discriminatie) |
| Reikwijdte | Alle verwerking van persoonsgegevens | AI-systemen (ook zonder persoonsgegevens) |
| Kernverplichting | Rechtmatige grondslag, informatie, beveiliging | Risicoklasse-afhankelijke compliance |
| Assessment | DPIA (Art. 35 AVG) | FRIAFRIAFundamental Rights Impact Assessment — required of public bodies and certain private deployers before using some high-risk AI systems under the EU AI Act.Open full entry → (Art. 27 EU AI Act) |
| Toezichthouder NL | Autoriteit Persoonsgegevens (AP) | Aangewezen markttoezichthouder(s), gecoördineerd door de AP |
| Maximale boete | €20 mln / 4% omzet (Art. 83.5 AVG) | €35 mln / 7% omzet (Art. 99.3 EU AI Act) |
Stap 2: identificeer de overlappende verplichtingen
A. Transparantie (cumulatief)
AVG Art. 13/14 verplichten informatie bij het verzamelen van persoonsgegevens. EU AI Act Art. 26.7 verplicht informatie over het gebruik van hoog-risico AI. Beide moeten worden nageleefd maar kunnen worden gecombineerd in één communicatiemoment. Controleer dat uw privacyverklaring én uw AI-transparantiedocumentatie op elkaar zijn afgestemd.
B. Geautomatiseerde besluitvorming (cumulatief)
AVG Art. 22 geeft betrokkenen het recht om niet te worden onderworpen aan volledig geautomatiseerde beslissingen met significante gevolgen. EU AI Act Art. 26.2 verplicht menselijk toezicht bij hoog-risico AI. Art. 26.2-compliance leidt automatisch tot Art. 22 AVG-compliance (menselijk toezicht = geen volledig geautomatiseerde besluitvorming), mits het toezicht reëel is en niet louter formeel.
C. Datakwaliteit (cumulatief)
AVG Art. 5.1.d vereist dat persoonsgegevens juist zijn. EU AI Act Art. 26.4 vereist dat inputdata voldoet aan de providerproviderThe actor who develops an AI system (or has it developed) and places it on the market or into service under its own name — carrying manufacturer-style duties: design controls, documentation, conformity.Open full entry →-specificaties. Bij AI-systemen die persoonsgegevens verwerken, lopen deze verplichtingen parallel. Een onjuiste persoonsgegeven als inputdata is zowel een AVG-overtreding als een Art. 26.4-overtreding.
D. Logretentie (cumulatief met spanning)
EU AI Act Art. 26.6 verplicht logs minimaal 6 maanden te bewaren. AVG Art. 5.1.e vereist minimale gegevensretentie (zo kort mogelijk bewaren). Bij hoog-risico AI die persoonsgegevens logt, moeten beide principes worden gebalanceerd via pseudonimisering (zie ook het Art. 26.6-artikel).
Stap 3: combineer DPIA en FRIA efficiënt
De DPIA (AVG Art. 35) en FRIA (EU AI Act Art. 27) overlappen inhoudelijk maar zijn juridisch afzonderlijk. In de praktijk worden ze best gecombineerd uitgevoerd:
Gecombineerd assessment-document:
- Beschrijving van de verwerking/het AI-systeem (gedeeld)
- AVG-component: doelbinding, grondslag, dataminimalisatie, bewaartermijnen
- EU AI Act-component: grondrechten-analyse per Handvest-artikel
- Gecombineerde risicomatrix: privacyrisico's én bredere grondrechtenrisico's
- Gecombineerde mitigaties: Art. 26-maatregelen dekken vaak beide regelgevingskaders
- DPO-raadpleging (verplicht voor DPIA, aanbevolen voor FRIA)
Voordeel: één document, één review-cyclus, één oplevering. Nadeel: het document wordt complexer, zorg voor duidelijke sectiemarkeringen (AVG vs. EU AI Act) zodat beide autoriteiten snel de voor hen relevante secties kunnen vinden.
Stap 4: navigeer de toezichthouder-verhoudingen
In Nederland houden meerdere autoriteiten toezicht op AI:
- AP: toezicht op de AVG, inclusief het gebruik van persoonsgegevens in AI-systemen, en coördinerende rol voor het AI-toezicht
- Aangewezen markttoezichthouders: toezicht op de EU AI Act binnen hun eigen sector of domein
Deze autoriteiten werken samen maar zijn afzonderlijke instanties. Bij een incident dat beide regelgevingskaders raakt (bijv. een AI-systeem dat discriminerende beslissingen neemt op basis van biased persoonsgegevens), kunnen meerdere autoriteiten onderzoek doen. Coördineer meldingen en communicatie.
Praktisch: Als u wordt benaderd door de AP over een hoog-risico AI-systeem, informeer dan ook uw contactpersoon bij de bevoegde markttoezichthouder (indien aanwezig) en vice versa.
Stap 5: borgen van betrokkenenrechten
De AVG geeft betrokkenen een reeks rechten bij AI-verwerkingen:
- Recht op inzage (Art. 15 AVG): betrokkenen kunnen de persoonsgegevens opvragen die u in een AI-beslissing heeft gebruikt. Zorg dat u deze data snel kunt leveren vanuit uw logs.
- Recht op rectificatie (Art. 16 AVG): als onjuiste data is gebruikt in een AI-beslissing, heeft de betrokkene het recht op correctie. Implementeer een procedure voor herbeoordeling na rectificatie.
- Recht van bezwaar (Art. 21 AVG): bij verwerking op basis van gerechtvaardigd belang. Hoe gaat u om met bezwaar tegen een AI-beslissing?
- Recht op uitleg (Art. 22 AVG): bij geautomatiseerde besluitvorming heeft de betrokkene recht op een "zinvolle uitleg" van de logica. Dit vereist dat uw toezichthouders de AI-beslissing kunnen uitleggen, niet alleen "het systeem zei X".
Combineer uw procedure voor betrokkenenrechten: een inzageverzoek kan zowel AVG- als EU AI Act-informatie vereisen. Zorg dat uw privacy-officer en AI-compliance-officer samenwerken bij de afhandeling.
Stap 6: verwerkersovereenkomsten en leveranciersketens
Bij het inzetten van hoog-risico AI via een SaaS-leverancier heeft u twee contracten nodig:
- Verwerkersovereenkomst (AVG Art. 28): als de leverancier persoonsgegevens verwerkt namens u. Bevat: doeleinden, verwerkte gegevenssoorten, beveiligingsmaatregelen, subverwerkers, auditrecht.
- AI Act-leveranciersovereenkomst: bevat de Art. 13.3-gebruiksinstructies, de Art. 5-garantie, de notificatieplicht bij updates, en de conformiteitsverklaring.
In de praktijk worden deze twee contracten soms gecombineerd of aan elkaar gekoppeld. Zorg dat beide aspecten volledig zijn gedekt.
Veelgestelde vragen
V: Wij hebben al een AVG-compliance-programma. Hoeveel extra werk is de EU AI Act?
A: De EU AI Act voegt verplichtingen toe die de AVG niet dekt: Art. 4 AI-geletterdheid, Art. 26.1 gebruiksinstructies, Art. 26.2 menselijk toezicht, Art. 26.5 monitoring, Art. 73 incidentmelding aan de bevoegde toezichthouder, Art. 49 EU-database registratie. Uw AVG-fundament (privacyverklaringen, DPIA, verwerkersovereenkomsten) is herbruikbaar maar niet afdoende. Reken op 30-50% extra inspanning voor EU AI Act-specifieke compliance bovenop een volledig AVG-programma.
V: Onze DPIA concludeert dat er geen hoog privacyrisico is. Moeten wij dan nog een FRIA doen?
A: Als uw organisatie onder de FRIA-verplichting van Art. 27 valt (publieke sector, krediet, verzekeringen), dan ja. De FRIA dekt bredere grondrechten dan alleen privacy, non-discriminatie, menselijke waardigheid en sociale rechten kunnen relevant zijn ook als de privacyrisico's beperkt zijn.
Samenvatting
EU AI Act en AVG zijn complementaire maar niet identieke regelgevingskaders. De meest efficiënte aanpak is integratie: gecombineerde DPIA/FRIA, één leverancierscontract dat beide kaders dekt, en één betrokkenenrechten-procedure. Zorg dat uw privacy-officer en AI-compliance-officer structureel samenwerken, dit is geen eenmalig project maar een doorlopend vereiste.