GovCompass
Kennisbank
ReferenceAccountabilityPrivacy

Art. 26.9, DPIA: koppeling tussen AI Act en AVG

Door Michel Venniker· · Afgestemd op de geconsolideerde EU AI Act, inclusief de Omnibus-wijzigingen van 2026.

Art. 26.9 koppelt de EU AI Act aan de AVG: waar een gegevensbeschermingseffectbeoordeling (DPIA) vereist is onder AVG Art. 35, moeten deployers van hoog-risico AI de informatie uit de provider-documentatie gebruiken om die beoordeling te onderbouwen.

Bijgewerkt: juni 2026

Inleiding: twee wetten, één assessment

Art. 26.9 EU AI Act koppelt expliciet aan Art. 35 AVG: wanneer een hoog-risico AI-systeem persoonsgegevens verwerkt en dit naar verwachting een hoog risico inhoudt voor de rechten en vrijheden van betrokkenen, zijn deployers verplicht een Data Protection Impact Assessmentimpact assessmentThe design-time discipline of describing a system, mapping stakeholders, identifying harms, rating probability × severity, choosing mitigations and documenting a signed decision — the skeleton under DPIAs, FRIAs and AIAs.Open full entry → (DPIADPIAData Protection Impact Assessment — required before likely-high-risk processing (systematic profiling with significant effects, large-scale special categories, public monitoring); AI development triggers it constantly.Open full entry →) uit te voeren. Hiermee bevestigt de EU AI Act dat de AVG onverkort van toepassing blijft naast de nieuwe AI-regelgeving.

In de praktijk vereist vrijwel elk hoog-risico AI-systeem zowel een DPIA (AVG-verplichting) als een FRIAFRIAFundamental Rights Impact Assessment — required of public bodies and certain private deployers before using some high-risk AI systems under the EU AI Act.Open full entry → (EU AI Act Art. 27). De twee assessments overlappen inhoudelijk maar zijn juridisch afzonderlijk. Dit artikel behandelt de DPIA-verplichting; zie het Art. 27-artikel voor de FRIA.

Wanneer is een DPIA verplicht bij AI?

Art. 35 AVG vereist een DPIA bij verwerkingen die "waarschijnlijk een hoog risico" opleveren. De AP (Autoriteit Persoonsgegevens) heeft een lijst gepubliceerd van verwerkingen waarvoor een DPIA altijd verplicht is. Hoog-risico AI-systemen vallen in meerdere categorieën van die lijst:

  • Profilering / geautomatiseerde besluitvorming: hoog-risico AI neemt of ondersteunt beslissingen over individuen op basis van hun persoonsgegevens
  • Biometrische gegevens: verwerking van gezichtsherkenning, vingerafdrukken of andere biometrische kenmerken
  • Grootschalige verwerking van bijzondere categorieën: gezondheidsgegevens, strafrechtelijke gegevens, gegevens over kwetsbare groepen
  • Stelselmatige monitoring: continue bewaking van medewerkers, klanten of burgers

Voor hoog-risico AI-systemen is een DPIA in vrijwel alle gevallen verplicht. De aanwezigheid van menselijk toezicht (Art. 26.2) maakt de besluitvorming niet "niet-geautomatiseerd" in de zin van Art. 22 AVG als het AI-systeem de feitelijke beoordeling uitvoert.

Inhoud van de DPIA bij AI-systemen

Art. 35.7 AVG bepaalt de minimumeisen. Een DPIA voor een hoog-risico AI-systeem bevat ten minste:

1. Beschrijving van de verwerking: Welke persoonsgegevens worden gebruikt als inputdata? Welke worden door het systeem gegenereerd (scores, classificaties, voorspellingen)? Hoe lang worden deze bewaard (zie Art. 26.6)?

2. Noodzakelijkheid en evenredigheid: Is het gebruik van dit AI-systeem voor dit doel noodzakelijk? Zijn er minder ingrijpende alternatieven? Is het inzetten van hoog-risico AI proportioneel gezien de impact op betrokkenen?

3. Risicobeoordeling: Welke risico's voor de rechten en vrijheden van betrokkenen zijn geïdentificeerd? Denk aan: discriminatie door biased AI, schending van privacy door overmatige dataverzameling, onjuiste beslissingen door modelfouten.

4. Mitigerende maatregelen: Welke technische en organisatorische maatregelen beperken de geïdentificeerde risico's? Hier overlappen DPIA en FRIA: uw Art. 26-maatregelen (menselijk toezicht, monitoring, inputdatacontrole) zijn ook DPIA-mitigaties.

5. Raadpleging van de DPO: Art. 35.2 AVG verplicht raadpleging van de functionaris voor gegevensbescherming (FG/DPO) bij het uitvoeren van een DPIA. Documenteer deze raadpleging.

DPIA vs. FRIA: de verschillen

AspectDPIA (Art. 35 AVG)FRIA (Art. 27 EU AI Act)
RechtsgrondslagAVGEU AI Act
FocusPrivacyrisico's, persoonsgegevensBredere grondrechten (ook non-discriminatie, waardigheid, vrijheid)
Wie verplichtAlle verwerkingsverantwoordelijken bij hoog-risico verwerkingPublieke deployers + private deployers bij bepaalde systemen
PublicatieIntern (AP op verzoek)Samenvatting in EU-database (Art. 49)
DPO-raadplegingVerplichtAanbevolen maar niet verplicht

In de praktijk kunt u DPIA en FRIA gecombineerd uitvoeren als één geïntegreerd assessment-document, mits beide wettelijke minimumeisen zijn gedekt.

Deployer-specifieke implicaties

Timing: Voer de DPIA uit vóór de verwerking start, niet achteraf. Bij een hoog-risico AI-systeem dat u wilt implementeren, is de DPIA onderdeel van het inkoop- en implementatietraject.

Iteratieve review: Een DPIA is niet éénmalig. Bij materiële wijzigingen in de verwerking (nieuw gebruik, nieuw systeem, nieuwe doelgroepen) moet u de DPIA herzien.

Raadpleging van de AP: Als uit de DPIA blijkt dat de resterende risico's hoog zijn ondanks mitigerende maatregelen, bent u verplicht de AP vooraf te raadplegen (Art. 36 AVG). Dit is een formeel adviesproces dat de AP 8 weken heeft om te beantwoorden.

Handhaving en sancties

Niet-naleving van de DPIA-verplichting is een AVG-overtreding: boetes tot €10.000.000 of 2% van de wereldwijde jaaromzet (Art. 83.4 AVG). Bovendien riskeert u Art. 99.4 EU AI Act-sancties voor het niet naleven van Art. 26.9. De AP en de bevoegde markttoezichthouder werken samen bij AI-incidenten met een privacydimensie.

Veelgestelde vragen

V: Wij verwerken geen bijzondere categorieën persoonsgegevens. Is een DPIA dan nog verplicht?
A: Bij hoog-risico AI-systemen is een DPIA vrijwel altijd verplicht, ook zonder bijzondere categorieën, vanwege de geautomatiseerde besluitvorming en de grootschaligheid of gevoeligheid van de verwerking. Raadpleeg de AP-lijst van verplichte DPIA-verwerkingen.

V: Onze providerproviderThe actor who develops an AI system (or has it developed) and places it on the market or into service under its own name — carrying manufacturer-style duties: design controls, documentation, conformity.Open full entry → heeft al een DPIA uitgevoerd. Zijn wij dan klaar?
A: Nee. De provider-DPIA betreft de verwerking door de provider. Als deployerdeployerAn organization using an AI system under its own authority in its activities — carrying operator duties: use per instructions, oversight, input relevance, monitoring, notices.Open full entry → heeft u een eigen verwerkingsverantwoordelijkheid voor het gebruik van het systeem in uw context. U moet uw eigen DPIA uitvoeren.

Checklist: Art. 26.9 / Art. 35 AVG compliance

  1. Is er voor elk hoog-risico AI-systeem dat persoonsgegevens verwerkt een DPIA uitgevoerd vóór ingebruikname?
  2. Is de DPO/FG geconsulteerd bij de DPIA?
  3. Zijn de risico's voor betrokkenen gedocumenteerd inclusief mitigerende maatregelen?
  4. Is de DPIA opgesteld vóór de start van de verwerking?
  5. Is er een procedure voor het herzien van de DPIA bij materiële wijzigingen?
  6. Is bij onacceptabele restrisico's de AP vooraf geraadpleegd (Art. 36 AVG)?
  7. Is de DPIA gecombineerd of afgestemd met de FRIA (Art. 27) om dubbel werk te voorkomen?
WetsverwijzingenArt. 26GDPR

Meer over Accountability

Art. 10 EU AI Act: data en datagovernance voor hoog-risico AI

Reference

Art. 10 vereist dat de trainings-, validatie- en testdata voor hoog-risico AI-systemen voldoet aan kwaliteitscriteria: relevant, voldoende representatief, en zo foutloos en volledig mogelijk voor het beoogde doel. Het vereist ook gedocumenteerde datagovernance over verzameling, voorbereiding, bias-onderzoek en het mitigeren van lacunes, en het staat de beperkte verwerking van bijzondere persoonsgegevens toe waar strikt noodzakelijk om bias te detecteren en corrigeren, onder waarborgen.

Art. 12 EU AI Act: registratie en logging voor hoog-risico AI

Reference

Art. 12 vereist dat hoog-risico AI-systemen technisch de automatische registratie van gebeurtenissen (logs) over hun levensduur mogelijk maken. De logging moet de traceerbaarheid van het functioneren van het systeem mogelijk maken op een niveau passend bij het beoogde doel, post-market monitoring ondersteunen, en helpen situaties te identificeren die tot risico of een substantiële wijziging kunnen leiden. Het is een ontwerpverplichting voor de provider die het systeem door constructie auditeerbaar maakt.

Art. 19 EU AI Act: het bewaren van de automatisch gegenereerde logs

Reference

Art. 19 verplicht providers van hoog-risico AI-systemen om de logs die het systeem automatisch genereert (onder Art. 12) te bewaren zolang ze die onder controle hebben, voor een periode passend bij het beoogde doel en minimaal zes maanden, tenzij andere wetgeving een langere termijn vereist. Het is de bewaar-tegenhanger van de Art. 12-logging-capaciteit, en werkt naast de deployer-bewaarplicht in Art. 26.6.

Art. 26.1, gebruik AI volgens de instructies van de aanbieder

Reference

Art. 26.1 EU AI Act verplicht deployers om hoog-risico AI-systemen uitsluitend in te zetten conform de gebruiksinstructies van de provider. De verplichting omvat drie componenten: het beschikken over de instructies (conform Art. 13.3), het actief naleven ervan, en het documenteren van dat naleven. Inzet buiten de instructies kan de aansprakelijkheid volledig naar de deployer verschuiven.

Meer over Privacy

Art. 10 EU AI Act: data en datagovernance voor hoog-risico AI

Reference

Art. 10 vereist dat de trainings-, validatie- en testdata voor hoog-risico AI-systemen voldoet aan kwaliteitscriteria: relevant, voldoende representatief, en zo foutloos en volledig mogelijk voor het beoogde doel. Het vereist ook gedocumenteerde datagovernance over verzameling, voorbereiding, bias-onderzoek en het mitigeren van lacunes, en het staat de beperkte verwerking van bijzondere persoonsgegevens toe waar strikt noodzakelijk om bias te detecteren en corrigeren, onder waarborgen.

Art. 26.4, input-data: zorg voor relevante en representatieve data

Reference

Art. 26.4 verplicht deployers van hoog-risico AI om te borgen dat de inputdata relevant en voldoende representatief is voor het beoogde doel van het systeem. De deployer is verantwoordelijk voor de datakwaliteit in gebruik, ook al stelt de provider de specificaties vast onder Art. 10.

Compliance op control-niveau: de EU AI Act als geïnstrumenteerd systeem

Analysis

Compliance op control-niveau betekent voldoen aan de EU AI Act via ingebouwde, bewezen controls in plaats van beleidsdocumenten. De technische artikelen vertalen direct naar systeem-controls: onveranderlijke logs (Art. 12, 19), een noodstop (Art. 14(4)(e)), datamaskering vóór het model (Art. 10), configureerbare blokkeerbeleid (Art. 26), risicoscoring en incidentmelding binnen de termijn (Art. 9, 73), en workspace-isolatie met rolgebaseerde toegang (Art. 14, 26). Compliance op dit niveau is een geïnstrumenteerd systeem, geen beleid als PDF.

AI Act en AVG: hoe verhouden ze zich tot elkaar?

Guide

De EU AI Act en de AVG zijn complementaire maar niet identieke kaders voor AI-systemen die persoonsgegevens verwerken. Ze overlappen op transparantie, datakwaliteit, geautomatiseerde besluitvorming en impactassessments (DPIA en FRIA), maar verschillen in reikwijdte, toezicht en sanctieregime. De efficiënte aanpak is integratie: één gecombineerde DPIA/FRIA en één set leverancierscontracten.