GDPR & AI Act
Twee verordeningen, één compliance-vraagstuk
Waarom je GDPR én de AI Act tegelijk moet denken
Veel organisaties behandelen GDPR-compliance en AI Act-compliance als twee aparte trajecten. Dat is begrijpelijk — ze zijn ingevoerd door verschillende directoraten, ze hebben verschillende deadlines en ze hebben verschillende handhavingsinstanties. Maar als je naar AI-systemen kijkt die persoonsgegevens verwerken, dan zie je dat de eisen op meerdere punten over elkaar heen vallen.
De AI Act verwijst expliciet naar de GDPR. Artikel 10 (data governance) veronderstelt dat je AVG-principes al implementeert. Artikel 13 (transparantie) bouwt voort op de informatieverplichtingen uit de AVG. En bij hoog-risico AI-systemen die besluiten nemen over mensen, gelden zowel Art. 22 AVG als de AI Act-vereisten voor menselijk toezicht tegelijk.
Dit betekent concreet: als je alleen op de AI Act focust, mis je GDPR-verplichtingen. Als je alleen op GDPR focust, mis je de nieuwe AI Act-laag. De slimste aanpak is geïntegreerd compliance — één assessment, twee wettelijke kaders.
Wat is de GDPR (AVG)?
De Algemene Verordening Gegevensbescherming (AVG) — in het Engels General Data Protection Regulation (GDPR) — is sinds 25 mei 2018 van toepassing in de hele EU. De AVG regelt hoe organisaties persoonsgegevens mogen verzamelen, verwerken en bewaren. De kernprincipes zijn dataminimalisatie, doelbinding, transparantie, integriteit en vertrouwelijkheid.
Voor AI-systemen is de AVG bijzonder relevant omdat vrijwel elk AI-systeem dat op gebruikers gericht is persoonsgegevens verwerkt. Denk aan namen, locatiedata, gedragspatronen, biometrische kenmerken. De AVG vereist een geldige rechtsgrondslag voor elke verwerkingsactiviteit, en bij geautomatiseerde besluitvorming gelden extra beschermingsvereisten.
In Nederland houdt de Autoriteit Persoonsgegevens (AP) toezicht op de naleving van de AVG. De AP heeft bijzondere bevoegdheden: ze mag boetes opleggen tot €20 miljoen of 4% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is.
De 5 kruispunten van GDPR en AI Act
Hieronder beschrijven we de vijf concrete punten waar GDPR en AI Act elkaar raken. Bij elk kruispunt leggen we uit wat de verplichting inhoudt, welke artikelen van toepassing zijn, en wat dit betekent voor jouw compliance-aanpak.
Geautomatiseerde besluitvorming
AVG Art. 22 × AI Act hoog-risico (Bijlage III)
Artikel 22 van de AVG geeft mensen het recht om niet uitsluitend onderworpen te worden aan geautomatiseerde verwerkingen die significante gevolgen voor hen hebben. Dit recht is absoluut voor besluiten die iemand "aanzienlijk treffen". Denk aan kredietaanvragen, sollicitatieprocedures, sociale uitkeringen of medische triage. De AVG vereist in zulke gevallen altijd de mogelijkheid van menselijke tussenkomst, het recht om bezwaar te maken en het recht op uitleg.
De AI Act voegt hier een laag aan toe: systemen die geautomatiseerde besluitvorming toepassen in de sectoren uit Bijlage III (krediet, onderwijs, HR, essentiële diensten, etc.) worden gekwalificeerd als hoog-risico AI-systemen. Voor die systemen gelden verplichtingen op het gebied van registratie, transparantie, menselijk toezicht en technische robuustheid. De overlap is dus precies daar waar Art. 22 AVG al van kracht is.
Praktisch: Praktisch: voer voor elk geautomatiseerd beslissingsproces een dubbele toets uit — Art. 22 AVG (is er menselijk tussenkomst gegarandeerd?) en AI Act (is het systeem hoog-risico en voldoet het aan de technische vereisten?).
DPIA versus FRIA
AVG Art. 35 × AI Act Art. 27
Onder de AVG ben je verplicht een Data Protection Impact Assessment (DPIA) uit te voeren wanneer een verwerking waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van mensen. Dit is bijna altijd het geval bij grootschalige verwerking van bijzondere persoonsgegevens of bij profilering met aanzienlijke gevolgen.
De AI Act introduceerde in Artikel 27 een Fundamental Rights Impact Assessment (FRIA). Anders dan een DPIA kijkt een FRIA naar het volledige spectrum van grondrechten — niet alleen privacy. De FRIA is verplicht voor publieke lichamen en private organisaties die diensten van publiek belang verlenen (onderwijs, zorg, sociale diensten) en die hoog-risico AI inzetten. De Europese Commissie werkt aan een template waarmee je DPIA en FRIA kunt integreren in één gecombineerd assessment.
Praktisch: Praktisch: plan DPIA en FRIA gelijktijdig in bij nieuwe AI-projecten. Gebruik overlappende vragen over gegevensbescherming in de FRIA als input voor de DPIA, zodat je geen dubbel werk doet. Zie ook onze gedetailleerde vergelijking.
Transparantie & uitlegbaarheid
AVG Art. 13-14 × AI Act Art. 13
De AVG verplicht organisaties om betrokkenen te informeren over verwerkingen van hun persoonsgegevens. Bij geautomatiseerde besluitvorming (Art. 22) moet je bovendien "zinvolle informatie over de onderliggende logica" verstrekken. Dat is geen lege verplichting — toezichthouders verwachten dat mensen begrijpen op basis van welke variabelen een besluit tot stand is gekomen.
AI Act Artikel 13 legt hoog-risico AI-systemen een vergelijkbare maar bredere transparantieverplichting op: gebruikers moeten de output van het systeem interpreteren en beoordelen. De documentatieverplichtingen (technisch dossier, logboek) dienen mede als basis voor die uitlegbaarheid. De uitdaging is dat de AVG "zinvolle uitleg aan de betrokkene" vereist, terwijl de AI Act "interpreteerbaarheid voor de deployer" vereist — dit zijn deels verschillende doelgroepen met deels andere informatiebehoeften.
Praktisch: Praktisch: ontwikkel voor AI-systemen die besluiten nemen over mensen een uitlegbaarheidslaag die beide niveaus bedient: een begrijpelijke samenvatting voor de betrokkene (AVG) en een technisch onderbouwde uitleg voor interne controle (AI Act).
Data governance
AVG dataminimalisatie × AI Act Art. 10 trainingsdata
De AVG schrijft dataminimalisatie voor: je mag niet meer persoonsgegevens verwerken dan strikt noodzakelijk voor het doel. Dit is een fundamenteel principe dat op gespannen voet staat met de neiging van machine learning om zoveel mogelijk data te verzamelen voor betere modelprestaties.
AI Act Artikel 10 stelt specifieke eisen aan de trainingsdata, validatiedata en testdata van hoog-risico AI-systemen. De data moet relevant, representatief, vrij van fouten en volledig zijn. Bovendien verplicht Art. 10 tot het beheersen van bias — wat neerkomt op een actieve plicht om te controleren of de data geen discriminerende patronen bevat. Dit vereist categorieën van persoonsgegevens die onder de AVG bijzonder beschermd zijn (etniciteit, geslacht, gezondheid). Er is dus een inherente spanning: Art. 10 vraagt om data-analyse op gevoelige categorieën, terwijl de AVG die verwerking streng beperkt.
Praktisch: Praktisch: documenteer expliciet welke rechtsgrondslag (doorgaans wetenschappelijk onderzoek of gerechtvaardigd belang) je gebruikt voor biasanalyse op gevoelige categorieën trainingsdata. Zorg dat de scope van dataverzameling beperkt blijft tot wat noodzakelijk is voor die biascheck — minimalisatie blijft het principe.
Toezicht & handhaving
Autoriteit Persoonsgegevens als markttoezichthouder
In Nederland is de Autoriteit Persoonsgegevens (AP) aangewezen als nationale markttoezichthouder voor de AI Act. Dat is een bewuste keuze: de AP heeft al expertise in het beoordelen van gegevensverwerkingen en geautomatiseerde systemen. Maar het betekent ook dat de AP nu twee wettelijke kaders gelijktijdig handhaaft — GDPR én AI Act.
Dit heeft praktische gevolgen. Een klacht over een AI-systeem dat persoonlijke beslissingen neemt kan door de AP onderzocht worden vanuit twee invalshoeken tegelijk: schending van Art. 22 AVG (geen menselijk toezicht) én schending van de AI Act (hoog-risico systeem niet geregistreerd of zonder technisch dossier). De AP kan op beide gronden handhaven en boetes opleggen. Het totale boeterisico is daarmee aanzienlijk groter dan bij één toezichtkader.
Praktisch: Praktisch: behandel de AP als toezichthouder op het snijvlak van privacy en AI. Zorg dat bij elk AI-systeem dat besluiten neemt over mensen de documentatie op orde is voor beide kaders: een verwerkingsregister (AVG) én een technisch dossier (AI Act).
Wat moet je dubbel regelen?
Hieronder vind je een praktische checklist van maatregelen die zowel de AVG als de AI Act vereisen. Dit zijn de punten waar een geïntegreerde aanpak het meeste oplevert.
Rechtsgrondslag voor gegevensverwerkingen in het AI-systeem
Transparantiedocumentatie voor beslissingen over individuen
Procedure voor menselijke beoordeling van geautomatiseerde besluiten
Impact assessment vóór ingebruikname
Register van verwerkingsactiviteiten / technisch dossier
Biasdetectie en monitoring op discriminatie
Beveiligingsmaatregelen voor het AI-systeem
Procedure voor datalekken en AI-incidenten
Gerelateerde artikelen
DPIA vs FRIA: Wanneer heb je welke nodig?
Een gedetailleerde vergelijking van beide impact assessments, inclusief wanneer je ze kunt combineren.
Lees meerArtikel 10 AI Act: Data en datagovernance voor hoog-risico AI
Wat vereist Artikel 10 precies voor trainingsdata? En hoe verhoudt dit zich tot de AVG-beginselen?
Lees meerDPIA vs FRIA: Praktische vergelijking voor compliance-teams
Stap-voor-stap uitleg van hoe je DPIA en FRIA kunt integreren in één beoordelingsproces.
Lees meerAVG en AI: DMA & GDPR gezamenlijke richtlijnen
Hoe de toezichthouders omgaan met de samenloop van meerdere Europese digitaliseringsregels.
Lees meerHoe compliant ben je op beide fronten?
De AI Readiness Score toetst je organisatie specifiek op de raakvlakken tussen de AI Act en gerelateerde wetgeving zoals GDPR. Je krijgt een score per thema en concrete aanbevelingen.