Als ondernemer in Nederland krijgt u te maken met steeds meer regelgeving rondom technologie en data. De Algemene Verordening Gegevensbescherming (AVG) kent u waarschijnlijk al — die is sinds 2018 van kracht. Nu komt daar de EU AI Act bij. Maar hoe verhouden deze twee wetten zich tot elkaar? Waar overlappen ze en waar vullen ze elkaar aan?
Twee wetten, twee invalshoeken
De AVG en de AI Act zijn allebei Europese verordeningen, maar ze benaderen technologie vanuit een ander perspectief. De AVG beschermt persoonsgegevens. De wet regelt hoe organisaties persoonlijke data mogen verzamelen, verwerken en opslaan. Het uitgangspunt is de bescherming van de privacy van individuen.
De AI Act reguleert AI-systemen. De wet richt zich op de veiligheid, transparantie en betrouwbaarheid van kunstmatige intelligentie. Het uitgangspunt is dat AI-systemen geen onacceptabele risicos mogen vormen voor fundamentele rechten en veiligheid.
In de praktijk overlappen deze twee wetten regelmatig. Veel AI-systemen verwerken namelijk persoonsgegevens. Een AI-tool die cv's screent verwerkt persoonlijke data van sollicitanten en valt tegelijkertijd in de hoog-risico categorie van de AI Act. U moet dan aan beide wetten voldoen.
Waar overlappen de AVG en AI Act?
Er zijn vier belangrijke gebieden waar de twee wetten samenkomen.
Het eerste gebied is de Data Protection Impact Assessment (DPIA). Onder de AVG moet u een DPIA uitvoeren wanneer gegevensverwerking een hoog risico vormt voor betrokkenen. De AI Act vereist een vergelijkbare risicobeoordeling voor hoog-risico AI-systemen. In veel gevallen kunt u deze beoordelingen combineren. De AI Act verwijst zelfs expliciet naar de DPIA uit de AVG en stelt dat gebruiksverantwoordelijken de uitkomsten van hun AI-risicobeoordeling mogen gebruiken om aan de DPIA-verplichting te voldoen.
Het tweede gebied is transparantie. Beide wetten eisen transparantie, maar op verschillende manieren. De AVG vereist dat u betrokkenen informeert over geautomatiseerde besluitvorming en profilering. De AI Act vereist dat gebruikers weten dat ze met AI communiceren en dat aanbieders documentatie verstrekken over hoe het systeem werkt. Als uw AI-systeem persoonsgegevens verwerkt, moet u aan beide transparantieverplichtingen voldoen.
Het derde gebied is menselijk toezicht. De AVG geeft betrokkenen het recht om niet onderworpen te worden aan volledig geautomatiseerde besluitvorming met rechtsgevolgen. De AI Act vereist menselijk toezicht op hoog-risico AI-systemen. Beide wetten stellen dus grenzen aan hoe ver u AI-systemen autonoom mag laten beslissen over mensen.
Het vierde gebied is documentatie. Zowel de AVG als de AI Act vereisen uitgebreide documentatie. De AVG eist een verwerkingsregister. De AI Act eist technische documentatie en een AI-register. Hoewel de inhoud verschilt, kunt u de processen voor het bijhouden van deze documentatie efficient combineren.
Belangrijke verschillen
Ondanks de overlap zijn er wezenlijke verschillen die u moet begrijpen.
Het toepassingsgebied verschilt fundamenteel. De AVG geldt alleen wanneer persoonsgegevens worden verwerkt. De AI Act geldt voor alle AI-systemen, ook als ze geen persoonsgegevens verwerken. Een AI-systeem dat productieprocessen optimaliseert zonder persoonlijke data te gebruiken valt wel onder de AI Act maar niet onder de AVG.
De handhaving is anders georganiseerd. De AVG wordt in Nederland gehandhaafd door de Autoriteit Persoonsgegevens. Voor de AI Act wordt een aparte toezichthouder aangewezen, mogelijk de Rijksinspectie Digitale Infrastructuur. Dit betekent dat u met verschillende toezichthouders te maken kunt krijgen voor hetzelfde AI-systeem.
De boetestructuur verschilt eveneens. AVG-boetes kunnen oplopen tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet. AI Act-boetes kunnen oplopen tot 35 miljoen euro of 7 procent van de jaaromzet. Bij overtreding van beide wetten tegelijk riskeert u dus dubbele boetes van verschillende toezichthouders.
Praktische gevolgen voor uw organisatie
Wat betekent dit concreet voor u als ondernemer? Het belangrijkste inzicht is dat AVG-compliance niet automatisch AI Act-compliance oplevert en andersom. U heeft een geintegreerde aanpak nodig die beide wetten afdekt.
Begin met uw bestaande AVG-documentatie. Als u al een verwerkingsregister heeft, kunt u dit uitbreiden met AI-specifieke informatie. Veel van de processen die u voor AVG-compliance heeft ingericht — zoals het uitvoeren van impact assessments, het documenteren van verwerkingen en het waarborgen van transparantie — vormen een stevige basis voor AI Act-compliance.
Controleer per AI-systeem of het persoonsgegevens verwerkt. Als dat het geval is, moet u zowel de AVG- als de AI Act-verplichtingen naleven. Documenteer dit expliciet in uw AI-register zodat u bij een inspectie direct kunt aantonen dat u beide wetten in acht neemt.
Stel een geintegreerd compliance-team samen. In veel organisaties zijn AVG-compliance en IT-governance gescheiden verantwoordelijkheden. Met de komst van de AI Act is het verstandig om deze expertise te bundelen. Uw Functionaris Gegevensbescherming (FG) en uw AI-verantwoordelijke moeten nauw samenwerken.
De rol van uw Functionaris Gegevensbescherming
Als uw organisatie een FG heeft, krijgt deze een belangrijke rol bij AI Act-compliance. De FG heeft al expertise op het gebied van dataverwerkingen, impact assessments en toezicht. Deze kennis is direct relevant voor de AI Act.
Concreet kan de FG helpen bij het beoordelen of AI-systemen persoonsgegevens verwerken, het uitvoeren van gecombineerde DPIA- en AI-risicobeoordelingen, het adviseren over de transparantieverplichtingen en het waarborgen dat menselijk toezicht adequaat is ingericht.
Let op: de AI Act vereist geen formele functionaris zoals de FG onder de AVG. Maar het is verstandig om een duidelijke verantwoordelijke aan te wijzen voor AI-compliance. Dit kan dezelfde persoon zijn als uw FG, zeker in kleinere organisaties.
Aan de slag met een geintegreerde aanpak
De overlap tussen de AVG en de AI Act biedt kansen. Organisaties die al goed op weg zijn met AVG-compliance hebben een voorsprong bij de AI Act. De denkwijze van privacy by design sluit naadloos aan bij de eisen van de AI Act voor transparantie, menselijk toezicht en risicobeheer.
De AI Risicoscanner van AIComplianceHub houdt rekening met beide wetten. Bij het scannen van uw AI-systemen wordt automatisch beoordeeld of er persoonsgegevens worden verwerkt en welke gecombineerde verplichtingen gelden. Zo krijgt u in een keer inzicht in uw complete compliance-positie — zowel voor de AVG als de AI Act. Start vandaag nog met een scan en ontdek waar u staat.