Als ondernemer in Nederland krijgt u te maken met steeds meer regelgeving rondom technologie en data. De Algemene Verordening Gegevensbescherming (AVG) kent u waarschijnlijk al — die is sinds 2018 van kracht. Nu komt daar de EU AI Act bij. Maar hoe verhouden deze twee wetten zich tot elkaar? Waar overlappen ze en waar vullen ze elkaar aan?
Twee wetten, twee invalshoeken
De AVG en de AI Act zijn allebei Europese verordeningen, maar ze benaderen technologie vanuit een ander perspectief. De AVG beschermt persoonsgegevens. De wet regelt hoe organisaties persoonlijke data mogen verzamelen, verwerken en opslaan. Het uitgangspunt is de bescherming van de privacy van individuen.
De AI Act reguleert AI-systemen. De wet richt zich op de veiligheid, transparantie en betrouwbaarheid van kunstmatige intelligentie. Het uitgangspunt is dat AI-systemen geen onacceptabele risicos mogen vormen voor fundamentele rechten en veiligheid.
In de praktijk overlappen deze twee wetten regelmatig. Veel AI-systemen verwerken namelijk persoonsgegevens. Een AI-tool die cv's screent verwerkt persoonlijke data van sollicitanten en valt tegelijkertijd in de hoog-risico categorie van de AI Act. U moet dan aan beide wetten voldoen.
Waar overlappen de AVG en AI Act?
Er zijn vier belangrijke gebieden waar de twee wetten samenkomen.
Het eerste gebied is de Data Protection Impact Assessment (DPIA). Onder de AVG moet u een DPIA uitvoeren wanneer gegevensverwerking een hoog risico vormt voor betrokkenen. De AI Act vereist een vergelijkbare risicobeoordeling voor hoog-risico AI-systemen. In veel gevallen kunt u deze beoordelingen combineren. De AI Act verwijst zelfs expliciet naar de DPIA uit de AVG en stelt dat gebruiksverantwoordelijken de uitkomsten van hun AI-risicobeoordeling mogen gebruiken om aan de DPIA-verplichting te voldoen.
Het tweede gebied is transparantie. Beide wetten eisen transparantie, maar op verschillende manieren. De AVG vereist dat u betrokkenen informeert over geautomatiseerde besluitvorming en profilering. De AI Act vereist dat gebruikers weten dat ze met AI communiceren en dat aanbieders documentatie verstrekken over hoe het systeem werkt. Als uw AI-systeem persoonsgegevens verwerkt, moet u aan beide transparantieverplichtingen voldoen.
Het derde gebied is menselijk toezicht. De AVG geeft betrokkenen het recht om niet onderworpen te worden aan volledig geautomatiseerde besluitvorming met rechtsgevolgen. De AI Act vereist menselijk toezicht op hoog-risico AI-systemen. Beide wetten stellen dus grenzen aan hoe ver u AI-systemen autonoom mag laten beslissen over mensen.
Het vierde gebied is documentatie. Zowel de AVG als de AI Act vereisen uitgebreide documentatie. De AVG eist een verwerkingsregister. De AI Act eist technische documentatie en een AI-register. Hoewel de inhoud verschilt, kunt u de processen voor het bijhouden van deze documentatie efficient combineren.
Belangrijke verschillen
Ondanks de overlap zijn er wezenlijke verschillen die u moet begrijpen.
Het toepassingsgebied verschilt fundamenteel. De AVG geldt alleen wanneer persoonsgegevens worden verwerkt. De AI Act geldt voor alle AI-systemen, ook als ze geen persoonsgegevens verwerken. Een AI-systeem dat productieprocessen optimaliseert zonder persoonlijke data te gebruiken valt wel onder de AI Act maar niet onder de AVG.
De handhaving overlapt deels. De AVG wordt in Nederland gehandhaafd door de Autoriteit Persoonsgegevens (AP). Voor de AI Act is de AP aangewezen als coordinerende toezichthouder. Dat betekent dat dezelfde organisatie over beide wetten gaat, wat in de praktijk voordelen biedt: een inspecteur die uw AI-register bekijkt, kijkt waarschijnlijk ook naar uw verwerkingsregister. Naast de AP spelen sectorale toezichthouders een rol. De AFM kijkt naar AI in de financiele sector, de IGJ naar AI in de zorg. Voor specifieke productcategorieen (denk aan AI in machines of medische apparaten) is de Rijksinspectie Digitale Infrastructuur verantwoordelijk.
De boetestructuur verschilt wel. AVG-boetes kunnen oplopen tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet. AI Act-boetes kunnen oplopen tot 35 miljoen euro of 7 procent van de jaaromzet. Bij overtreding van beide wetten tegelijk riskeert u dubbele boetes. Dat maakt een geintegreerde aanpak extra belangrijk.
Praktische gevolgen voor uw organisatie
Wat betekent dit concreet voor u als ondernemer? Het belangrijkste inzicht is dat AVG-compliance niet automatisch AI Act-compliance oplevert en andersom. U heeft een geintegreerde aanpak nodig die beide wetten afdekt.
Begin met uw bestaande AVG-documentatie. Als u al een verwerkingsregister heeft, kunt u dit uitbreiden met AI-specifieke informatie. Veel van de processen die u voor AVG-compliance heeft ingericht — zoals het uitvoeren van impact assessments, het documenteren van verwerkingen en het waarborgen van transparantie — vormen een stevige basis voor AI Act-compliance.
Controleer per AI-systeem of het persoonsgegevens verwerkt. Als dat het geval is, moet u zowel de AVG- als de AI Act-verplichtingen naleven. Documenteer dit expliciet in uw AI-register zodat u bij een inspectie direct kunt aantonen dat u beide wetten in acht neemt.
Stel een geintegreerd compliance-team samen. In veel organisaties zijn AVG-compliance en IT-governance gescheiden verantwoordelijkheden. Met de komst van de AI Act is het verstandig om deze expertise te bundelen. Uw Functionaris Gegevensbescherming (FG) en uw AI-verantwoordelijke moeten nauw samenwerken.
De rol van uw Functionaris Gegevensbescherming
Als uw organisatie een FG heeft, krijgt deze een belangrijke rol bij AI Act-compliance. De FG heeft al expertise op het gebied van dataverwerkingen, impact assessments en toezicht. Deze kennis is direct relevant voor de AI Act.
Concreet kan de FG helpen bij het beoordelen of AI-systemen persoonsgegevens verwerken, het uitvoeren van gecombineerde DPIA- en AI-risicobeoordelingen, het adviseren over de transparantieverplichtingen en het waarborgen dat menselijk toezicht adequaat is ingericht.
Let op: de AI Act vereist geen formele functionaris zoals de FG onder de AVG. Maar het is verstandig om een duidelijke verantwoordelijke aan te wijzen voor AI-compliance. Dit kan dezelfde persoon zijn als uw FG, zeker in kleinere organisaties.
DPIA of AI-risicoanalyse: wanneer welke?
Een veelgestelde vraag: moet ik een DPIA uitvoeren, een AI-risicoanalyse, of allebei? Het antwoord hangt af van uw situatie.
Een DPIA (Data Protection Impact Assessment) is verplicht onder de AVG wanneer een gegevensverwerking waarschijnlijk een hoog risico oplevert voor de rechten van betrokkenen. Dit geldt onder meer bij grootschalige verwerking van bijzondere persoonsgegevens en bij systematische monitoring van openbare ruimten.
Een AI-risicoanalyse is verplicht onder de AI Act voor hoog-risico AI-systemen. Deze analyse kijkt breder dan alleen persoonsgegevens. U beoordeelt ook risicos op het gebied van veiligheid, discriminatie, transparantie en grondrechten.
Verwerkt uw hoog-risico AI-systeem persoonsgegevens? Dan heeft u beide nodig. De AI Act biedt hier een praktische opening: u mag de resultaten van uw AI-risicoanalyse gebruiken als input voor de DPIA. Combineer de twee waar mogelijk. Dat scheelt dubbel werk zonder aan zorgvuldigheid in te boeten.
Data governance: de brug tussen AVG en AI Act
Een onderbelicht raakvlak is data governance. De AI Act stelt voor hoog-risico systemen eisen aan de kwaliteit van trainingsdata. Data moet relevant, representatief en zo foutloos mogelijk zijn. Bias in de trainingsdata leidt tot bias in de output.
De AVG stelt eisen aan de rechtmatigheid van de gegevensverwerking. Heeft u een geldige grondslag om deze data te gebruiken? Zijn betrokkenen geinformeerd? Wordt de data niet langer bewaard dan nodig?
Voor AI-systemen die op persoonsgegevens draaien, moet u beide brillen opzetten. Uw data moet zowel kwalitatief goed zijn (AI Act) als rechtmatig verwerkt (AVG). Een praktisch voorbeeld: als u AI traint op klantdata, moet u niet alleen zorgen dat de data representatief is voor alle klantsegmenten (AI Act), maar ook dat u toestemming heeft of een andere geldige grondslag (AVG).
Aan de slag met een geintegreerde aanpak
De overlap tussen de AVG en de AI Act biedt kansen. Organisaties die al goed op weg zijn met AVG-compliance hebben een voorsprong bij de AI Act. De denkwijze van privacy by design sluit naadloos aan bij de eisen van de AI Act voor transparantie, menselijk toezicht en risicobeheer.
De AI Risicoscanner van AIComplianceHub houdt rekening met beide wetten. Bij het scannen van uw AI-systemen wordt automatisch beoordeeld of er persoonsgegevens worden verwerkt en welke gecombineerde verplichtingen gelden. Zo krijgt u in een keer inzicht in uw complete compliance-positie — zowel voor de AVG als de AI Act. Start vandaag nog met een scan en ontdek waar u staat.