Agnes vergelijkt twee documenten op haar bureau: een met AVG-tekst en een met AI Act-vereisten

AVG en EU AI Act: hoe werken de twee wetten samen?

AVG, AI Act, Compliance

Je hebt je AVG-documentatie opgezet. Dan krijg je een klantvragenlijst over AI Act-compliance. En je vraagt je af: zijn dit hetzelfde? Moet ik twee aparte projecten starten?

Het korte antwoord: het zijn twee aparte wetten, maar voor veel Nederlandse mkb-bedrijven overlappen ze in de praktijk. Als je AI-tools gebruikt die persoonsgegevens verwerken, heb je met beide te maken.

Dit artikel legt uit waar die overlap zit, waar de wetten juist van elkaar verschillen, en wat je concreet moet doen als een systeem onder beide valt.

Wat regelt de AVG en wat de AI Act?

De AVG (Algemene Verordening Gegevensbescherming) gaat over persoonsgegevens. De wet regelt wie gegevens mag verzamelen, voor welk doel, op welke grondslag, en hoe lang. De AVG geldt voor elke organisatie die persoonsgegevens verwerkt van mensen in de EU, ongeacht de omvang van de organisatie.

De EU AI Act gaat over AI-systemen. De wet regelt de ontwikkeling, het in de handel brengen en het gebruik van AI, ingedeeld naar risiconiveau. De AI Act geldt voor organisaties die AI-systemen gebruiken (deployers) en voor organisaties die ze ontwikkelen (providers). Hoe hoger het risico van het systeem, hoe strenger de verplichtingen.

De twee wetten hebben een ander vertrekpunt. De AVG beschermt mensen door regels te stellen aan wat je met hun gegevens mag doen. De AI Act beschermt mensen door regels te stellen aan hoe AI over hen mag beslissen.

Wanneer vallen AI-systemen onder beide wetten tegelijk?

Een AI-tool die persoonsgegevens verwerkt, valt automatisch onder de AVG. Tegelijkertijd valt het, als AI-systeem, onder de AI Act. De twee wetten zijn dan gelijktijdig van toepassing.

Dat geldt voor een groot deel van de AI-tools die mkb-bedrijven gebruiken. Herkenbare voorbeelden:

Een CV-screener die sollicitanten automatisch beoordeelt. AI Act: hoogstwaarschijnlijk hoog-risico (personeelsselectie). AVG: verwerkt bijzondere categorieën als de tool leert van demografische gegevens, en raakt aan artikel 22 (geautomatiseerde besluitvorming).

Een CRM met lead scoring dat klanten een score geeft op basis van gedrag. AI Act: waarschijnlijk minimaal risico, afhankelijk van hoe de score wordt gebruikt. AVG: verwerkt klantgedragsdata en valt onder profilering.

Een e-mailtool die het optimale verzendmoment voorspelt. AI Act: minimaal risico. AVG: verwerkt e-mailadressen en gedragsdata, maar de AI-functionaliteit raakt artikel 22 waarschijnlijk niet.

Een kredietbeoordelingstool voor financiële beslissingen. AI Act: hoog-risico. AVG: verwerkt financiële persoonsgegevens, raakt artikel 22 direct.

De combinatie die het meest aandacht vereist: hoog-risico AI die persoonsgegevens verwerkt en geautomatiseerde beslissingen neemt met gevolgen voor mensen.

Waar overlappen de twee wetten?

De praktische overlap zit op drie punten.

Documentatie. De AVG vereist een verwerkingsregister (RoPA): een overzicht van alle verwerkingsactiviteiten met persoonsgegevens. De AI Act vereist een AI-register: een overzicht van alle AI-systemen, met risicoklasse, AI-type en informatie over menselijk toezicht. Voor een AI-systeem dat persoonsgegevens verwerkt heb je beide nodig. Ze delen velden zoals het doel, de verantwoordelijke persoon en de betrokken gegevenssoorten, maar ze zijn geen kopie van elkaar.

Menselijk toezicht. Artikel 22 AVG vereist dat geautomatiseerde besluitvorming met rechtsgevolgen voor mensen kan worden betwist en menselijk herstel mogelijk is. De AI Act vereist voor hoog-risico systemen dat menselijk toezicht structureel is ingebouwd. Dit vertaalt zich naar hetzelfde praktische vereiste: iemand in je organisatie moet de AI-beslissing kunnen bekijken, beoordelen en zo nodig terugdraaien.

Transparantie richting betrokkenen. De AVG verplicht je om betrokkenen te informeren over hoe hun gegevens worden gebruikt, ook als AI daarbij betrokken is. De AI Act verplicht deployers van hoog-risico AI om betrokkenen te informeren dat ze met een AI-systeem te maken hebben. Die informatieplichten raken elkaar, maar zijn niet identiek.

Waar vullen ze elkaar aan zonder te overlappen?

De AI Act heeft ook toepassingsgebied buiten de AVG. Een AI-systeem dat uitsluitend werkt met geanonimiseerde data valt buiten de AVG maar kan nog steeds hoog-risico zijn onder de AI Act, als het bijvoorbeeld automatisch medische diagnoses stelt op basis van scan-uitkomsten zonder persoonsidentificatie.

De AVG heeft ook toepassingsgebied buiten de AI Act. Een eenvoudig formulier op een website dat persoonsgegevens verzamelt zonder enige AI-functionaliteit valt volledig onder de AVG, maar de AI Act is niet van toepassing.

Wat doe je als een systeem onder beide wetten valt?

De meest voorkomende fout is beide wetten als aparte projecten behandelen. Dat leidt tot dubbel werk en tot lacunes: je hebt een verwerkingsregister maar geen AI-register, of andersom.

Het startpunt is altijd hetzelfde: een AI-inventaris. Weet welke systemen je organisatie gebruikt. Stel per systeem twee vragen:

  1. Verwerkt dit systeem persoonsgegevens? Als ja: AVG van toepassing. Bepaal de rechtsgrondslag, de bewaartermijn en de betrokkenenrechten. Voeg het toe aan je verwerkingsregister.

  2. Wat is de risicoklasse onder de AI Act? Als minimaal risico: weinig extra verplichtingen. Als hoog-risico: technische documentatie, menselijk toezicht en registratie in het AI-register vereist.

Van de inventaris bouw je twee registers op, die elkaar aanvullen. Het stappenplan voor een AI-inventaris is de logische eerste stap.

Veelgemaakte vergissingen bij gelijktijdige naleving

Aanname: als je AVG-compliant bent, zit je ook goed voor de AI Act. Dat klopt niet. De AI Act stelt aparte eisen aan technische documentatie, risicoklassificatie en menselijk toezicht die de AVG niet kent.

Aanname: de AI Act geldt alleen voor techbedrijven die AI ontwikkelen. Niet juist. Als deployer van een AI-systeem heb je verplichtingen, ook als je de tool van een leverancier afneemt. Zeker voor hoog-risico systemen.

Aanname: één register is genoeg. Nee. Het verwerkingsregister en het AI-register hebben verschillende velden, verschillende doelen en worden door verschillende toezichthouders beoordeeld.

Praktisch stappenplan

Stap 1: Maak een AI-inventaris. Welke AI-tools gebruikt je organisatie? Laat medewerkers meebrengen wat ze zelf gebruiken.

Stap 2: Controleer per tool of persoonsgegevens worden verwerkt. Als ja: voeg de verwerking toe aan je verwerkingsregister. Bepaal de rechtsgrondslag en bewaartermijn.

Stap 3: Bepaal de risicoklasse per AI-systeem onder de AI Act. Lees daarvoor ons artikel over AI Act risicoklasse bepalen.

Stap 4: Leg hoog-risico systemen vast in je AI-register met de vereiste documentatie over menselijk toezicht, doel en risicomaatregelen.

Stap 5: Kijk of een systeem valt onder artikel 22 AVG (geautomatiseerde besluitvorming met rechtsgevolgen). Zo ja: voeg de aanvullende documentatie toe die in ons artikel over geautomatiseerde besluitvorming wordt beschreven.

Valt jouw AI-tool onder de AVG, de AI Act, of allebei? ComplianceHive combineert het verwerkingsregister en het AI-systemenregister in één platform. Je legt AI-systemen die persoonsgegevens verwerken één keer vast, in beide registers tegelijk. Probeer 30 dagen gratis.

Dit artikel is algemene informatie en geen juridisch advies. Raadpleeg een gekwalificeerde jurist of privacyspecialist voor een beoordeling die specifiek is voor jouw situatie.

Start vandaag nog met grip op je leveranciers en software

Laat ComplianceHive je helpen met ISO 27001, AVG, leveranciersbeheer en meer. Geen gedoe, geen spreadsheets, gewoon overzicht. Begin nu met een gratis proefperiode van 1 maand. Geen creditcard nodig, geen verborgen kosten. Ontdek het Busy Hive-plan en beheer tot wel 25 tools en leveranciers in één overzicht.

Probeer 1 maand gratis