Wanneer is er sprake van geautomatiseerde besluitvorming onder de AVG?

AVG artikel 22 is van toepassing als een besluit uitsluitend op basis van geautomatiseerde verwerking wordt genomen, dat besluit rechtsgevolgen heeft voor de betrokkene of de betrokkene anderszins in aanzienlijke mate treft, en er geen of slechts marginale menselijke betrokkenheid is. Denk aan een AI die automatisch bepaalt of een kredietaanvraag wordt goedgekeurd of een CV wordt afgewezen, zonder dat een mens de beslissing daadwerkelijk beoordeelt.

Wat is het verschil tussen profilering en geautomatiseerde besluitvorming?

Profilering is het automatisch analyseren van persoonskenmerken om iemand in te delen of iets over diegene te voorspellen, zoals koopgedrag, kredietwaardigheid of prestaties. Geautomatiseerde besluitvorming is het nemen van een besluit op basis van die analyse zonder menselijke tussenkomst. Profilering valt altijd onder de AVG als het persoonsgegevens betreft. Geautomatiseerde besluitvorming met rechtsgevolgen is extra streng geregeld in artikel 22.

Welke rechten heeft een betrokkene bij geautomatiseerde beslissingen?

Betrokkenen hebben het recht om niet uitsluitend onderworpen te worden aan geautomatiseerde besluitvorming die rechtsgevolgen heeft of hen aanzienlijk treft. Ze hebben ook het recht op menselijke tussenkomst, het recht om hun standpunt kenbaar te maken, en het recht om de beslissing te laten betwisten. Jij als verwerkingsverantwoordelijke bent verplicht dit mogelijk te maken en er transparant over te zijn.

Moet ik een DPIA uitvoeren voor geautomatiseerde besluitvorming?

In de meeste gevallen wel. De Autoriteit Persoonsgegevens vermeldt grootschalige profilering en geautomatiseerde besluitvorming die rechtsgevolgen heeft als een van de verwerkingen die vrijwel altijd een DPIA vereisen. Zeker als het gaat om bijzondere categorieën persoonsgegevens (zoals gezondheidsdata of etnische afkomst) is een DPIA verplicht.

Hoe verhoudt AVG artikel 22 zich tot de AI Act?

De AI Act en de AVG overlappen op dit punt. De AI Act classificeert AI-systemen die besluiten nemen over mensen in bepaalde contexten (zoals werving, krediet of sociale uitkeringen) als hoog-risico. Voor die systemen gelden verplichtingen rondom transparantie, menselijk toezicht en technische documentatie. Voldoen aan de AI Act-vereisten helpt aan de AVG-naleving, maar vervangt die niet.

Hoe documenteer je AI-beslissingen die mensen raken? (AVG artikel 22)

AI Act, AVG, Compliance

5/29/2026

Je salesteam gebruikt een AI-tool die leads scoort op aankoopkans. Je HR-systeem filtert sollicitanten automatisch op basis van een set criteria. Je fintech-oplossing beoordeelt kredietaanvragen zonder dat een mens elke afzonderlijke aanvraag bekijkt.

Dat klinkt als efficiëntie. Maar als die systemen beslissingen nemen die mensen direct raken, dan is er meer aan de hand dan een handig stukje software.

AVG artikel 22 en de EU AI Act stellen samen concrete documentatievereisten voor geautomatiseerde besluitvorming. Dit artikel legt uit wat die vereisten zijn en hoe je ze in de praktijk uitvoert.

Wanneer valt een systeem onder artikel 22 AVG?

Artikel 22 AVG is van toepassing als aan drie voorwaarden tegelijk wordt voldaan.

De eerste: het besluit wordt uitsluitend of grotendeels genomen door een geautomatiseerd systeem. Er is geen of slechts marginale menselijke betrokkenheid bij de daadwerkelijke beslissing.

De tweede: het besluit heeft rechtsgevolgen voor de betrokkene of treft hem of haar anderszins in aanzienlijke mate. Denk aan het weigeren van een kredietaanvraag, het afwijzen van een sollicitant, het beëindigen van een verzekering, of het aanpassen van de prijs die iemand betaalt op basis van een risicoklasse.

De derde: de beslissing betreft een geïdentificeerd of identificeerbaar persoon.

Als je AI-tool lead-scores toekent maar een mens altijd de uiteindelijke beslissing neemt, zit je waarschijnlijk in de profileringscategorie maar niet volledig in artikel 22. Zodra de tool de actie rechtstreeks bepaalt, zonder dat een mens de afzonderlijke beslissing beoordeelt, ben je in artikel 22-territorium.

Wat de AI Act er bovenop legt

De EU AI Act voegt een extra laag toe voor een specifieke subset van geautomatiseerde beslissingssystemen: hoog-risico AI.

AI-systemen die besluiten nemen in bepaalde contexten worden automatisch als hoog-risico geclassificeerd. De sectoren die dit betreft zijn werving en personeelsselectie, kredietbeoordeling, beoordeling van recht op sociale uitkeringen, strafrechtelijke risicoanalyse, en beslissingen over toegang tot essentiële private en publieke diensten.

Voor hoog-risico AI-systemen vereist de AI Act:

Technische documentatie van hoe het systeem werkt
Logging van beslissingen (automatisch bijgehouden)
Menselijk toezicht: een persoon moet de beslissing kunnen bekijken en terugdraaien
Transparantie richting betrokkenen over het feit dat een AI-systeem wordt ingezet
Registratie in het AI-systemenregister

Dit is geen theoretische verplichting. Voor deployers van hoog-risico AI wordt dit afdwingbaar vanaf augustus 2026.

Wat je minimaal moet documenteren

Of je nu primair onder artikel 22 AVG valt, de AI Act, of allebei: de kern van wat je moet vastleggen overlapt sterk.

Beschrijving van het systeem: Naam van het systeem, leverancier, versie. Welke functionaliteit maakt de beslissing. Op basis van welke inputvariabelen. Welk type AI wordt toegepast (regelgebaseerd, machine learning, of combinatie).

Doel en grondslag: Waarvoor gebruik je dit systeem? Op welke rechtsgrondslag verwerk je de persoonsgegevens die het systeem gebruikt? Als het gaat om bijzondere categorieën persoonsgegevens, welke uitzondering van artikel 9 AVG is van toepassing?

Reikwijdte van de beslissing: Welke beslissingen neemt of ondersteunt het systeem? Wie worden erdoor geraakt? Hoe aanzienlijk zijn de gevolgen voor die personen?

Menselijk toezicht: Wie in je organisatie kan een door het systeem gegenereerde beslissing bekijken en terugdraaien? Is er een procedure voor bezwaar door betrokkenen? Wie is daarvoor het aanspreekpunt?

Betrokkenheid van betrokkenen: Worden betrokkenen geïnformeerd dat een geautomatiseerd systeem een beslissing over hen neemt? Op welk moment en via welk kanaal?

Risicoanalyse: Is er een DPIA uitgevoerd? Zo ja, wanneer en wat waren de uitkomsten? Zijn er restrisico's en zo ja, welke maatregelen zijn genomen?

Updatehistorie: Wanneer is het systeem voor het laatst geëvalueerd? Zijn er wijzigingen doorgevoerd in de beslissingslogica?

Het praktische documentatietemplate per systeem

Voor elk geautomatiseerd beslissingssysteem in je organisatie leg je het volgende vast. Je kunt dit per systeem invullen in je verwerkingsregister en je AI-register. Die twee documenten zijn verbonden voor systemen die persoonsgegevens verwerken.

Systeem: [naam] Leverancier: [naam] In gebruik sinds: [datum]

Wat doet het systeem: [Korte beschrijving van de AI-functionaliteit en het beslissingsproces]

Welke persoonsgegevens worden verwerkt: [Lijst van datatypes, bijv. naam, inkomen, browshistorie, CV-inhoud]

Rechtsgrondslag (AVG): [Gerechtvaardigd belang / toestemming / wettelijke verplichting / uitvoering overeenkomst]

Worden bijzondere categorieën verwerkt: [Ja / Nee. Zo ja: welke uitzondering (Art. 9)]

Gevolgen van het besluit voor betrokkenen: [Beschrijf wat er voor de betrokkene verandert als gevolg van het besluit]

Menselijk toezicht: [Wie kan een beslissing bekijken en terugdraaien? Hoe?]

Transparantie richting betrokkenen: [Worden betrokkenen geïnformeerd? Via welk kanaal en op welk moment?]

DPIA uitgevoerd: [Ja / Nee / Niet van toepassing. Datum laatste review.]

Verantwoordelijke intern: [Naam / functie]

Laatste evaluatie systeem: [Datum]

Dit template geeft je de minimale documentatie die je nodig hebt voor zowel artikel 22 AVG als de AI Act. Je kunt het uitbreiden met technische details als de AI Act dat vereist voor jouw specifieke systeem.

De meest gemaakte fout: menselijk toezicht op papier

Veel organisaties schrijven in hun documentatie dat "een mens altijd de eindbeslissing neemt." In de praktijk klopt dat zelden.

Als de AI een voorstel doet en de medewerker dat voorstel in 95% van de gevallen overneemt zonder inhoudelijke beoordeling, dan is er geen echt menselijk toezicht. Er is een rubber stamp.

De AI Act en artikel 22 AVG vereisen dat menselijk toezicht betekenisvol is. Dat betekent: de persoon heeft de kennis, de tijd en de bevoegdheid om de beslissing daadwerkelijk te beoordelen en zo nodig te overschrijven.

Beschrijf in je documentatie niet alleen dat menselijk toezicht bestaat, maar ook hoe het in de praktijk werkt. Hoeveel tijd krijgt de medewerker per beslissing? Heeft diegene de context om het AI-voorstel te beoordelen? Wordt er bijgehouden wanneer het AI-voorstel wordt overschreven?

Hoe je dit aan je leverancier vraagt

Als je een SaaS-tool gebruikt die geautomatiseerde beslissingen neemt, ben je afhankelijk van je leverancier voor een deel van de documentatie. Dat is geen excuus om het niet te hebben.

Stel je leverancier de volgende vragen:

Welke inputvariabelen gebruikt het systeem om een beslissing te nemen?
Is er logging van individuele beslissingen beschikbaar?
Biedt het systeem een mogelijkheid voor menselijke override?
Welke technische documentatie kan de leverancier aanleveren voor AI Act-compliance?

Als de leverancier dit niet kan beantwoorden, is dat een risicosignaal. Het is ook informatie die je in je verwerkersovereenkomst kunt opnemen als verplichting.

In ComplianceHive leg je geautomatiseerde besluitvorming vast als onderdeel van je AI-register en je verwerkingsregister, met de velden die de AI Act en de AVG vereisen.

Wat nu?

Heb je systemen in je organisatie die besluiten nemen over mensen? Begin dan met een inventaris. Weet welke systemen je gebruikt en welke gevolgen de beslissingen hebben voor betrokkenen.

Van daaruit bouw je de documentatie op per systeem, stap voor stap. De AI-inventaris is het vertrekpunt. Lees daarvoor ons stappenplan voor het opstellen van een AI-inventaris.

Gebruik je geautomatiseerde besluitvorming die mensen raakt en wil je de documentatie op orde brengen? ComplianceHive helpt je AI-systemen registreren met de juiste velden voor artikel 22 AVG en de EU AI Act, inclusief menselijk toezicht en betrokkenenrechten. Probeer 30 dagen gratis.

Dit artikel is algemene informatie en geen juridisch advies. Raadpleeg een gekwalificeerde jurist of privacyspecialist voor een beoordeling die specifiek is voor jouw situatie.