Jouw verwerkingsregister is al 70% van je AI Act-dossier, zo maak je de koppeling
GDPR, AI Act, Compliance
Je hebt een verwerkingsregister. Verplicht volgens artikel 30 AVG, en je hebt er waarschijnlijk een paar middagen aan zitten zwoegen. En nu komt de AI Act eraan. Het voelt alsof je weer van nul moet beginnen.
Dat hoef je niet.
Grof gezegd dekt je verwerkingsregister al zo'n 70% van wat de AI Act vraagt. Doel, gegevens, betrokkenen, leverancier, bewaartermijn: dat staat er allemaal in. De AI Act vraagt om een handvol extra velden bovenop wat je al hebt. Meer is het niet.
Hieronder laat ik zien welke velden overlappen, welke je nog mist, en hoe je beide dossiers in één werkstroom houdt.
Waarom overlappen de AVG en AI Act zo sterk?
Beide wetten staan op hetzelfde fundament: transparantie, risicobeheersing en verantwoording. De AVG gaat over persoonsgegevens, de AI Act over AI-systemen. Zodra je AI-systeem persoonsgegevens verwerkt (een chatbot, een recruitmenttool, een voorspellingsmodel), zit je in beide regimes tegelijk.
Dat is geen ongelukje. De AI Act verwijst op meerdere plekken naar de AVG, en je herkent veel begrippen die je al kent: dataminimalisatie, doelbinding, documentatieplicht. De AI Act bouwt voort op de AVG. Vervangen doet hij hem niet.
Kortom: je hebt al meer in handen dan je denkt.
De vijf belangrijkste overlappingen
Hieronder zie je vijf kernverplichtingen uit de AI Act, en welk veld uit je verwerkingsregister er al iets over zegt.
| AI Act-verplichting | Wat het inhoudt | Welk AVG-veld dekt dit al? | |---|---|---| | Artikel 13: Transparantie naar gebruikers | Mensen moeten weten dat ze met een AI-systeem te maken hebben en wat het doet | Artikel 13 en 14 AVG: informatieplicht naar betrokkenen, doel van de verwerking | | Artikel 9: Risicobeheersysteem | Risico's voor gezondheid, veiligheid en grondrechten in kaart brengen | DPIA (artikel 35 AVG): risicobeoordeling voor hoog-risico verwerkingen | | Artikel 17: Kwaliteitsmanagementsysteem | Documenteren hoe je het AI-systeem ontwikkelt, test en onderhoudt | Verantwoordingsplicht (artikel 5 lid 2 AVG): documentatie van maatregelen | | Artikel 12: Logging en monitoring | Bijhouden hoe het AI-systeem wordt gebruikt en wat de uitkomsten zijn | Audit trail (artikel 30 en 32 AVG): registratie van toegang en verwerkingen | | Artikel 4: AI-geletterdheid | Medewerkers die met AI werken moeten weten hoe het werkt en wat de risico's zijn | Awareness en training (artikel 39 AVG): medewerkers informeren over privacy |
Vijf verplichtingen die je grotendeels al beantwoordt vanuit AVG-documentatie. Niet omdat de wetgever lui was, maar omdat hij niet wilde dat bedrijven hetzelfde werk twee keer moeten doen.
Wat staat er al in je verwerkingsregister?
Pak het er even bij. Voor elke verwerking heb je vrijwel zeker:
- Naam en doel van de verwerking
- Categorieën persoonsgegevens
- Categorieën betrokkenen
- Ontvangers en doorgiften
- Bewaartermijn
- Beveiligingsmaatregelen
- Leverancier en verwerkersovereenkomst
Voor een AI-tool die persoonsgegevens verwerkt, kun je deze velden vrijwel ongewijzigd gebruiken voor je AI Act-dossier. Voorbeeld: je gebruikt een AI-tool voor cv-screening. In je verwerkingsregister staat dan al iets als:
- Doel: voorselectie van sollicitanten
- Gegevens: cv's, motivatiebrieven, contactgegevens
- Betrokkenen: sollicitanten
- Leverancier: naam van de tool, verwerkersovereenkomst getekend
- Bewaartermijn: vier weken na afronding sollicitatieprocedure
Dat is al flink wat van je AI Act-documentatie. De rest is AI-specifiek.
Wat moet je nog toevoegen voor de AI Act?
Die laatste 30% zit in vijf velden die alleen voor AI-systemen relevant zijn:
- Risicoklasse: valt het systeem onder onaanvaardbaar, hoog, beperkt of minimaal risico? Voor cv-screening: hoog risico (HR-categorie uit Annex III).
- Doel en context van het AI-systeem: wat doet het, in welke situaties, voor welke beslissingen wordt het ingezet?
- Menselijke controle: wie kijkt naar de uitkomsten, hoe vaak, en met welk mandaat om in te grijpen?
- Kwaliteitsmaatregelen: hoe weet je dat het systeem werkt zoals bedoeld? Denk aan biastesten, accuratesse-checks, periodieke evaluaties.
- Logging en incidentenregistratie: hoe leg je vast wat het systeem doet en wat er misgaat?
Vijf velden, geen vijftig. Voor de meeste mkb-bedrijven kost dit een paar uur per AI-tool. Geen heel nieuw project.
Een werkstroom die beide dekt
Praktisch aanpakken doe je zo:
Stap 1: Inventariseer welke AI-tools je gebruikt. Maak een lijst van alle AI-systemen in je organisatie. Denk breed. ChatGPT-accounts van medewerkers, een AI-spamfilter, de chatbot op je website, recruitmentsoftware, voorspellingsmodellen in je CRM.
Stap 2: Check welke al in je verwerkingsregister staan. Veel AI-tools die persoonsgegevens verwerken horen er sowieso al in. Zo niet, voeg ze toe via je normale AVG-werkstroom.
Stap 3: Bepaal de risicoklasse per AI-systeem. Gebruik de AI Act risicoclassificatie voor het mkb als leidraad. De meeste tools vallen in beperkt of minimaal risico. Een enkele zit in hoog risico.
Stap 4: Vul de vijf AI Act-velden in. Per AI-tool. Voor laag-risicotools is dit een korte aantekening, voor hoog-risicotools wordt het uitgebreider.
Stap 5: Houd één bron van waarheid. Werk niet met twee losse registers die je apart moet bijhouden. Eén systeem, twee weergaves.
Die laatste stap is waar het bij veel organisaties misgaat. Een Excel-bestand voor de AVG, een tweede voor de AI Act, en niemand die ze synchroon houdt. Drie maanden later kloppen ze allebei niet meer.
Waarom één gekoppeld register werkt
Stel je vervangt je oude AI-chatbot door een nieuwe. In een gesplitste setup pas je drie plekken aan: je verwerkingsregister, je AI-register, en je interne documentatie. In een gekoppeld register doe je het op één plek en volgt de rest automatisch.
Tijdwinst is mooi, maar de echte waarde zit ergens anders: het voorkomt inconsistenties. De Autoriteit Persoonsgegevens en de aankomende AI-toezichthouder zullen kijken of je registers met elkaar kloppen. Geeft je verwerkingsregister een bewaartermijn van vier weken aan en je AI-dossier zes maanden, dan heb je een probleem voordat ze überhaupt naar de inhoud kijken.
Eén bron, twee weergaves. Dat is het idee.
Hoe ComplianceHive dit oplost
In ComplianceHive voeg je een AI-tool toe aan je verwerkingsregister, en de AI Act-velden worden automatisch voorgesteld op basis van wat je al hebt ingevuld. Doel, gegevens, leverancier en betrokkenen worden overgenomen. Je vult zelf alleen de AI-specifieke velden in: risicoklasse, menselijke controle, kwaliteitsmaatregelen.
Resultaat: één gekoppeld register dat zowel voor je AVG-audit als voor AI Act-compliance werkt. Geen dubbele administratie, geen Excel-sheets die je moet bijhouden naast je register.
FAQ
Overlappen de AI Act en de AVG?
Ja, fors. Beide wetten vragen om transparantie, risicobeoordeling, documentatie en verantwoording. Als je AI-systemen persoonsgegevens verwerken (wat bijna altijd het geval is), val je onder beide kaders. Onze schatting: ongeveer 70% van de informatie die je nodig hebt voor je AI Act-dossier zit al in je AVG-verwerkingsregister.
Moet ik AI-tools opnemen in mijn verwerkingsregister?
Ja, als een AI-tool persoonsgegevens verwerkt, hoort hij in je AVG-verwerkingsregister volgens artikel 30 AVG. Denk aan ChatGPT voor klantenservice, een AI-recruitmenttool, of een voorspellingsmodel voor klantgedrag. De AI Act komt daar bovenop met extra eisen, maar het verwerkingsregister blijft het uitgangspunt.
Wat is het verschil tussen een AI-register en een verwerkingsregister?
Een verwerkingsregister documenteert hoe je persoonsgegevens verwerkt (AVG). Een AI-register documenteert welke AI-systemen je gebruikt en met welk risiconiveau (AI Act). De velden overlappen voor ongeveer 70%: doel, betrokken personen, gegevenscategorieën, leverancier en bewaartermijn staan in beide. De AI Act voegt risicoclassificatie, menselijke controle en AI-specifieke transparantie toe.
Hoe bespaar ik tijd door AVG en AI Act samen te doen?
Begin met je bestaande verwerkingsregister en breid het uit met vijf AI-specifieke velden: risicoklasse, doel van het AI-systeem, menselijke controle, kwaliteitsmaatregelen en logging. Zo voorkom je dubbel werk en houd je één bron van waarheid. Een tool die beide registers koppelt (zoals ComplianceHive) vult AI Act-velden automatisch in zodra je een AI-tool toevoegt aan je verwerkingsregister.
Aan de slag
Klaar om je verwerkingsregister te koppelen aan je AI Act-dossier?
- Start hier: Beheer je AI-systeemregister
- Of begin bij de basis: Stel je AVG-verwerkingsregister op
Zo doe je AVG en AI Act in één werkstroom, zonder dat je twee aparte administraties hoeft bij te houden.
Dit artikel is algemene informatie en geen juridisch advies. Voor specifieke vragen over jouw situatie raden we aan contact op te nemen met een gespecialiseerde jurist of de Autoriteit Persoonsgegevens.