AI-verordening vs AVG: Belangrijkste verschillen en samenhang
Inleiding
Met de komst van de EU AI-verordening (Verordening (EU) 2024/1689) krijgt Europa er een tweede krachtig regelgevend kader bij naast de Algemene Verordening Gegevensbescherming (AVG/GDPR). Beide verordeningen raken organisaties die AI-systemen ontwikkelen of gebruiken, maar ze doen dit vanuit een fundamenteel ander perspectief.
Voor compliance officers, Data Protection Officers (DPO's) en juridisch adviseurs roept dit belangrijke vragen op: Waar overlappen de twee verordeningen? Waar vullen ze elkaar aan? En hoe organiseert u compliance voor beide kaders efficient?
Dit artikel biedt een systematische vergelijking van de AI-verordening en de AVG, met praktische handvatten voor een geintegreerde compliance-aanpak.
Fundamentele verschillen
Reguleringsonderwerp
De eerste en meest fundamentele verschil is wat beide verordeningen reguleren:
| Aspect | AVG (2016/679) | AI-verordening (2024/1689) |
|---|---|---|
| Onderwerp | Verwerking van persoonsgegevens | AI-systemen als technologie |
| Focus | Bescherming van individuen bij gegevensverwerking | Veiligheid en grondrechten bij AI-gebruik |
| Scope | Alle verwerking van persoonsgegevens | AI-systemen, ongeacht of persoonsgegevens worden verwerkt |
| Benadering | Beginselengestuurd (rechtmatigheid, doelbinding, dataminimalisatie) | Risicogebaseerd (vier risicocategorieen) |
Kernpunt: De AVG is van toepassing zodra er persoonsgegevens worden verwerkt, ongeacht de gebruikte technologie. De AI-verordening is van toepassing zodra er een AI-systeem wordt gebruikt, ongeacht of er persoonsgegevens bij betrokken zijn.
Toepassingsgebied
| Criterium | AVG | AI-verordening |
|---|---|---|
| Materieel | Verwerking van persoonsgegevens | In de handel brengen, in gebruik stellen of gebruiken van AI-systemen |
| Territoriaal | Vestiging in EU of aanbieden aan EU-ingezetenen | Marktintroductie in EU, gebruik in EU, of output gebruikt in EU |
| Uitgezonderd | Zuiver persoonlijk/huishoudelijk gebruik; nationale veiligheid | Militaire/defensietoepassingen; puur wetenschappelijk onderzoek; open source (onder voorwaarden) |
Verantwoordelijke partijen
| Rol | AVG | AI-verordening |
|---|---|---|
| Primair verantwoordelijk | Verwerkingsverantwoordelijke | Aanbieder (provider) |
| Secundair verantwoordelijk | Verwerker | Gebruiker (deployer) |
| Overige | Gezamenlijke verwerkingsverantwoordelijken | Importeur, distributeur, gemachtigde vertegenwoordiger |
Waar beide verordeningen overlappen
De overlap tussen de AVG en de AI-verordening is aanzienlijk, met name bij AI-systemen die persoonsgegevens verwerken. De belangrijkste raakvlakken:
1. Geautomatiseerde besluitvorming
AVG Artikel 22 geeft betrokkenen het recht om niet onderworpen te worden aan een uitsluitend op geautomatiseerde verwerking gebaseerd besluit dat rechtsgevolgen heeft of hen anderszins in aanmerkelijke mate treft. Dit recht vereist:
- Menselijke tussenkomst
- Recht om het standpunt kenbaar te maken
- Recht om het besluit aan te vechten
AI-verordening Artikel 14 vereist dat hoog-risico AI-systemen zodanig worden ontworpen dat effectief menselijk toezicht mogelijk is, inclusief:
- Begrip van de capaciteiten en beperkingen van het systeem
- Mogelijkheid om de output te interpreteren
- Mogelijkheid om het systeem te negeren of te stoppen
Samenhang: Beide verordeningen eisen menselijke betrokkenheid bij geautomatiseerde beslissingen die personen raken. De AVG richt zich op het recht van de betrokkene; de AI-verordening richt zich op het ontwerp van het systeem. Organisaties moeten aan beide voldoen.
2. Transparantie en uitlegbaarheid
AVG Artikelen 13-14 vereisen dat betrokkenen worden geinformeerd over het bestaan van geautomatiseerde besluitvorming, inclusief "nuttige informatie over de onderliggende logica" en de gevolgen.
AI-verordening Artikel 13 vereist dat hoog-risico AI-systemen vergezeld gaan van duidelijke en begrijpelijke gebruiksinstructies, inclusief informatie over het beoogde doel, het nauwkeurigheidsniveau en bekende risico's.
AI-verordening Artikel 50 vereist dat personen die met bepaalde AI-systemen interageren (chatbots, deepfakes) daarover worden geinformeerd.
Samenhang: De transparantieverplichtingen vullen elkaar aan. De AVG vereist transparantie naar de betrokkene; de AI-verordening vereist transparantie in de documentatie van het systeem en naar de gebruiker (deployer) ervan.
3. Data governance en kwaliteit
AVG Artikel 5, lid 1, onder d bevat het beginsel van juistheid: persoonsgegevens moeten juist zijn en zo nodig worden bijgewerkt.
AI-verordening Artikel 10 stelt uitgebreide eisen aan data governance voor hoog-risico AI-systemen:
- Trainings-, validatie- en testdatasets moeten voldoen aan kwaliteitscriteria
- Datasets moeten relevant, representatief en zoveel mogelijk vrij van fouten zijn
- Er moet rekening worden gehouden met mogelijke bias
- Verwerking van bijzondere categorieen persoonsgegevens is onder voorwaarden toegestaan voor bias-detectie (Artikel 10, lid 5)
Samenhang: De datakwaliteitseisen van de AI-verordening zijn specifieker dan het AVG-beginsel van juistheid, maar beide werken naar hetzelfde doel: betrouwbare en eerlijke verwerking.
4. Effectbeoordelingen
AVG Artikel 35 vereist een Data Protection Impact Assessment (DPIA) bij verwerking die waarschijnlijk een hoog risico voor de rechten en vrijheden van personen inhoudt.
AI-verordening Artikel 27 vereist dat gebruikers (deployers) van hoog-risico AI-systemen een fundamentele-rechteneffectbeoordeling uitvoeren voordat zij het systeem in gebruik nemen.
AI-verordening Artikel 9 vereist een risicomanagementsysteem voor hoog-risico AI-systemen.
Samenhang: Beide verordeningen eisen een voorafgaande risicobeoordeling, maar vanuit een ander perspectief. De DPIA richt zich op gegevensbeschermingsrisico's; de AI Act-effectbeoordeling richt zich op bredere grondrechtenrisico's. In de praktijk zullen deze beoordelingen grotendeels overlappen en kunnen zij worden geintegreerd.
5. Rechten van betrokkenen
AVG Artikelen 15-22 geven betrokkenen uitgebreide rechten: inzage, rectificatie, wissing, beperking, overdraagbaarheid, bezwaar en het recht om niet aan geautomatiseerde besluitvorming te worden onderworpen.
AI-verordening: Bevat geen directe individuele rechten vergelijkbaar met de AVG, maar versterkt indirect de positie van betrokkenen door:
- Transparantieverplichtingen (Artikel 13, 50)
- Menselijk toezicht (Artikel 14)
- Klachtrecht bij markttoezichtautoriteiten
- Recht op uitleg bij hoog-risico AI-beslissingen die rechten raken (Artikel 86)
De wisselwerking in de praktijk
Scenario 1: AI-kredietscoring
Een bank gebruikt een AI-systeem voor kredietscoring:
| Vereiste | AVG-verplichting | AI Act-verplichting |
|---|---|---|
| Rechtsgrondslag | Noodzakelijk voor contract of gerechtvaardigd belang (Art. 6) | N.v.t. (AI Act reguleert niet de rechtsgrondslag) |
| Transparantie | Informeren over geautomatiseerde besluitvorming en logica (Art. 13-14) | Gebruiksinstructies met informatie over beoogd doel en nauwkeurigheid (Art. 13) |
| Menselijke betrokkenheid | Recht op menselijke tussenkomst (Art. 22) | Systeem moet menselijk toezicht faciliteren (Art. 14) |
| Datakwaliteit | Juistheid van persoonsgegevens (Art. 5) | Kwaliteitseisen voor trainingsdata, bias-monitoring (Art. 10) |
| Risicobeoordeling | DPIA (Art. 35) | Fundamentele-rechteneffectbeoordeling (Art. 27) + Risicomanagementsysteem (Art. 9) |
| Documentatie | Register van verwerkingsactiviteiten (Art. 30) | Technische documentatie (Art. 11) + Logging (Art. 12) |
| Toezicht | Autoriteit Persoonsgegevens | AP + DNB (sectoraal) |
Scenario 2: AI-chatbot voor klantenservice
Een verzekeraar zet een AI-chatbot in voor klantcontact:
| Vereiste | AVG-verplichting | AI Act-verplichting |
|---|---|---|
| Informeren | Privacy-informatie bij gegevensverzameling (Art. 13) | Informeren dat men met AI communiceert (Art. 50) |
| Rechtsgrondslag | Toestemming of gerechtvaardigd belang | N.v.t. |
| Gegevensminimalisatie | Alleen noodzakelijke gegevens verwerken (Art. 5) | N.v.t. (tenzij hoog-risico) |
| Classificatie | N.v.t. | Beperkt risico (transparantieverplichtingen) |
Scenario 3: AI-systeem voor HR-screening
Een bedrijf gebruikt AI om sollicitanten te screenen:
| Vereiste | AVG-verplichting | AI Act-verplichting |
|---|---|---|
| Classificatie | N.v.t. | Hoog-risico (Bijlage III, categorie 4) |
| Rechtsgrondslag | Toestemming of gerechtvaardigd belang (Art. 6) | N.v.t. |
| Bijzondere gegevens | Verwerking onder strikte voorwaarden (Art. 9) | Toegestaan voor bias-detectie (Art. 10, lid 5) |
| Transparantie | Informeren over geautomatiseerde besluitvorming (Art. 13-14, 22) | Volledige technische documentatie + gebruiksinstructies (Art. 11, 13) |
| Effectbeoordeling | DPIA verplicht (Art. 35) | Fundamentele-rechteneffectbeoordeling verplicht (Art. 27) |
Geintegreerde compliance-aanpak
Stap 1: Geintegreerde inventarisatie
Voer een gecombineerde inventarisatie uit van:
- Alle verwerkingen van persoonsgegevens (AVG)
- Alle AI-systemen (AI-verordening)
- De overlap: AI-systemen die persoonsgegevens verwerken
Stap 2: Gezamenlijke effectbeoordeling
Integreer de DPIA (AVG) en de fundamentele-rechteneffectbeoordeling (AI Act) in een enkel beoordelingsproces. Beide beoordelingen delen veel gemeenschappelijke elementen:
- Beschrijving van het systeem en de verwerking
- Noodzakelijkheid en evenredigheid
- Risico-identificatie
- Mitigerende maatregelen
Stap 3: Uniforme documentatie
Richt een documentatiesysteem in dat beide kaders dekt:
- Register van verwerkingsactiviteiten (AVG Art. 30) gecombineerd met het AI-systeemregister
- Technische documentatie (AI Act Art. 11) aangevuld met AVG-relevante informatie
- Privacy-beleid aangevuld met AI-transparantie-informatie
Stap 4: Gecoordineerd toezicht
Stem uw interne governance af:
- DPO en AI-compliance officer werken samen (of dezelfde persoon bekleedt beide rollen)
- Gezamenlijk escalatieproces voor incidenten die onder beide verordeningen vallen
- Gecoordineerde communicatie met toezichthouders
Spanningsvelden tussen AVG en AI-verordening
Ondanks de complementariteit bestaan er ook spanningsvelden:
Dataminimalisatie vs. datakwaliteit
De AVG vereist dataminimalisatie (alleen verwerken wat noodzakelijk is), terwijl de AI-verordening representatieve datasets vereist die mogelijk meer data vergen. De AI-verordening lost dit deels op door in Artikel 10, lid 5 expliciet toe te staan dat bijzondere categorieen persoonsgegevens worden verwerkt voor bias-detectie, mits dit strikt noodzakelijk is.
Recht op wissing vs. logging
De AVG geeft betrokkenen het recht op wissing van persoonsgegevens, terwijl de AI-verordening vereist dat activiteiten worden gelogd (Artikel 12). Organisaties moeten een balans vinden, bijvoorbeeld door logs te anonimiseren of te pseudonimiseren na een wissingsverzoek.
Doelbinding vs. hergebruik van data
De AVG vereist dat persoonsgegevens alleen worden verwerkt voor het oorspronkelijke doel. Het hergebruiken van gegevens voor het trainen van AI-modellen kan hiermee in strijd zijn, tenzij er een compatibel doel of een andere rechtsgrondslag is.
Compliance automatiseren met Matproof
Het beheren van compliance voor twee complexe verordeningen tegelijk is een enorme uitdaging. Matproof biedt een geintegreerd platform dat zowel de AVG als de AI-verordening ondersteunt:
- Multi-framework compliance: Beheer AVG en AI Act-compliance vanuit een enkel platform
- Overlap-detectie: Identificeer automatisch waar maatregelen voor beide kaders gelden
- Geintegreerde effectbeoordelingen: Voer DPIA's en AI Act-effectbeoordelingen uit in een gestroomlijnd proces
- Centraal documentatiebeheer: Een enkele bron van waarheid voor alle compliance-documentatie
Doe de Gratis AI Act Readiness Assessment en ontdek hoe uw organisatie ervoor staat.
Veelgestelde vragen
Q: Is de DPO ook verantwoordelijk voor AI Act-compliance?
A: Niet automatisch. De AI-verordening vereist geen specifieke functionaris vergelijkbaar met de DPO. In de praktijk zal de DPO echter vaak betrokken zijn bij AI Act-compliance, omdat veel AI-systemen persoonsgegevens verwerken. Organisaties kunnen ervoor kiezen de AI-compliance onder de DPO te plaatsen of een afzonderlijke AI governance-functie in te richten.
Q: Kan een DPIA de AI Act-effectbeoordeling vervangen?
A: Niet volledig. De DPIA (AVG Art. 35) richt zich specifiek op gegevensbeschermingsrisico's. De fundamentele-rechteneffectbeoordeling (AI Act Art. 27) heeft een bredere scope en kijkt ook naar risico's voor andere grondrechten, zoals non-discriminatie, vrijheid van meningsuiting en menselijke waardigheid. Wel kunnen beide beoordelingen worden geintegreerd in een enkel proces.
Q: Welke verordening gaat voor bij tegenstrijdigheid?
A: De AI-verordening stelt expliciet dat de AVG onverminderd van toepassing blijft (Artikel 2, lid 7). Bij een conflict gaat de AVG in beginsel voor wat betreft de verwerking van persoonsgegevens. De AI-verordening is complementair en voegt aanvullende eisen toe die specifiek betrekking hebben op AI-systemen.
Q: Moeten we twee aparte registers bijhouden?
A: Formeel ja: een register van verwerkingsactiviteiten (AVG Art. 30) en registratie van hoog-risico AI-systemen in de EU-databank (AI Act Art. 49). In de praktijk kunt u een geintegreerd intern register opzetten dat beide vereisten dekt, mits het alle door beide verordeningen vereiste informatie bevat.
Q: Hoe verhouden de boetes zich tot elkaar?
A: De boetes zijn cumulatief. Een organisatie kan zowel een AVG-boete (tot 20 miljoen euro of 4% omzet) als een AI Act-boete (tot 35 miljoen euro of 7% omzet) opgelegd krijgen voor dezelfde situatie. Artikel 99, lid 9 van de AI-verordening voorziet wel in coordinatie tussen toezichthouders om onevenredige bestraffing te voorkomen.
Q: Is een AI-systeem dat geen persoonsgegevens verwerkt vrijgesteld van de AVG?
A: Ja, als een AI-systeem geen persoonsgegevens verwerkt, is de AVG niet van toepassing. De AI-verordening kan echter wel van toepassing zijn, bijvoorbeeld als het AI-systeem wordt ingezet voor het beheer van kritieke infrastructuur. Dit onderstreept het verschil in scope tussen beide verordeningen.
Conclusie
De AVG en de AI-verordening zijn twee complementaire pijlers van het Europese digitale regelgevingskader. De AVG beschermt persoonsgegevens, ongeacht de gebruikte technologie. De AI-verordening reguleert AI-systemen, ongeacht of er persoonsgegevens bij betrokken zijn. Voor de meeste organisaties zullen beide verordeningen gelijktijdig van toepassing zijn.
Een geintegreerde compliance-aanpak is niet alleen efficienter, maar ook effectiever. Door bestaande AVG-processen uit te breiden met AI Act-vereisten, kunt u synergieen benutten en dubbel werk voorkomen. Begin nu met het in kaart brengen van de overlap en het opzetten van een gecombineerd compliance-raamwerk. Gratis proberen met Matproof en beheer al uw compliance vanuit een enkel platform.