De EU AI Act en de AVG/GDPR zijn twee fundamenteel verschillende wetten met een ander doel. Waar de AVG de privacy van persoonsgegevens beschermt, reguleert de EU AI Act de risico’s van AI-systemen zelf, ongeacht of die systemen persoonsgegevens verwerken. De twee wetten vullen elkaar aan en overlappen op specifieke punten, maar vervangen elkaar niet. In dit artikel beantwoorden we de meest gestelde vragen over het verschil tussen beide wetten en wat dat betekent voor jouw organisatie.
Wat regelt de EU AI Act dat de AVG niet dekt?
De EU AI Act regelt de veiligheid, transparantie en betrouwbaarheid van AI-systemen gedurende hun volledige levenscyclus. De AVG richt zich uitsluitend op de verwerking van persoonsgegevens. De AI Act gaat verder: die is van toepassing op elk AI-systeem, ook als het geen persoonsgegevens verwerkt, en stelt eisen aan het ontwerp, de werking en het risicobeheer van die systemen.
Concreet regelt de EU AI Act zaken die buiten de scope van de AVG vallen, zoals:
- Het verbod op manipulatieve AI-technieken die gedrag sturen buiten iemands bewustzijn
- Verplichte technische documentatie van AI-systemen conform specifieke bijlagen
- Eisen aan de kwaliteit van trainingsdata, inclusief het mitigeren van bias
- Verplichte CE-markering en registratie in een EU-databank voor hoog-risicosystemen
- Menselijk toezicht als ontwerpvereiste, inclusief bescherming tegen automatiseringsbias
- Regels voor General Purpose AI-modellen (GPAI) zoals grote taalmodellen
De AVG stelt eisen aan wat er met persoonsgegevens gebeurt. De EU AI Act stelt eisen aan hoe een AI-systeem is gebouwd, getest en ingezet, ongeacht het type data dat het verwerkt. Dat is een wezenlijk ander vertrekpunt.
Op welke organisaties is de EU AI Act van toepassing?
De EU AI Act is van toepassing op elke organisatie die AI-systemen ontwikkelt, in de handel brengt, importeert, distribueert of gebruikt binnen de Europese Unie. Dat geldt ook voor organisaties buiten de EU die AI-systemen aanbieden aan gebruikers binnen de EU. De wet maakt onderscheid tussen verschillende rollen met elk eigen verplichtingen.
De belangrijkste rollen zijn:
- Aanbieders (providers): organisaties die een AI-systeem ontwikkelen en op de markt brengen. Zij dragen de zwaarste verplichtingen.
- Deployers (gebruiksverantwoordelijken): organisaties die een AI-systeem onder eigen gezag inzetten. Zij hebben lichtere maar concrete verplichtingen, zoals het toewijzen van menselijk toezicht en het bewaren van logs gedurende minimaal zes maanden.
- Importeurs en distributeurs: zij moeten verifiëren dat conformiteitsbeoordelingen zijn uitgevoerd en de bijbehorende documentatie tien jaar bewaren.
Een belangrijk aandachtspunt: een deployer, importeur of distributeur wordt zelf aanbieder met alle bijbehorende verplichtingen als hij zijn naam op een systeem zet, een substantiële wijziging aanbrengt of het beoogde doel zodanig aanpast dat een systeem in de hoog-risicocategorie valt. Aanbieders buiten de EU moeten bovendien een gemachtigde vertegenwoordiger binnen de EU aanwijzen.
Wat zijn de risicocategorieën in de EU AI Act en hoe werken ze?
De EU AI Act werkt met vier risiconiveaus: onaanvaardbaar risico (verboden), hoog risico (streng gereguleerd), beperkt risico (lichte transparantieverplichtingen) en minimaal of geen risico (ongereguleerd). De meeste huidige AI-toepassingen vallen in de laagste categorie en zijn vrij van specifieke verplichtingen.
Verboden AI-toepassingen
Toepassingen met een onaanvaardbaar risico zijn volledig verboden, en deze verboden zijn per 2 februari 2025 van kracht. Het gaat onder meer om AI die subliminale manipulatietechnieken inzet, systemen voor social scoring door overheden, emotieherkenning op de werkplek of in onderwijsinstellingen (behoudens medische of veiligheidsuitzonderingen), en real-time biometrische identificatie in openbare ruimten voor rechtshandhaving buiten strikt omschreven uitzonderingen.
Hoog-risico AI-systemen
Hoog-risico AI is gedefinieerd via twee routes. Ten eerste: systemen die een veiligheidscomponent vormen van een product waarop EU-harmonisatiewetgeving van toepassing is. Ten tweede: systemen die vallen binnen een van de acht domeinen uit Annex III, waaronder biometrie, kritieke infrastructuur, onderwijs, werkgelegenheid, toegang tot essentiële diensten, rechtshandhaving, migratie en rechtsbedeling. Systemen die profilering van natuurlijke personen uitvoeren, zijn altijd hoog-risico, ook als ze verder een beperkte functie hebben.
Welke verplichtingen overlappen tussen de AI Act en de AVG?
De EU AI Act en de AVG overlappen op het gebied van gegevensbescherming bij hoog-risico AI-systemen. Deployers van hoog-risicosystemen moeten waar van toepassing een gegevensbeschermingseffectbeoordeling (DPIA) uitvoeren, een verplichting die ook al onder de AVG geldt bij hoog-risico gegevensverwerking. Beide wetten vereisen bovendien transparantie richting betrokkenen en leggen nadruk op menselijk toezicht.
Verdere overlappende elementen zijn:
- Rechten van betrokkenen: Personen die aan een beslissing van een hoog-risico AI-systeem zijn onderworpen, kunnen op grond van Artikel 86 van de AI Act een uitleg opvragen van de bepalende factoren. De AVG kent een vergelijkbaar recht bij geautomatiseerde besluitvorming (Artikel 22 AVG).
- Logging en documentatie: Beide wetten vereisen vastlegging van verwerkingen en besluiten, zij het met andere specificaties en bewaartermijnen.
- Datakwaliteit: De AI Act stelt eisen aan trainingsdata (relevant, representatief, zo vrij mogelijk van fouten en bias). De AVG stelt eisen aan de nauwkeurigheid van persoonsgegevens. Bij AI-systemen die op persoonsgegevens trainen, gelden dus beide sets eisen tegelijk.
In de praktijk betekent dit dat organisaties hun AI-gedreven processen moeten beoordelen vanuit beide wettelijke kaders, omdat naleving van de ene wet niet automatisch naleving van de andere garandeert.
Wat zijn de boetes en handhaving onder de EU AI Act versus de AVG?
Beide wetten kennen forse boetes, maar de systematiek verschilt. De AVG hanteert boetes tot 20 miljoen euro of 4% van de wereldwijde jaaromzet. De EU AI Act kent drie boetecategorieën afhankelijk van de ernst van de overtreding: tot 35 miljoen euro of 7% van de wereldwijde jaaromzet voor overtredingen van de verboden praktijken, tot 15 miljoen euro of 3% voor andere overtredingen, en tot 7,5 miljoen euro of 1,5% voor het verstrekken van onjuiste informatie.
Qua handhaving introduceert de EU AI Act een nieuw toezichtlandschap. Het AI Office van de Europese Commissie houdt toezicht op GPAI-modellen en modellen met systeemrisico. Nationale toezichthouders zijn verantwoordelijk voor de handhaving van de overige bepalingen. In Nederland zal de Autoriteit Persoonsgegevens naar verwachting een rol spelen bij de handhaving op het snijvlak van AI en gegevensbescherming, maar de exacte taakverdeling tussen toezichthouders wordt in 2026 verder uitgewerkt.
Een relevant verschil is dat de AVG al volledig van kracht is, terwijl de EU AI Act gefaseerd in werking treedt. De verboden praktijken gelden vanaf 2 februari 2025, de verplichtingen voor GPAI-modelaanbieders vanaf 2 augustus 2025, en de volledige hoog-risicoverplichtingen later in de inwerkingtredingsperiode.
Hoe bereiden Nederlandse organisaties zich voor op beide wetten tegelijk?
Nederlandse organisaties bereiden zich het beste voor door eerst een AI-inventarisatie uit te voeren, de risicocategorie van elk systeem te bepalen, en vervolgens de overlap tussen AVG-verplichtingen en AI Act-verplichtingen in kaart te brengen. Door compliance-inspanningen te combineren, voorkom je dubbel werk en bouw je een samenhangend governance-raamwerk.
Een praktische aanpak in stappen:
- Inventariseer alle AI-systemen die je organisatie gebruikt of ontwikkelt, inclusief ingekochte tools van externe leveranciers.
- Classificeer elk systeem op risiconiveau volgens de AI Act. Systemen in Annex III of met profilering van personen zijn hoog-risico.
- Beoordeel de rol van je organisatie: ben je aanbieder, deployer, importeur of distributeur? Elke rol brengt andere verplichtingen.
- Koppel bestaande AVG-processen aan de nieuwe AI Act-verplichtingen. Bestaande DPIA-procedures, verwerkingsregisters en incidentmeldprocessen kunnen als basis dienen.
- Richt menselijk toezicht in voor hoog-risicosystemen en zorg dat de betrokken medewerkers zijn getraind en bekwaam zijn voor die rol.
- Bewaar logs en documentatie conform de vereiste termijnen: deployers bewaren logs minimaal zes maanden, importeurs bewaren conformiteitsdocumentatie tien jaar.
Voor organisaties die AI inzetten in klantcontact of procesautomatisering is het ook van belang werknemers voorafgaand aan ingebruikname te informeren over AI-systemen, zoals vereist door Artikel 26(7) van de AI Act.
Hoe Pegamento helpt bij AI-compliance en verantwoorde AI-inzet
Wij begrijpen dat de combinatie van de EU AI Act en de AVG voor veel organisaties complex aanvoelt. Zeker als je tegelijkertijd werkt aan het verbeteren van je klantcontact, het automatiseren van processen en het moderniseren van je systemen. Bij Pegamento ontwikkelen we AI-oplossingen voor customer service die van meet af aan zijn ontworpen met menselijk toezicht, transparantie en verantwoorde inzet als uitgangspunt. Onze Agentic AI is een evolutie van uitvoerende bots naar zelfdenkende assistenten die niet alleen instructies opvolgen, maar zelfstandig initiatief nemen en handelen, en dat altijd binnen duidelijke kaders met menselijke controle.
Wat we voor jouw organisatie kunnen betekenen:
- Inzicht in welke AI-toepassingen binnen jouw klantcontactomgeving onder welke risicocategorie vallen
- Implementatie van AI-systemen waarbij logging, documentatie en menselijk toezicht standaard zijn ingebouwd
- Eén aanspreekpunt voor ontwikkeling, implementatie, beheer en ondersteuning, zodat je geen complexe leveranciersstructuur hoeft te managen
- Oplossingen op maat met standaard bouwblokken, gecertificeerd conform ISO 27001 (informatiebeveiliging), ISO 9001 en ISO 26000
Wil je weten hoe je jouw AI-inzet tegelijk toekomstbestendig en compliant maakt? Neem contact op en we denken graag met je mee.
Veelgestelde vragen
Geldt de EU AI Act ook als mijn organisatie alleen gebruikmaakt van AI-tools van externe leveranciers, zoals ChatGPT of Microsoft Copilot?
Ja, ook als je uitsluitend AI-tools van derden inzet, val je als deployer onder de EU AI Act. Je bent dan verantwoordelijk voor het toewijzen van menselijk toezicht, het bewaren van logs gedurende minimaal zes maanden en het informeren van medewerkers vóór ingebruikname. Controleer bovendien of de leverancier voldoet aan zijn verplichtingen als aanbieder, want jij bent als deployer mede verantwoordelijk voor de naleving binnen jouw organisatiecontext.
Wat gebeurt er als een AI-systeem dat we nu gebruiken achteraf toch als hoog-risico wordt geclassificeerd?
Als een systeem alsnog in de hoog-risicocategorie blijkt te vallen, moet je organisatie alsnog voldoen aan alle bijbehorende verplichtingen, zoals het inrichten van menselijk toezicht, het opstellen van technische documentatie en het uitvoeren van een DPIA. Hoe eerder je een correcte classificatie uitvoert, hoe meer tijd je hebt om compliant te worden vóór de handhavingsdeadlines. Een proactieve AI-inventarisatie is dan ook geen eenmalige exercitie, maar iets dat je periodiek moet herhalen, zeker wanneer een systeem van functie of scope verandert.
Moeten we onze bestaande DPIA's aanpassen nu de EU AI Act van kracht is?
Niet per se aanpassen, maar wel uitbreiden en aanvullen. Een bestaande DPIA onder de AVG dekt de risico's voor persoonsgegevens, maar de EU AI Act vereist dat deployers van hoog-risico AI-systemen ook de bredere AI-specifieke risico's meenemen, zoals automatiseringsbias, robuustheid en de kwaliteit van trainingsdata. Praktisch gezien kun je een AI-specifiek addendum aan bestaande DPIA's toevoegen, zodat je één geïntegreerd beoordelingsdocument hebt dat aan beide wettelijke kaders voldoet.
Hoe informeer ik medewerkers correct over het gebruik van AI-systemen, zoals vereist door de AI Act?
Artikel 26(7) van de EU AI Act verplicht deployers om werknemers vóór ingebruikname te informeren over de AI-systemen waarmee zij werken. In de praktijk betekent dit dat je minimaal uitlegt welk systeem wordt ingezet, wat het doet, welke beslissingen het ondersteunt of neemt, en hoe medewerkers hun toezichthoudende rol kunnen uitoefenen. Dit kan via een intern beleidsdocument, een gerichte training of een onboardingsmodule — zorg in elk geval dat je kunt aantonen dat de informatie daadwerkelijk is verstrekt vóór de livegang.
Wat is het risico als we niets doen en afwachten tot de handhaving volledig op gang komt?
Afwachten is riskant om meerdere redenen. De verboden op bepaalde AI-toepassingen zijn al per 2 februari 2025 van kracht, wat betekent dat je bij gebruik van verboden systemen nu al boetes kunt oplopen van tot 35 miljoen euro of 7% van je wereldwijde jaaromzet. Bovendien kost het opbouwen van een compliant AI-governance raamwerk aanzienlijk meer tijd dan organisaties doorgaans inschatten, zeker als je ook AVG-processen moet integreren. Vroeg beginnen geeft je de ruimte om stapsgewijs en zonder tijdsdruk te werken.
Geldt de EU AI Act ook voor AI-systemen die we intern gebruiken en niet aan klanten aanbieden?
Ja, de EU AI Act is ook van toepassing op intern ingezette AI-systemen, mits ze binnen de EU worden gebruikt. Denk aan systemen voor HR-beslissingen, prestatiebeoordeling of werving en selectie — dit zijn expliciet genoemde hoog-risicotoepassingen in Annex III. Het feit dat een systeem niet publiek toegankelijk is of geen klantgerichte functie heeft, ontslaat je organisatie niet van de verplichtingen die gelden voor de risicocategorie waarin het systeem valt.
Hoe weet ik of een AI-leverancier echt compliant is met de EU AI Act, en wat moet ik contractueel vastleggen?
Vraag leveranciers om aantoonbare documentatie: technische documentatie conform de AI Act-bijlagen, een conformiteitsverklaring (bij hoog-risicosystemen), en informatie over hoe zij omgaan met datakwaliteit, bias-mitigatie en menselijk toezicht. Contractueel is het verstandig om afspraken te maken over wie welke verplichtingen draagt, wat er gebeurt bij een substantiële wijziging van het systeem, en hoe de leverancier jou informeert bij wijzigingen die de risicocategorie kunnen beïnvloeden. Nalatigheid van een leverancier ontslaat jou als deployer namelijk niet van je eigen verantwoordelijkheid.


