De AVG kennen Nederlandse bedrijven inmiddels goed, sinds 2018 zijn privacyverklaringen, verwerkersovereenkomsten en datalekprocedures gemeengoed. De EU AI Act komt daar bovenop. En ja: "bovenop", niet "in plaats van". Beide wetten gelden tegelijk, met deels overlappende, deels totaal verschillende verplichtingen.
Wie alleen aan de AVG voldoet, voldoet niet automatisch aan de AI Act. En andersom: een AI-systeem dat netjes onder de AI Act is ingericht, kan nog steeds een AVG-overtreding zijn als het persoonsgegevens verkeerd verwerkt.
De kern van beide wetten in één tabel
| AVG (GDPR) | EU AI Act | |
|---|---|---|
| Beschermt | Personen tegen onrechtmatige verwerking van hun persoonsgegevens | Personen en de samenleving tegen risico's van AI-systemen (ook zonder persoonsgegevens) |
| Trigger | Verwerking van persoonsgegevens | Op de markt brengen of inzetten van een AI-systeem |
| Rolverdeling | Verwerkingsverantwoordelijke / verwerker | Provider / deployer / importeur / distributeur |
| Risicogebaseerd | Gedeeltelijk (DPIA bij hoog risico) | Ja, vier risicocategorieën |
| Maximale boete | €20 mln of 4% jaaromzet | €35 mln of 7% jaaromzet (bij verboden AI) |
| Toezichthouder NL | Autoriteit Persoonsgegevens | AP (coördinator) + sectorale instanties |
| Sinds | 25 mei 2018 | Gefaseerd vanaf 2 feb 2025; volledig 2 aug 2026 |
Drie scenario's die helpen
Scenario 1: Alleen AVG, geen AI Act
U gebruikt een klassiek CRM-systeem. Geen machine learning, geen AI, gewoon database-functionaliteit. Hier geldt alleen de AVG. De AI Act komt niet in beeld omdat er geen AI-systeem is.
Scenario 2: Alleen AI Act, geen AVG
U gebruikt een AI-systeem voor industriële kwaliteitscontrole, foto's van producten op de productielijn, geen mensen in beeld. Geen persoonsgegevens, dus geen AVG-issue. Maar als het systeem hoog-risico is (bv. machineveiligheid onder bijlage I), gelden de AI Act-verplichtingen wel.
Scenario 3: Allebei tegelijk
U gebruikt een AI-tool voor cv-screening. Dit is hoog-risico onder de AI Act én verwerking van persoonsgegevens onder de AVG. U heeft dan dubbel werk: een DPIA (AVG) én een Fundamental Rights Impact Assessment (AI Act). Dit is verreweg de meest voorkomende situatie in het MKB.
Stelregel: raakt uw AI-toepassing mensen (klanten, medewerkers, sollicitanten) op een manier die hen kan beïnvloeden? Dan zijn AVG én AI Act vrijwel altijd allebei van toepassing.
Vier overlapzones waar het mis gaat
1. Doelbinding versus AI-trainingsdata
De AVG eist dat u persoonsgegevens alleen gebruikt voor het oorspronkelijke doel. Veel AI-leveranciers gebruiken klantdata om hun model te verbeteren. Dat is een nieuw doel, dus AVG-grondslag nodig, en raakt onder de AI Act ook de transparantieplicht (art. 13).
2. Recht op uitleg (art. 22 AVG)
Als een AI volledig automatisch een beslissing neemt over een persoon (afwijzing kredietaanvraag, sollicitatie), heeft die persoon onder de AVG recht op uitleg en menselijke tussenkomst. De AI Act voegt daar voor hoog-risico AI eigen transparantie-eisen aan toe. Vaak hetzelfde document werkt voor beide.
3. DPIA en FRIA: verschillende documenten, deels overlappende inhoud
Een DPIA bekijkt risico's voor privacy. Een FRIA (Fundamental Rights Impact Assessment, art. 27 AI Act) bekijkt risico's voor grondrechten in bredere zin (gelijke behandeling, vrije meningsuiting, etc.). De AP staat toe dat u beide combineert in één document, mits alle vragen aan bod komen.
4. Datalekken vs AI-incidenten
Onder de AVG meldt u datalekken binnen 72 uur. Onder de AI Act meldt u ernstige incidenten met hoog-risico AI binnen 15 dagen (kortere termijn bij overlijden of gevaar voor kritieke infrastructuur). Een prompt-lek met persoonsgegevens via ChatGPT kan beide meldingen triggeren.
Wat u nu moet doen
- Maak een lijst van AI-tools die uw bedrijf gebruikt (zie ook ons stappenplan voor het AI-register).
- Markeer per tool: verwerkt het persoonsgegevens? Is het hoog-risico onder de AI Act?
- Voor "ja-ja"-tools: combineer DPIA + FRIA in één document.
- Update uw AI-beleid en privacyverklaring met verwijzing naar beide kaders.
- Train medewerkers op de raakvlakken, zie AI-geletterdheid (artikel 4).
"Onze leverancier is conform de AVG, dus we zijn safe." Niet waar. AVG-naleving van uw leverancier zegt niets over of het systeem hoog-risico is onder de AI Act, of over uw eigen verplichtingen als deployer. Vraag uw leverancier expliciet om een AI Act-statement, los van de DPA.
Voldoet u aan beide wetten?
Onze gratis check toetst zowel uw AVG-raakvlakken als uw AI Act-positie en geeft u een concrete actielijst.
Start de gratis check