Wettelijk kader 5 mei 2026 7 min lezen

AI Act vs AVG: wat is het verschil en waar overlappen ze?

Veel bedrijven denken: "We zijn AVG-compliant, dus AI Act-compliant ook wel." Dat klopt niet. Hier is hoe de twee wetten zich verhouden.

De AVG kennen Nederlandse bedrijven inmiddels goed — sinds 2018 zijn privacyverklaringen, verwerkersovereenkomsten en datalekprocedures gemeengoed. De EU AI Act komt daar bovenop. En ja: "bovenop", niet "in plaats van". Beide wetten gelden tegelijk, met deels overlappende, deels totaal verschillende verplichtingen.

Wie alleen aan de AVG voldoet, voldoet niet automatisch aan de AI Act. En andersom: een AI-systeem dat netjes onder de AI Act is ingericht, kan nog steeds een AVG-overtreding zijn als het persoonsgegevens verkeerd verwerkt.

De kern van beide wetten in één tabel

  AVG (GDPR) EU AI Act
Beschermt Personen tegen onrechtmatige verwerking van hun persoonsgegevens Personen en de samenleving tegen risico's van AI-systemen (ook zonder persoonsgegevens)
Trigger Verwerking van persoonsgegevens Op de markt brengen of inzetten van een AI-systeem
Rolverdeling Verwerkingsverantwoordelijke / verwerker Provider / deployer / importeur / distributeur
Risicogebaseerd Gedeeltelijk (DPIA bij hoog risico) Ja — vier risicocategorieën
Maximale boete €20 mln of 4% jaaromzet €35 mln of 7% jaaromzet (bij verboden AI)
Toezichthouder NL Autoriteit Persoonsgegevens AP (coördinator) + sectorale instanties
Sinds 25 mei 2018 Gefaseerd vanaf 2 feb 2025; volledig 2 aug 2026

Drie scenario's die helpen

Scenario 1: Alleen AVG, geen AI Act

U gebruikt een klassiek CRM-systeem. Geen machine learning, geen AI — gewoon database-functionaliteit. Hier geldt alleen de AVG. De AI Act komt niet in beeld omdat er geen AI-systeem is.

Scenario 2: Alleen AI Act, geen AVG

U gebruikt een AI-systeem voor industriële kwaliteitscontrole — foto's van producten op de productielijn, geen mensen in beeld. Geen persoonsgegevens, dus geen AVG-issue. Maar als het systeem hoog-risico is (bv. machineveiligheid onder bijlage I), gelden de AI Act-verplichtingen wel.

Scenario 3: Allebei tegelijk

U gebruikt een AI-tool voor cv-screening. Dit is hoog-risico onder de AI Act én verwerking van persoonsgegevens onder de AVG. U heeft dan dubbel werk: een DPIA (AVG) én een Fundamental Rights Impact Assessment (AI Act). Dit is verreweg de meest voorkomende situatie in het MKB.

Stelregel: raakt uw AI-toepassing mensen (klanten, medewerkers, sollicitanten) op een manier die hen kan beïnvloeden? Dan zijn AVG én AI Act vrijwel altijd allebei van toepassing.

Vier overlapzones waar het mis gaat

1. Doelbinding versus AI-trainingsdata

De AVG eist dat u persoonsgegevens alleen gebruikt voor het oorspronkelijke doel. Veel AI-leveranciers gebruiken klantdata om hun model te verbeteren. Dat is een nieuw doel — dus AVG-grondslag nodig — en raakt onder de AI Act ook de transparantieplicht (art. 13).

2. Recht op uitleg (art. 22 AVG)

Als een AI volledig automatisch een beslissing neemt over een persoon (afwijzing kredietaanvraag, sollicitatie), heeft die persoon onder de AVG recht op uitleg en menselijke tussenkomst. De AI Act voegt daar voor hoog-risico AI eigen transparantie-eisen aan toe. Vaak hetzelfde document werkt voor beide.

3. DPIA en FRIA: verschillende documenten, deels overlappende inhoud

Een DPIA bekijkt risico's voor privacy. Een FRIA (Fundamental Rights Impact Assessment, art. 27 AI Act) bekijkt risico's voor grondrechten in bredere zin (gelijke behandeling, vrije meningsuiting, etc.). De AP staat toe dat u beide combineert in één document, mits alle vragen aan bod komen.

4. Datalekken vs AI-incidenten

Onder de AVG meldt u datalekken binnen 72 uur. Onder de AI Act meldt u ernstige incidenten met hoog-risico AI binnen 15 dagen (kortere termijn bij overlijden of gevaar voor kritieke infrastructuur). Een prompt-lek met persoonsgegevens via ChatGPT kan beide meldingen triggeren.

Wat u nu moet doen

  1. Maak een lijst van AI-tools die uw bedrijf gebruikt (zie ook ons stappenplan voor het AI-register).
  2. Markeer per tool: verwerkt het persoonsgegevens? Is het hoog-risico onder de AI Act?
  3. Voor "ja-ja"-tools: combineer DPIA + FRIA in één document.
  4. Update uw AI-beleid en privacyverklaring met verwijzing naar beide kaders.
  5. Train medewerkers op de raakvlakken — zie AI-geletterdheid (artikel 4).
Veelgemaakte denkfout

"Onze leverancier is AVG-compliant, dus we zijn safe." Niet waar. AVG-compliance van uw leverancier zegt niets over of het systeem hoog-risico is onder de AI Act, of over uw eigen verplichtingen als deployer. Vraag uw leverancier expliciet om een AI Act-statement — los van de DPA.

Voldoet u aan beide wetten?

Onze gratis check toetst zowel uw AVG-raakvlakken als uw AI Act-positie en geeft u een concrete actielijst.

Start de gratis check

Meer lezen

Compliance

EU AI Act compliance: complete gids
Toezicht

AI Act naleving en de toezichthouder
Wetsuitleg

Artikel 2 AI Act: voor wie geldt de wet?

Meer in de kennisbank

EU AI Act voor het MKB AI Act deadlines 2026 Compliance checklist EU AI Act compliance Naleving & toezichthouder AI wet boetes AI-register opstellen AI beleid opstellen AI-geletterdheid (art. 4) High-risk AI systemen Artikel 2: reikwijdte Artikel 3: definities Artikel 5: verboden AI Artikel 50: transparantie AI Act voor recruitment AI Act & personeelsbeleid AI Act financiele sector AI Act in de zorg AI Act voor marketing AI Act in onderwijs Gemeenten & overheid AI Act voor ZZP'ers Generatieve AI op de werkvloer ChatGPT & de AI Act Copilot & AI Act Google Gemini & AI wet DeepSeek & AI Act Open source AI & AI Act