AVG en AI-verordening: zo werken ze samen voor Nederlandse deployers

De AVG en AI-verordening bestaan naast elkaar, maar raken elkaar op precies de plekken waar het mis kan gaan. Wie denkt dat AVG-compliance automatisch AI-compliance betekent, heeft het mis. En wie denkt dat de AI-verordening de AVG vervangt, ook. Voor Nederlandse deployers die hoog-risico AI inzetten, geldt: je hebt twee regimes, twee toezichthouders, en op sommige punten dubbel werk — maar slim georganiseerd hoeft dat niet zo te voelen.

# Waarom bestaan ze naast elkaar?

De AVG regelt wat er met persoonsgegevens mag gebeuren. De AI-verordening regelt hoe AI-systemen ontworpen, ingezet en bewaakt worden. Die twee zijn niet hetzelfde, ook al overlappen ze.

Een AI-systeem dat sollicitanten beoordeelt verwerkt persoonsgegevens (AVG-terrein) én neemt besluiten via geautomatiseerde verwerking (AI-verordening-terrein). Je kunt dat systeem niet losgekoppeld van beide regimes beoordelen. Artikel 2 van de AI-verordening bevestigt dit expliciet: de verordening laat bestaande wetgeving over persoonsgegevensbescherming intact.

Dat klinkt netjes, maar in de praktijk betekent het dat je twee aparte documentatieverplichtingen hebt, twee sets van rechten voor betrokkenen, en in sommige gevallen twee beoordelingen die je tegelijk moet uitvoeren.

# Drie punten waar AVG en AI-verordening overlappen

1. DPIA en FRIA: twee beoordelingen, één systeem

Als je een hoog-risico AI-systeem inzet dat persoonsgegevens verwerkt, heb je onder de AVG waarschijnlijk een DPIA nodig — een gegevensbeschermingseffectbeoordeling. Dat is al staande praktijk.

Maar Artikel 27 van de AI-verordening verplicht deployers van hoog-risico AI om daarnaast een grondrechten-impactbeoordeling (FRIA) uit te voeren. Die twee beoordelingen overlappen inhoudelijk, maar zijn niet identiek. De DPIA kijkt naar risico's voor gegevensbescherming. De FRIA kijkt breder: discriminatie, toegang tot diensten, vrijheid van meningsuiting.

Kijk, je hoeft die twee niet als los-zand-processen te organiseren. Artikel 27 lid 5 zegt letterlijk dat deployers de FRIA mogen combineren met de DPIA als dat doelmatiger is. In de praktijk betekent dit: gebruik je DPIA-template als basis, voeg een FRIA-sectie toe, en documenteer beide in één document. Dat scheelt tijd en voorkomt dat dezelfde informatie op twee plekken staat.

2. Geautomatiseerde besluitvorming

AVG Artikel 22 geeft mensen het recht om niet onderworpen te worden aan louter geautomatiseerde besluitvorming die rechtsgevolgen heeft. Dat geldt al voor AI-systemen die, zonder menselijke tussenkomst, besluiten nemen over bijvoorbeeld kredietverlening of arbeidsgeschiktheid.

De AI-verordening gaat verder. Artikel 26 verplicht deployers van hoog-risico AI om menselijk toezicht te organiseren, niet alleen als opt-out voor betrokkenen, maar als standaard operationele eis. Dat zijn twee aparte rechtsgronden voor hetzelfde gedrag: mensen moeten erbij betrokken zijn.

Voor een HR-directeur die een AI-screeningstool inzet: je hebt zowel een AVG-procedure nodig voor het recht van bezwaar, als een gedocumenteerd toezichtproces onder de AI-verordening. Hetzelfde beleid kan beide dienen, maar het moet er wél zijn.

3. Transparantie naar betrokkenen

Onder de AVG heb je informatieplichten bij het verzamelen van persoonsgegevens (Artikelen 13 en 14). Betrokkenen moeten weten dat AI gebruikt wordt en wat de logica ervan is.

De AI-verordening voegt daar een extra laag aan toe. Artikel 50 verplicht deployers om mensen te informeren wanneer ze met een AI-systeem interacteren, in heldere en begrijpelijke taal. Dat is niet hetzelfde als de AVG-privacyverklaring: het gaat om actieve notificatie op het moment van interactie.

Beide verplichtingen heb je, maar ze dekken elkaar niet volledig. Een AVG-privacyverklaring voldoet niet automatisch aan Artikel 50.

# Drie concrete verschillen

Scope

De AVG geldt altijd als je persoonsgegevens verwerkt. De AI-verordening geldt alleen als je een AI-systeem gebruikt dat onder de definitie van Artikel 3 valt. Niet elk algoritme is een AI-systeem in de zin van de verordening. Een eenvoudige beslisboom of regelset valt er waarschijnlijk buiten. Machine learning-modellen die inferentie uitvoeren, vrijwel zeker niet.

Toezichthouder

De AVG wordt in Nederland gehandhaafd door de Autoriteit Persoonsgegevens (AP). De AP heeft aangegeven ook een rol te spelen bij de AI-verordening, maar de uiteindelijke markttoezichtautoriteit voor de AI-verordening is nog in aanwijzing. In Nederland wordt gekeken naar een combinatie van AP en sector-specifieke toezichthouders. Dit betekent dat je voor één AI-systeem met meerdere autoriteiten te maken kunt hebben.

Sancties

De AVG kent boetes tot 4% van de wereldwijde jaaromzet of 20 miljoen euro. De AI-verordening zit op een vergelijkbaar niveau: Artikel 99 noemt boetes tot 3% van de wereldwijde jaaromzet voor schendingen door deployers, en tot 30 miljoen euro of 6% omzet voor verboden praktijken. Beide regimes zijn van toepassing; een boete onder de ene sluit een boete onder de andere niet uit.

# Zo organiseer je beide tegelijk

Hier is hoe het werkt in de praktijk voor een bedrijf van, zeg, 80 medewerkers dat twee hoog-risico AI-systemen inzet voor HR en klantenservice.

Stap 1: Inventariseer je AI-systemen apart van je verwerkingsregister. Je AVG-verwerkingsregister bevat alle verwerkingen van persoonsgegevens. Maar niet elk AI-systeem staat er goed in beschreven. Maak een aparte AI-inventaris die aansluit op Artikel 26 lid 1 van de AI-verordening. Noteer per systeem: doel, risicocategorie, aanbieder, en of er persoonsgegevens mee verwerkt worden.

Stap 2: Voer gecombineerde DPIA/FRIA uit voor overlappende systemen. Als een AI-systeem zowel persoonsgegevens verwerkt als hoog-risico is onder Bijlage III, pak je beide beoordelingen tegelijk aan. Eén document, twee juridische gronden gedekt.

Stap 3: Leg menselijk toezicht vast. Niet als vage beleidsintentie, maar als gedocumenteerde procedure. Wie mag een AI-beslissing overrulen? Hoe wordt dat gelogd? Dit dient zowel AVG Artikel 22 als AI-verordening Artikel 26.

Stap 4: Controleer je transparantiecommunicatie. Loopt er ergens een AI-systeem dat klanten of medewerkers beoordeelt zonder dat zij dat weten? Dat is zowel een AVG-probleem als een AI-verordening-probleem. Artikel 50-notificatie en AVG-informatieplichten los je het beste in één keer op.

Stap 5: Wijs een verantwoordelijke aan. De AI-verordening verwacht onder Artikel 26 dat deployers intern iemand aanwijzen die verantwoordelijk is voor naleving. Combineer dat met de rol van je Functionaris Gegevensbescherming als je die hebt, of wijs expliciet iemand aan.

Eerlijk gezegd is de overlap hier een voordeel. De systemen die het hoogste risico opleveren onder de AI-verordening zijn nagenoeg altijd ook de systemen waarvoor je al een DPIA nodig hebt onder de AVG. Je doet niet twee keer zoveel werk — je doet hetzelfde werk twee keer zo goed.

De deadline voor deployer-verplichtingen onder de AI-verordening voor hoog-risico systemen in Bijlage III loopt in augustus 2026. Dat lijkt ver weg, maar gecombineerde DPIA/FRIA-documentatie, beleid voor menselijk toezicht, en een AI-inventaris opzetten kost tijd — zeker als je dat tegelijk met lopende AVG-verplichtingen organiseert.

Wil je weten waar jouw organisatie nu staat? Via de gratis 2-minuten compliance-check op comply.khairos.ai zie je direct welke verplichtingen voor jouw situatie gelden, voor beide regimes tegelijk.