EU AI Act en AVG: wat is het verschil?
Veel Nederlandse ondernemers denken dat de EU AI Act hetzelfde is als de AVG — of dat wie de AVG naleeft, ook automatisch voldoet aan de AI Act. Beide aannames zijn onjuist. Dit artikel legt het verschil uit en wat u extra moet regelen.
Twee wetten, twee doelen
De AVG (Algemene Verordening Gegevensbescherming) en de EU AI Act zijn twee afzonderlijke Europese wetten met elk hun eigen doel:
- De AVG beschermt persoonsgegevens. De wet regelt hoe bedrijven gegevens mogen verzamelen, opslaan en verwerken. Het uitgangspunt: mensen hebben het recht op controle over hun eigen data.
- De EU AI Act beheert de risico's van AI-systemen. De wet regelt hoe AI mag worden ontwikkeld en ingezet. Het uitgangspunt: AI mag geen onacceptabele risico's opleveren voor mensen of de samenleving.
Ze overlappen waar AI-systemen persoonsgegevens verwerken — wat bij de meeste praktische toepassingen het geval is. Maar ze zijn niet hetzelfde en vullen elkaar aan.
💡 Simpele vuistregel: De AVG gaat over data. De EU AI Act gaat over AI-systemen. Een AI-systeem dat persoonsgegevens verwerkt moet aan beide wetten voldoen.
Waar overlappen de twee wetten?
De overlap zit in AI-toepassingen die persoonsgegevens verwerken. Denk aan:
- Een chatbot die klantgegevens opslaat
- ChatGPT waaraan u klantdata toevoert
- AI-functies in uw CRM die klantprofielen analyseren
- Automatische e-mailsortering op basis van klantgedrag
Voor al deze toepassingen gelden zowel de AVG-verplichtingen (verwerkersovereenkomst, privacyverklaring, dataminimalisatie) als de AI Act-verplichtingen (AI-register, transparantie, menselijk toezicht).
Wat regelt de AVG dat de AI Act niet regelt?
- Rechten van betrokkenen: inzage, correctie, verwijdering van persoonsgegevens
- Verwerkersovereenkomsten met leveranciers die data verwerken
- Meldplicht bij datalekken (binnen 72 uur bij de AP)
- Grondslag voor verwerking: toestemming, legitiem belang, contractuitvoering
- Cookiebeleid en tracking
Wat regelt de EU AI Act dat de AVG niet regelt?
- Risicoklassificatie van AI-systemen (minimaal, beperkt, hoog, verboden)
- AI-register bijhouden van gebruikte systemen
- AI-geletterdheid van medewerkers (Artikel 4)
- Menselijk toezicht op AI-output (Artikel 14)
- Transparantie dat content door AI is gegenereerd (Artikel 50)
- Verbod op specifieke AI-toepassingen (sociale scoring, manipulatieve AI)
⚠️ Dubbel risico: Bij een incident met AI dat persoonsgegevens betreft, kan de Autoriteit Persoonsgegevens u aanspreken op zowel AVG-overtredingen als AI Act-overtredingen. Twee separate boetes zijn mogelijk voor dezelfde situatie.
Wie handhaaft beide wetten in Nederland?
In Nederland is de Autoriteit Persoonsgegevens (AP) aangewezen als toezichthouder voor zowel de AVG als de EU AI Act. Dat maakt het praktisch: één toezichthouder, twee wetten. De AP heeft al ruime ervaring met handhaving van de AVG — en past die aanpak ook toe op de AI Act.
Welke documenten heeft u nodig voor beide wetten?
Er is gelukkig veel overlap in de documentatie. Als u dit op orde heeft, voldoet u grotendeels aan beide wetten:
- Privacyverklaring — vermeld AI-gebruik en welke sub-verwerkers (AI-tools) u inzet
- Verwerkersovereenkomsten (DPA's) — met alle leveranciers die data verwerken, inclusief AI-toolaanbieders
- AI-register — overzicht van alle gebruikte AI-systemen
- AI-reglement — spelregels voor medewerkers over AI-gebruik
- AI-geletterdheidsverklaring — bewijs dat medewerkers begrijpen hoe AI werkt
AIveilig.com levert alle AI Act-documenten kant-en-klaar. De AVG-documenten (verwerkersovereenkomsten, bijgewerkte privacyverklaring) zijn onderdeel van het pakket. Voor €179 heeft u alles binnen tien minuten. Bekijk ook de volledige MKB-checklist.
Voldoet u al aan beide wetten?
Doe de gratis scan en ontdek uw compliance-gaps voor zowel de EU AI Act als de AVG.
Doe de gratis scan →