AVG en de AI Act: Wat bedrijven moeten weten in 2026

In de huidige digitale economie moeten bedrijven van alle groottes voldoen aan een steeds evoluerend landschap van Europese Unie (EU)-regelgeving. De Algemene verordening gegevensbescherming (AVG) en de EU Artificial Intelligence Act (AI Act) zijn twee sleutelregelgevingskaders die bepalen hoe bedrijven persoonsgegevens en kunstmatige intelligentie (AI) verzamelen, verwerken en gebruiken. Hoewel deze regelgeving verschilt in reikwijdte, overlappen ze op cruciale gebieden zoals gegevensbescherming, transparantie en verantwoordingsplicht.

Terwijl de AVG al sinds 2018 van kracht is, wordt de AI Act gefaseerd ingevoerd. Sommige bepalingen, zoals verboden op bepaalde AI-praktijken, eisen op het gebied van AI-geletterdheid en regels voor AI-modellen voor algemeen gebruik, zijn al van toepassing sinds 1 augustus 2024. Op 19 november 2025 stelde de Europese Commissie echter een wijziging voor om de strengere verplichtingen voor hoogrisico-AI-systemen uit te stellen, waarbij de oorspronkelijke deadline van augustus 2026 wordt verschoven naar december 2027. Dit voorstel, dat deel uitmaakt van het Digital Omnibus-initiatief, heeft als doel complianceprocessen te vereenvoudigen, administratieve lasten te verlichten en tegemoet te komen aan zorgen uit de industrie, met name voor kleine en middelgrote ondernemingen (KMO’s). Het stelt ook wijzigingen in de AVG voor, zoals verduidelijking van het gebruik van persoonsgegevens voor het detecteren en corrigeren van vooroordelen in AI-systemen en -modellen. Het begrijpen van de overlap tussen deze regelgeving is daarom essentieel voor bedrijven om compliance te waarborgen.

Waar de AVG en de AI Act elkaar raken

1. Verwerking van persoonsgegevens

De AVG stelt de norm voor wettige, transparante en veilige verwerking van persoonsgegevens. De AI Act vult deze regels aan door specifieke eisen op te leggen aan AI-systemen die persoonsgegevens verwerken. Volgens de AI Act moeten organisaties ervoor zorgen dat hun AI-systemen voldoen aan de kernbeginselen van de AVG, zoals wettige gegevensverzameling, doelbinding, dataminimalisatie, nauwkeurigheid, beperking van de bewaartermijn en vertrouwelijkheid.

Dit betekent dat als uw AI-systemen persoonsgegevens verwerken, ze volledig moeten voldoen aan zowel de AVG als de gegevensbeschermingsverplichtingen van de AI Act, zoals het bijhouden van duidelijke registers van gegevensbronnen, verwerkingsactiviteiten en maatregelen om de rechten van individuen te beschermen. Omdat de ontwikkeling van AI vaak het verwerken van persoonsgegevens inhoudt, is AVG-compliance fundamenteel, en de AI Act versterkt deze afstemming door aanbieders van hoogrisico-AI-systemen te verplichten een conformiteitsverklaring af te geven waarin expliciet wordt vermeld dat ze voldoen aan de AVG wanneer persoonsgegevens betrokken zijn.

2. Transparantie

Transparantie is een fundamenteel principe onder zowel de AVG als de AI Act en zorgt ervoor dat individuen duidelijke en toegankelijke informatie ontvangen over hoe hun persoonsgegevens worden verwerkt en hoe AI-systemen hen beïnvloeden.

De AVG vereist dat individuen worden geïnformeerd over de doeleinden, de rechtsgrondslag, de ontvangers, de bewaartermijnen en hun rechten met betrekking tot de verwerking van hun persoonsgegevens. De AI Act breidt deze transparantie uit naar AI-systemen door inzetters te verplichten instructies te verstrekken voor het gebruik van hoogrisico-AI-systemen en individuen te informeren wanneer ze interactie hebben met een AI-systeem, tenzij dit al duidelijk is uit de context.

Voor bedrijven betekent dit niet alleen het openbaar maken van gegevensverwerkingsactiviteiten, maar ook uitleggen hoe AI-systemen werken en beslissingen beïnvloeden. Door de transparantie-eisen van de AVG af te stemmen op de verplichtingen van de AI Act, kunnen bedrijven ervoor zorgen dat individuen zowel begrijpen hoe hun persoonsgegevens worden gebruikt als de AI-gestuurde resultaten die hen raken.

3. Verantwoordingsplicht

Zowel de AVG als de AI Act vereisen dat organisaties hun processen en beslissingen documenteren om compliance aan te tonen.

De AVG schrijft Data Protection Impact Assessments (DPIA’s) voor in specifieke gevallen waarin gegevensverwerking waarschijnlijk een hoog risico vormt voor de rechten en vrijheden van individuen. Daarnaast zijn verwerkersovereenkomsten tussen verwerkingsverantwoordelijken en verwerkers vereist om een verantwoorde omgang met persoonsgegevens te waarborgen.

In de context van de AI Act moet ook een DPIA worden uitgevoerd door inzetters van hoogrisico-AI-systemen. Bovendien introduceert de AI Act Fundamental Rights Impact Assessments (FRIA’s) voor bepaalde hoogrisico-AI-systemen. Als de DPIA al aan enkele FRIA-eisen voldoet, vult de FRIA deze aan. Daarnaast vereist de AI Act gedetailleerde documentatie van het ontwikkelingsproces voor hoogrisico-AI-systemen en AI-modellen voor algemeen gebruik.

Voorbeeld

Overweeg een CEO van een MedTech-bedrijf dat ClaudeCowork gebruikt, een AI-assistent die in hun systemen is geïntegreerd om patiëntgegevens te verwerken, zoals medische dossiers of diagnostische gegevens. Onder de AVG (Algemene verordening gegevensbescherming) moet het bedrijf ervoor zorgen dat de verwerking van gegevens rechtmatig, transparant en veilig verloopt, in overeenstemming met beginselen zoals doelbeperking, dataminimalisatie en vertrouwelijkheid. Tegelijkertijd vereist de AI-wet dat het bedrijf duidelijke registers bijhoudt van gegevensbronnen, verwerkingsactiviteiten en beveiligingsmaatregelen, inclusief een conformiteitsverklaring voor AVG-naleving wanneer persoonsgegevens betrokken zijn.

Daarnaast eist transparantie dat patiënten worden geïnformeerd over hoe hun gegevens worden verwerkt, inclusief de doelen, rechtsgrondslag, ontvangers, bewaartermijnen en hun rechten onder de AVG, en wanneer ze interactie hebben met ClaudeCowork onder de AI-wet, met duidelijke instructies voor het gebruik ervan.

Voor verantwoordingsplicht moet het bedrijf processen documenteren, DPIA’s (Data Protection Impact Assessments) en FRIA’s (Fundamental Rights Impact Assessments) uitvoeren voor hoogrisico-AI, en verwerkersovereenkomsten (DPA’s) met leveranciers afsluiten. Zonder deze maatregelen loopt het bedrijf het risico beide regelgevende kaders te schenden, bijvoorbeeld als ClaudeCowork gegevens verwerkt zonder toestemming, veiligheidsprotocollen omzeilt of vereiste documentatie ontbreekt, wat kan leiden tot boetes en reputatieschade.

Wat het uitstel van de AI Act betekent voor bedrijven

Het besluit van de Europese Commissie om de volledige implementatie van de AI Act uit te stellen, vermindert niet het belang ervan. Integendeel, het geeft bedrijven extra tijd om zich voor te bereiden. Dit uitstel erkent de complexiteit van de regelgevende omgeving, maar elimineert niet de noodzaak van proactieve compliance-inspanningen.

De belangrijkste boodschap is dat het uitstel de timing van de handhaving beïnvloedt, maar niet de vereisten zelf. Bedrijven zouden deze periode moeten gebruiken om:

• De AI-systemen die ze gebruiken te beoordelen op compliance met zowel de AVG als de AI Act door middel van gap-analyses.
• Transparantiepraktijken te versterken, bijvoorbeeld door privacybeleid bij te werken om expliciet de verwerking van persoonsgegevens door AI-systemen op te nemen.
• Zich voor te bereiden op de strengere verplichtingen van de AI Act voor hoogrisico-AI-systemen door assessments uit te voeren, het gebruik van AI in alle bedrijfsprocessen te documenteren en ervoor te zorgen dat alle leveranciers verwerkersovereenkomsten hebben en voldoen aan de AVG.

Voor KMO’s biedt deze verlenging een waardevolle gelegenheid om AI-systemen af te stemmen op de AVG, waardoor de overgang soepeler verloopt wanneer de bepalingen van de AI Act volledig van kracht worden.

Praktische stappen voor bedrijven

Noodzakelijke acties

• Datamapping: Identificeer en documenteer alle persoonsgegevens die door uw AI-systemen worden verwerkt, inclusief de bron, het type, het doel en de levenscyclus (bv. in het Register van Verwerkingsactiviteiten).
• Transparantiemeldingen: Informeer gebruikers duidelijk wanneer AI-systemen persoonsgegevens verwerken of beslissingen nemen die hen beïnvloeden (bv. via updates van het privacybeleid of specifieke AI-meldingen).
• AI-kennis: Zorg ervoor dat werknemers voldoende kennis en vaardigheden hebben over het gebruik van AI (bv. via een workshop van 1 uur over AVG, AI-wet en bedrijfsspecifieke regels).
• Menselijk controle: Implementeer processen voor menselijke beoordeling van AI-beslissingen, met name in hoogrisicogebieden zoals HR, klantenservice of financiële beoordelingen (bv. handmatige validatie van door AI gegenereerde output).

Aanbevolen acties

• Controles op vooroordelen en kwaliteit: Audit regelmatig de AI-trainingsgegevens om ervoor te zorgen dat ze representatief, nauwkeurig en vrij van vooroordelen zijn, met name voor hoogrisicotoepassingen (bv. met open-source tools zoals Fairlearn of IBM AI Fairness 360).
• Leverancierscompliance: Als uw bedrijf AI-tools van derden gebruikt, controleer dan of u verwerkersovereenkomsten met de leveranciers heeft en of zij maatregelen nemen om te voldoen aan de AVG en de AI Act (bv. door AVG/AI-wet-nalevingsdocumentatie te controleren).
• Documentatie: Houd gedetailleerde records bij van het ontwerp, de trainingsgegevens en de besluitlogica van uw AI-systemen in een gecentraliseerd archief (voor aanbieders van AI-systemen en modellen).
• Risicobeoordelingen: Voer DPIA’s, conformiteitsbeoordelingen en FRIA’s uit voor hoogrisico-AI-toepassingen om potentiële risico’s te identificeren en te mitigeren (bv. met Anove's insAIght).

Optionele acties

• Regulerende zandbakken: Neem deel aan nationale of EU-regulerende zandbakken om AI-systemen in een gecontroleerde omgeving te testen en problemen vroegtijdig te identificeren (bv. Nederlandse AI Sandbox). 
• Teamtraining: Investeer in doorlopende training over AI-ethiek, gegevensbescherming en regelgevende updates om uw team geïnformeerd en voorbereid te houden (bv. via Anove's Expert Support-functie).

Hoe Anove’s InsAIght compliance vereenvoudigt voor bedrijven

InsAIght, het AI-beheersysteem van Anove, is een platform dat bedrijven helpt om de complexiteit van de AVG en de AI Act te navigeren. Door gebruik te maken van AI-gestuurde inzichten en automatisering, vereenvoudigt InsAIght compliance en risicobeheer, zodat bedrijven zich kunnen concentreren op innovatie in plaats van op administratieve uitdagingen.

Met InsAIght kunnen bedrijven:

• Compliance-documentatie automatiseren door rapporten en bewijsmateriaal te genereren, waardoor de handmatige werkbelasting wordt verminderd.
• Automatisch scannen op schaduw-AI-gebruik binnen het bedrijf, om niet-geautoriseerde of onbeheerde AI-tools en -toepassingen te identificeren.
• Risicobeoordelingen uitvoeren om risico’s met betrekking tot AI-modellen, gegevensprivacy en ethiek te identificeren en te evalueren, met actiegerichte aanbevelingen.
• AI-systemen continu monitoren op regelgevende compliance, inclusief open-source AI-modellen.
• De beveiliging van AI-infrastructuur waarborgen door beveiligingsassets te beheren en af te stemmen op best practices.
• Bedrijfsprocessen en workflows stroomlijnen om AI-toepassingen af te stemmen op organisatiedoelstellingen.
• Real-time risico- en compliancebeheer gebruiken met aanpasbare dashboards voor inzichten en analyses.
• Naadloos integreren met bestaande systemen via API’s voor een efficiënt complianceproces.
• Eigendom van AI-assets en bijbehorende risico’s definiëren en volgen voor verbeterde verantwoordingsplicht.

Anove ondersteunt bedrijven bij het verminderen van administratieve overhead, het waarborgen van auditklaarheid en het omzetten van compliance in een concurrentievoordeel.