Trusq

feitelijke duiding · herleidbaar naar primaire bronnen

Onderwerpen Kansen Doe de check Samenwerken LinkedIn NL·EN
Wegwijzer

De AI Act voor de DPO: samenloop met de AVG

Vastgesteld 2026-06-22 · ≈ 2 min lezen · Dirk Baaijen

AI Act en AVG overlappen, maar zijn niet hetzelfde. De DPO is niet automatisch verantwoordelijk voor AI-compliance, maar speelt een sleutelrol waar AI persoonsgegevens verwerkt. Dit overzicht legt de raakvlakken uit: DPIA's, rechtsgronden, transparantie en de grens van de DPO-rol.

Kort antwoord: De AI Act en de AVG zijn twee aparte regimes die op AI-systemen vaak tegelijk gelden. De AVG beschermt persoonsgegevens; de AI Act reguleert AI-systemen ongeacht of er persoonsgegevens in zitten. De DPO is niet automatisch eigenaar van AI-compliance, maar is onmisbaar overal waar AI persoonsgegevens verwerkt — en dat is bijna altijd.

Twee regimes, één systeem

De AVG vraagt: verwerk je persoonsgegevens rechtmatig, behoorlijk en transparant? De AI Act vraagt: is dit AI-systeem veilig in de markt gezet en juist ingezet, gegeven zijn risicoklasse? Een sollicitatie-AI valt onder beide: het verwerkt persoonsgegevens (AVG) én is hoogrisico-AI (AI Act).

De regimes versterken elkaar maar overlappen niet volledig. AI Act-conformiteit garandeert geen AVG-naleving, en omgekeerd. De DPO moet die twee sporen uit elkaar kunnen houden.

Waar AVG en AI Act elkaar raken

  • DPIA. Een gegevensbeschermingseffectbeoordeling is vaak verplicht bij hoogrisico-AI met persoonsgegevens. Stem de DPIA af op de risicobeoordeling die de AI Act vraagt; combineer waar mogelijk, maar houd ze juridisch gescheiden.
  • Rechtsgrond. Trainen en gebruiken van AI met persoonsgegevens vraagt een geldige AVG-grondslag. Gerechtvaardigd belang of toestemming moet aantoonbaar zijn.
  • Geautomatiseerde besluitvorming. De AVG geeft betrokkenen rechten bij besluiten zonder menselijke tussenkomst; de AI Act eist menselijk toezicht. Samen bepalen ze hoe een geautomatiseerd besluit moet worden ingericht.
  • Transparantie. Beide regimes vragen dat mensen weten dat en hoe AI wordt ingezet.

De grens van de DPO-rol

De DPO is adviseur en toezichthouder, geen uitvoerder. AI Act-compliance vraagt expertise die verder gaat dan privacy: productveiligheid, conformiteitsbeoordeling, technische documentatie. Beleg die taken niet stilzwijgend bij de DPO. De DPO bewaakt het privacy-aandeel binnen een breder governance-raamwerk en werkt samen met de CISO, het productteam en het bestuur.

Onafhankelijkheid bewaken

Een veelgemaakte fout is de DPO laten meebouwen aan het AI-systeem dat hij later moet toetsen. Dat ondermijnt de onafhankelijkheid die de AVG eist. Adviseer wel vooraf, beslis niet mee.

Wat te doen

  • Inventariseer welke AI-systemen persoonsgegevens verwerken en in welke risicoklasse ze vallen — zie hoogrisico-verplichtingen.
  • Voer DPIA's uit en koppel ze aan de AI Act-risicobeoordeling.
  • Toets de rechtsgrond voor training en inzet van AI met persoonsgegevens.
  • Borg transparantie richting betrokkenen en menselijk toezicht bij besluiten.
  • Bewaak je onafhankelijkheid: adviseer, ga niet zelf bouwen.
  • Investeer in AI-geletterdheid binnen het privacyteam.

De DPO is niet de AI Act-coördinator, maar zonder de DPO komt geen enkele AI-toepassing met persoonsgegevens veilig de bocht door.

Bronnen

  1. https://eur-lex.europa.eu/eli/reg/2024/1689/oj
    Verordening (EU) 2024/1689 (AI Act): risicogebaseerde regels die naast de AVG gelden voor AI-systemen.
  2. https://eur-lex.europa.eu/eli/reg/2016/679/oj
    Verordening (EU) 2016/679 (AVG): grondslagen, DPIA-verplichting en rechten van betrokkenen bij geautomatiseerde verwerking.

Deel op LinkedIn

Lees ook

A

DPIA voor HR-AI: wanneer verplicht en hoe combineer je het met de FRIA?

Een DPIA (art. 35 AVG) is verplicht bij grootschalig, systematisch monitoren en bij hoog-risico-AI in HR. Dit artikel legt uit wat erin moet en hoe je de DPIA combineert met de FRIA (grondrechtentoets, art. 27 AI Act) tot één traject. Met praktisch stappenplan.

U

AI in horeca en toerisme: dynamische prijzen, profilering en de AVG

Horeca en toerisme gebruiken AI voor dynamische prijzen, aanbevelingen en profilering van gasten. De AI Act raakt dit zelden als hoogrisico, maar de AVG is bepalend: profilering, geautomatiseerde besluiten en transparantie vragen om duidelijke grondslagen.

U

AI in juridische dienstverlening: betrouwbaarheid en geheimhouding

AI in de advocatuur en juridische dienstverlening is zelden hoogrisico, maar stelt scherpe eisen aan betrouwbaarheid, geheimhouding en transparantie. Hallucinaties, beroepsgeheim en AVG-verwerking bepalen de grenzen, naast de transparantieplichten van de AI Act.

Dirk Baaijen

Over deze kennisbank

Samengesteld en onderhouden door YRproject — programma- en projectregie op het snijvlak van digitale transformatie, AI en regelgeving. Elke feitelijke claim is herleidbaar naar de primaire bron. Achter YRproject staat Dirk Baaijen Over & methode →

Een project of programma? Werk met YRproject →

De maandelijkse briefing

AI-regulering in vijf minuten: wat er veranderde, wat eraan komt en wat het betekent. Geen spam, uitschrijven kan altijd.

Je adres wordt alleen hiervoor gebruikt en op eigen servers bewaard.