Inleiding
De snelle groei van grootschalige dataverwerking, de technologische ontwikkelingen daaromheen en de opkomst van artificiële intelligentie (AI) heeft geleid tot een groeiende behoefte aan regelgeving die zowel innovatie stimuleert als fundamentele rechten beschermt. In Europa vormen de AVG (Algemene Verordening Gegevensbescherming) en de AI Act (Artificial Intelligence Act), twee pijlers van dit regelgevend kader. Hoewel beide wetgevingen verschillende doelstellingen en reikwijdtes hebben, overlappen ze elkaar op belangrijke punten. In dit artikel onderzoeken we hoe de AI Act zich verhoudt tot de AVG en wat dit betekent voor organisaties die AI-systemen ontwikkelen of gebruiken.

De vertrekpunten
Beide Europese verordeningen hebben een ander vertrekpunt, namelijk:
De AVG heeft als doel de bescherming van persoonsgegevens binnen de Europese Unie te waarborgen. Zij stelt eisen aan hoe organisaties gegevens verzamelen, verwerken, opslaan en beveiligen. Centraal staan de rechten van betrokkenen, zoals het recht op inzage, correctie, verwijdering en dataportabiliteit.
De AI Act is de eerste uitgebreide regelgevingskader ter wereld dat specifiek gericht is op Artificiële intelligentie (AI). Deze Europese verordening heeft als doel om risico’s van AI-systemen te beheersen, innovatie te bevorderen, en fundamentele rechten van burgers te beschermen. AI-toepassingen worden onderverdeeld in vier risicoklassen: onaanvaardbaar risico, hoog risico, beperkt risico en minimaal risico. Afhankelijk van de risicoklasse gelden strengere eisen aan transparantie, gegevensbeheer, menselijke controle en veiligheid.

De kern en doelstellingen van de AVG en de AI Act vergeleken
De kern en de doelstellingen van beide verordeningen worden beschreven in het eerste artikel van hun wetteksten.
Bij de AVG is het doel tweeledig. Enerzijds beschermt de verordening de grondrechten en fundamentele vrijheden van natuurlijke personen – in het bijzonder het recht op bescherming van persoonsgegevens. Anderzijds bevordert de AVG het vrije verkeer van persoonsgegevens binnen de Europese Unie.
De AI Act kent een vergelijkbare opbouw. De eerste twee doelstellingen richten zich op het stimuleren van innovatie en het versterken van de interne markt voor mensgerichte en betrouwbare AI. Een derde belangrijk streven is het bieden van stevige bescherming tegen negatieve gevolgen voor gezondheid, veiligheid en de grondrechten binnen de EU, waaronder ook de democratie, de rechtsstaat en de bescherming van het milieu vallen.
Opvallend is dat de verwijzing naar grondrechten in de AI Act vooral betrekking heeft op macroconcepten, namelijk brede maatschappelijke waarden zoals democratie, gezondheid en milieubescherming, terwijl de AVG de nadruk legt op individuele rechten en vrijheden van personen. De AVG heeft dus primair betrekking op mensen (individuen, groepen of de maatschappij). Dat sluit aan bij overweging 4 van de AVG, waarin expliciet wordt benadrukt dat de mens centraal staat.

Beide verordeningen zijn risico-gebaseerde wetgeving
Zowel de AVG als de AI Act zijn op hun eigen manier risico-gebaseerde wetgevingen. De AVG hanteert een risicobenadering in de uitvoering van verplichtingen, waarbij het niveau (strengheid) van maatregelen afhangt van het risico dat de verwerking van persoonsgegevens vormt voor individuen, zoals bij bijzonder persoonsgegevens en/of grootschalige verwerkingen. De AI Act is risico-gebaseerd in haar structuur en classificeert AI-systemen in vier niveaus: onaanvaardbaar risico (verboden systemen), hoog risico (strenge eisen, zoals risicobeheer en menselijk toezicht), beperkt risico (lichte transparantieverplichtingen) en minimaal risico (vrijwel geen verplichtingen). Terwijl de AVG het risico vooral vanuit het perspectief van het individu (de betrokkene) benadert, richt de AI Act zich op het inherente risico van het AI-systeem voor gezondheid, veiligheid en fundamentele rechten op maatschappelijk niveau.

Overlap: AI en persoonsgegevens
Hoewel de AVG gericht is op gegevensbescherming en de AI Act technologische risico’s reguleert, raken beide wetten aan elkaar zodra een AI-systeem persoonlijke gegevens verwerkt.
Zo zijn veel AI-systemen, zoals gezichtsherkenning, chatbots of voorspellende algoritmes, afhankelijk van grote hoeveelheden persoonsgegevens. In zulke gevallen is er sprake van cumulatieve regelgeving: organisaties moeten zowel voldoen aan de AI Act als aan de AVG.

Voorbeeld:
Een bank gebruikt een AI-model om kredietwaardigheid van klanten te beoordelen. Als dit model persoonsgegevens verwerkt (zoals financiële gegevens, leeftijd, woonadres, enz.), moet het niet alleen aan de eisen van een hoog-risico AI-systeem voldoen (AI Act), maar ook volledig in lijn zijn met de AVG (zoals toestemming, minimale gegevensverwerking en transparantie).

Belangrijke raakvlakken
Hieronder worden een aantal raakvlakken tussen beide regelgevingen uiteengezet:

Transparantie en uitlegbaarheid
AVG: vereist dat betrokkenen geïnformeerd worden over de verwerking van hun persoonsgegevens en of zij o.a. te maken hebben met geautomatiseerde besluitvorming.
AI Act: vereist dat gebruikers worden geïnformeerd wanneer zij met een AI-systeem interageren (zoals deepfakes of emotion recognition).

Rechten van betrokkenen (AVG) of getroffen personen (AI Act)
De AVG is een aantal jaar eerder gepubliceerd en daarin werd al één specifiek begrip genoemd dat een link heeft met de AI Act, namelijk: ‘geautomatiseerde besluitvorming’(artikel 22 AVG). Dat artikel regelt dat mensen bepaalde rechten hebben wanneer hun gegevens louter automatisch verwerkt worden en dat de verwerking van die gegevens invloed heeft op hun levens. Dit houdt verband met artikel 86 AI Act, namelijk: ‘recht op uitleg bij individuele besluitvorming’.
Ook is er een ander recht binnen de AI Act dat lijkt op een recht in het kader van de AVG, namelijk: ‘het recht om een klacht in te dienen bij een (markt)toezichthouder’(artikel 85 AI Act / artikel 77 AVG).

De AVG-verplichtingen voor AI-systemen
AI-systemen waarin persoonsgegevens worden verwerkt, moeten zowel bij hun totstandkoming als bij hun inzet voldoen aan de AVG verplichtingen, zoals:
• Legitimiteitsvraagstukken (artikelen 5 tot/met 11 AVG).
• Transparantieverplichtingen (artikelen 12 tot/met 15 en 22 AVG).
• Passende technische en organisatorische maatregelen (artikel 32 AVG).
• Melden van data lek / incidenten (artikelen 33 en 34 AVG).
• DPIA-onderzoek instellen bij ‘hoog risico’ verwerkingen (artikel 35 AVG).
• Internationaal gegevensverkeer (artikel 44 tot/met 50 AVG).

Toezicht en handhaving
De AVG wordt gehandhaafd door nationale gegevensbeschermingsautoriteiten (zoals de Autoriteit Persoonsgegevens in Nederland).
De AI Act introduceert aparte toezichthoudende instanties, maar samenwerking met AVG-toezichthouders is voorzien bij overlappende kwesties.

Datakwaliteit en -beheer
Verder zijn er ook een aantal begrippen die in beide verordeningen terugkomen. Denk bijvoorbeeld aan het belang van datakwaliteit of abstracter: het principe oom oog te hebben voor risico of eerlijkheid. Zo stelt de AI Act eisen aan datakwaliteit, zoals representativiteit, volledigheid en juistheid van de data waarmee AI wordt getraind. En de AVG stelt eisen aan juistheid, doelbinding en beperking van gegevensverwerking.

AVG is de hogere norm
Ook belangrijk om te weten is wanneer in een AI-systeem persoonsgegevens worden verwerkt, geldt de AVG als de hoogste norm. Volgens de Europese Commissie moet de AI Act in dat geval worden gezien als een aanvullende regeling op de AVG. Met andere woorden: de bepalingen van de AVG blijven leidend en vormen het uitgangspunt voor rechtmatig gebruik van AI-toepassingen. Niet voldoen aan de AVG betekent in beginsel dat het gebruik van een AI-systeem dat persoonsgegevens verwerkt onrechtmatig is en dus niet toegestaan.
In de praktijk betekent dit dat een organisatie eerst moet voldoen aan de AVG (bijvoorbeeld: rechtmatige grondslag, gegevensminimalisatie, rechten van betrokkenen) en daarbovenop moet zorgen dat het AI-systeem voldoet aan de eisen van de AI Act (bijvoorbeeld: risicoclassificatie, documentatie, menselijk toezicht). 

Samenspel in de praktijk
Voor organisaties betekent dit dat AI-projecten een multidisciplinaire aanpak vereisen. Juridische afdelingen, data scientists en compliance officers zullen moeten samenwerken om zowel de technische vereisten van de AI Act als de gegevensbeschermingsregels van de AVG in acht te nemen.
Zo moet bijvoorbeeld een risicoanalyse zowel het algoritmische risico (zoals discriminatie of gebrek aan transparantie) in kaart brengen als het privacy-risico (zoals onrechtmatige gegevensverwerking).

Tot slot
De AI Act en de AVG zijn complementair: waar de AVG zich richt op de bescherming van persoonsgegevens, reguleert de AI Act bredere risico’s van AI-technologie, waaronder veiligheid, transparantie en ethiek. In de praktijk zullen organisaties die AI gebruiken vrijwel altijd met beide wetgevingen te maken krijgen. Het zorgvuldig afstemmen van deze kaders is cruciaal om juridische risico’s te beperken en maatschappelijke vertrouwen in AI-toepassingen te behouden.

Let op: dit artikel bevat algemene informatie die niet gericht is op uw specifieke situatie. Derhalve kunnen er geen rechten aan worden ontleend.