AI Act vs AVG: dit zijn de verschillen en overlap

Door /
AI Act vs AVG: dit zijn de verschillen en overlap

Zowel de AI Act als de Algemene Verordening Gegevensbescherming (AVG) zijn essentieel voor de inzet van AI binnen gemeenten en andere overheden. Ze vullen elkaar aan, maar hebben verschillende doelen en verplichtingen. Dit artikel legt helder uit waar de belangrijkste verschillen en overlap liggen, wat de impact is voor Nederland, en biedt praktische voorbeelden en tools.

De kern: wat regelt de AI Act, wat regelt de AVG?

AI Act AVG (GDPR)
Doel Reguleren van het veilig, transparant en ethisch gebruik van AI-systemen binnen de EU. Beschermen van de privacy en rechten van personen bij verwerking van persoonsgegevens.
Toepassingsgebied AI-systemen (zowel publiek als privaat, inclusief overheid) Persoonsgegevens, ongeacht technologie of systeem
Focus Risicomanagement, transparantie, menselijk toezicht, technische robuustheid, registratie Rechten van betrokkenen, dataminimalisatie, beveiliging, transparantie, toestemmingsvereiste
Risicoclassificatie Ja, AI-systemen in 4 risicocategorieën (onaanvaardbaar, hoog, beperkt, minimaal) Nee, alle persoonsgegevens vallen onder dezelfde basisverplichtingen
Belangrijkste verplichtingen Risicobeoordeling, DPIA, registratie, audittrail, bias monitoring, uitlegplicht, menselijk toezicht Rechten van betrokkenen, DPIA, toestemmingsbeheer, databeveiliging, meldplicht datalekken
Toezichthouder Nieuwe nationale AI-toezichthouders (in NL: AP & AI-autoriteit vanaf 2025) Autoriteit Persoonsgegevens (AP)
Inwerkingtreding Gefaseerd vanaf 2025 (volledige naleving hoog-risico vanaf 2026) Sinds 2018 in werking
Praktische tip: Als jouw AI-systeem persoonsgegevens verwerkt, geldt altijd de AVG én mogelijk ook de AI Act.
Voer daarom altijd een DPIA uit en stem compliance af met zowel de privacy officer als het AI-team.

Impact op Nederlandse wet- en regelgeving

Wat verandert er concreet voor Nederland?

De AI Act heeft grote invloed op bestaande Nederlandse wetten en het toezicht door de overheid. De Autoriteit Persoonsgegevens (AP) blijft toezichthouder voor de AVG, maar krijgt vanaf 2025 ook een rol als nationale AI-toezichthouder, samen met een nieuw op te richten AI-autoriteit. Bestaande wetten rond non-discriminatie, bestuursrecht en transparantie moeten worden afgestemd op de AI Act, zeker bij het gebruik van ‘hoog-risico’ AI in overheidssystemen.

In de praktijk betekent dit voor gemeenten en rijksoverheid:

  • Strengere toetsing van algoritmes – onder meer via het verplichte algoritmeregister en audits.
  • Obligatoire DPIA’s voor elke AI-toepassing met impact op burgers, vooral bij sociale voorzieningen, veiligheid en publieke dienstverlening.
  • Menselijk toezicht moet altijd mogelijk blijven, zelfs als systemen grotendeels automatisch werken.
  • Sancties worden strenger: bij schending van AI Act én AVG kunnen boetes en herstelmaatregelen worden opgelegd.

Op dit moment (juli 2025) werken de ministeries van BZK, JenV en EZK aan aanpassingen van uitvoeringsregels en modellen voor AI-governance. Veel gemeenten maken gebruik van de VNG Algoritmeregister en volgen handreikingen van VNG en Rijksdienst voor Digitale Infrastructuur.

Europese voorbeelden en lessen

Finland: De Finse overheid heeft al een nationaal algoritmeregister opgezet. Dit heeft geleid tot meer burgervertrouwen in AI-systemen bij sociale voorzieningen, omdat burgers eenvoudig kunnen opzoeken waar AI wordt toegepast.
Duitsland: Diverse Duitse deelstaten eisen bij aanbestedingen nu expliciet dat AI-systemen voldoen aan zowel de AI Act als de AVG. Vooral in het onderwijs en de zorg worden AI-toepassingen standaard beoordeeld op bias, privacy en uitlegbaarheid.
Estland: Estland loopt voorop met AI-governance: iedere nieuwe AI-oplossing van de overheid wordt geregistreerd in een openbaar portaal. Hierdoor zijn de verplichtingen rond transparantie en DPIA’s direct geborgd.

Praktijkvoorbeeld

Voorbeeld: Een gemeente automatiseert de toewijzing van sociale huurwoningen met AI. De AI Act vereist transparantie over de werking van het systeem en bias monitoring (voorkomen van discriminatie). Tegelijkertijd eist de AVG dat alle persoonsgegevens veilig worden verwerkt, dat privacy wordt beschermd en dat burgers hun rechten kunnen uitoefenen.

Wat moeten gemeenten en overheden hiermee doen?

  • Beoordeel je AI-systemen: Inventariseer welke AI-systemen worden gebruikt, en bepaal hun risiconiveau (AI Act).
  • Voer DPIA’s uit: Voor elk AI-systeem dat persoonsgegevens verwerkt, is een Data Protection Impact Assessment verplicht (AI Act én AVG).
  • Zorg voor transparantie: Informeer burgers helder over waar en hoe AI wordt toegepast, en welke data worden gebruikt.
  • Train en informeer medewerkers: Zorg dat iedereen de basisprincipes van zowel AI Act als AVG kent en begrijpt.
  • Samenwerking en toezicht: Werk samen met de Data Protection Officer (DPO) en AI-specialisten om overlap en compliance te borgen.
Belangrijk in 2025: Nieuwe AI-projecten moeten standaard vooraf worden getoetst op zowel AVG-compliance als de eisen van de AI Act. Ook bestaande systemen moeten uiterlijk 2026 voldoen aan beide kaders. Maak gebruik van actuele checklisttools, DPIA-formulieren en het algoritmeregister om je complianceproces te versnellen.
Quickscan: Voldoet jouw AI-project aan AI Act én AVG?




Bronnen en verdieping

Gerelateerde berichten:

  1. AI Act vs. AVG: hoe werken ze samen?
  2. Voorbeeld beleidsdocument voor AI binnen gemeenten
  3. 5 veelgebruikte AI-toepassingen binnen gemeenten (en de risico’s)
  4. Hoe een provincie grip kan krijgen op alle algoritmes
  5. Is jouw AI verantwoording ‘audit-proof’?
  6. Doe mee met onze AI Governance Masterclass
  7. Checklist: ben jij als CISO, informatieadviseur of I&A-manager klaar voor de AI Act?
  8. De rol van de Functionaris Gegevensbescherming (FG) onder de AI Act
Scroll naar boven