AI Act en GDPR: hoe verhouden ze zich tot elkaar?

Wat regelt de AI Act, wat regelt de GDPR

De GDPR uit 2016 reguleert de verwerking van persoonsgegevens. Centraal staan principes zoals rechtsgrond, doelbinding, data-minimisatie en rechten van betrokkenen. Wie persoonsgegevens verwerkt, ongeacht de technologie, moet kunnen uitleggen waarom hij dat mag, voor welk doel en hoe lang.

De AI Act uit 2024 reguleert AI-systemen als product en als toepassing. Centraal staan risico-categorisatie, transparantie, documentatie en menselijk toezicht. Wie AI inzet, ongeacht of er persoonsgegevens in het spel zijn, moet kunnen aantonen welk systeem in welke risicoklasse valt en welke beheersmaatregelen zijn genomen.

Beide verordeningen hebben Europese reikwijdte, gelden voor Belgische KMO ongeacht hun grootte (op uitzonderingen na), en kennen substantiele boetes bij overtreding. Maar ze regelen verschillende dingen en hebben verschillende toezichthouders.

Waar overlappen ze

De grootste overlap ligt in de bescherming van individuen tegen geautomatiseerde besluitvorming. Artikel 22 GDPR geeft elke natuurlijke persoon het recht om niet onderworpen te worden aan een besluit dat enkel op geautomatiseerde verwerking is gebaseerd en dat rechtsgevolgen heeft of hen aanzienlijk treft. Artikel 26 van de AI Act eist menselijk toezicht bij hoog-risico AI-systemen die op personen worden toegepast.

Beide bepalingen viseren dezelfde situatie, bijvoorbeeld een AI-systeem dat zelfstandig CV's afwijst. De GDPR-benadering kijkt naar de rechten van de afgewezen kandidaat: kan hij menselijke tussenkomst eisen, het besluit aanvechten, zijn standpunt geven. De AI Act-benadering kijkt naar het systeem zelf: moet er een mens in de loop zitten voor elke beslissing, hoe is het systeem ingericht, welke documentatie bestaat.

In de praktijk lost u beide tegelijk op: een rekruteringsproces met verplichte menselijke beoordeling voor elke afwijzing voldoet aan GDPR Artikel 22 en aan AI Act Artikel 26.

Wat is een DPIA, en wat is een Fundamental Rights Impact Assessment

Twee assessment-verplichtingen die KMO zaakvoerders vaak met elkaar verwarren.

Een Data Protection Impact Assessment (DPIA) onder Artikel 35 GDPR is verplicht wanneer een verwerking van persoonsgegevens een hoog risico inhoudt voor de rechten en vrijheden van betrokkenen. Typische triggers zijn grootschalige verwerking van bijzondere categorieen, systematische monitoring of nieuwe technologieen. De DPIA documenteert het doel, de noodzaak en proportionaliteit, de risico's en de mitigerende maatregelen.

Een Fundamental Rights Impact Assessment (FRIA) onder Artikel 27 AI Act is verplicht wanneer u als deployer een hoog-risico AI-systeem inzet. De FRIA kijkt breder dan alleen persoonsgegevens: ook impact op gelijke behandeling, non-discriminatie, vrijheden en publieke diensten wordt beoordeeld.

De documenten overlappen voor 60 tot 80 procent. Slimme KMO maken ze in een gecombineerd template, waarbij beide verplichtingen tegelijk afgevinkt worden.

Hoe organiseert u beide verordeningen samen

Drie organisatorische principes die de combinatie beheersbaar maken.

• Een gezamenlijk register. Uw GDPR verwerkingsregister en uw AI-register vertonen overlap. Bouw ze in een gecombineerde structuur: per AI-toepassing een rij die zowel de AI-aspecten als de GDPR-aspecten dekt.
• Een verantwoordelijke per gebied. De Data Protection Officer (DPO) blijft het GDPR-aanspreekpunt. Voor de AI Act stelt u een AI-compliance-verantwoordelijke aan, vaak dezelfde persoon in KMO. Maak de rollen helder zodat er bij audit geen discussie ontstaat over wie wat doet.
• Een gecombineerd intern beleid. Uw GDPR-beleid en uw AI-gebruiksbeleid horen geintegreerd te zijn. Een medewerker die ChatGPT wil gebruiken voor klantcommunicatie moet in een document zien wat mag en niet mag, met de juridische basis voor beide kaders.

Waar kunnen ze in spanning komen

Op twee punten zit er reele spanning tussen de twee verordeningen.

Data-minimisatie versus AI-prestaties. GDPR eist dat u zo weinig mogelijk persoonsgegevens verwerkt. AI-systemen presteren beter op meer en diverse data. De oplossing ligt in synthetische of geanonimiseerde data voor training, en strikte minimisatie bij productie-inzet. Documenteer expliciet hoe u die balans heeft gemaakt.

Recht op uitleg versus AI-complexiteit. GDPR geeft betrokkenen recht op informatie over de logica van geautomatiseerde besluiten. AI-systemen, zeker deep learning modellen, zijn niet altijd eenvoudig uitlegbaar. De AI Act stelt eisen aan uitlegbaarheid voor hoog-risico systemen, en de twee regels werken hier samen om zogenaamde black-box modellen voor consumenten-beslissingen te ontmoedigen.

Twee verordeningen, een uitvoeringstraject

Voor een KMO die vandaag al GDPR-compliant is, is de AI Act geen nieuwe wereld maar een uitbreiding. De methodologie is vergelijkbaar: in kaart brengen wat er gebeurt, risico inschatten, beleid opstellen, documenteren en trainen. In een Compliance Sprint bouwen wij voor uw KMO een gecombineerd compliance-dossier dat zowel de AI Act als de relevante GDPR-aspecten dekt, zodat u bij audit op beide vlakken in orde bent.

Externe bronnen

Het Europees Comite voor gegevensbescherming (EDPB) publiceerde in december 2024 een opinie over de interactie tussen AI en GDPR. De AI Act zelf vindt u in Verordening (EU) 2024/1689. Voor de samenwerking tussen toezichthouders kondigde de Belgische Gegevensbeschermingsautoriteit in 2025 een samenwerkingsprotocol aan met de nog op te richten Belgische AI-toezichthouder.