De EU AI Act en de GDPR zijn geen alternatieven — het zijn gelijktijdige regelgevingskaders die van toepassing zijn op dezelfde AI-systemen, voor zover die systemen persoonsgegevens verwerken. Voor de overgrote meerderheid van de AI-systemen die in commerciële contexten worden ingezet — die per definitie op de één of andere manier informatie over personen verwerken — volstaat naleving van de AI Act niet voor GDPR-verplichtingen, en is GDPR-naleving geen vervanging voor de vereisten van de AI Act. Beide kaders moeten worden geadresseerd, en het nalevingswerk voor het ene kan slechts gedeeltelijk worden benut voor het andere.
Begrijpen waar de twee kaders overlappen, waar ze divergeren en waar ze cumulatieve verplichtingen creëren, is essentieel voor organisaties die AI-governanceprogramma's opbouwen. De wisselwerking is niet louter administratief — ze beïnvloedt systeemontwerpbeslissingen, organisatorische verantwoordelijkheidsstructuren, documentatievereisten en de procedurele stappen die nodig zijn vóór een systeem in gebruik kan worden genomen. In sommige gevallen triggert dezelfde verwerkingsactiviteit zowel een Gegevensbeschermingseffectbeoordeling (DPIA) onder de GDPR als een Grondrechteneffectbeoordeling (FRIA) onder de AI Act, en de twee beoordelingen hebben verschillende toepassingsgebieden, methoden en documentatievereisten.
Het meest significante overlappingsgebied betreft geautomatiseerde besluitvorming. Artikel 22 GDPR verleent betrokkenen het recht om niet onderworpen te zijn aan beslissingen die uitsluitend op geautomatiseerde verwerking zijn gebaseerd en die rechtsgevolgen of vergelijkbaar significante gevolgen voor hen hebben, en vereist dat de verwerkingsverantwoordelijke zinvolle informatie verstrekt over de gehanteerde logica, alsmede de betekenis en de verwachte gevolgen van de verwerking. De transparantievereisten van de AI Act voor hoog-risico AI-systemen werken op een parallel spoor: deployers moeten personen informeren wanneer zij worden onderworpen aan de output van een hoog-risico AI-systeem en moeten zinvolle informatie verstrekken over de mogelijkheden en beperkingen van het systeem.
Beide kaders vereisen ook gedocumenteerde risicobeoordelingen vóór het begin van bepaalde verwerking of inzetoperaties. De GDPR vereist een DPIA wanneer de verwerking waarschijnlijk een hoog risico voor de rechten en vrijheden van personen meebrengt — en geautomatiseerde besluitvorming met significante gevolgen triggert deze verplichting vrijwel altijd. De AI Act vereist een Grondrechteneffectbeoordeling voor deployers van bepaalde hoog-risico systemen en verplicht providers tot het uitvoeren van een conformiteitsbeoordeling. Deze beoordelingen bestrijken overlappend maar niet identiek terrein, en het voltooien van de ene voldoet niet aan de andere.
Hoewel de kaders aanzienlijk overlappen, hebben ze verschillende toepassingsgebieden en verschillende conceptuele ankerpunten. De GDPR wordt getriggerd door de verwerking van persoonsgegevens — ze is van toepassing wanneer informatie over geïdentificeerde of identificeerbare personen wordt verwerkt. De AI Act wordt getriggerd door het gebruik van een AI-systeem en is van toepassing ongeacht of persoonsgegevens betrokken zijn, hoewel de meeste AI-systemen van commercieel belang in de praktijk wel persoonsgegevens verwerken.
De verplichtingen van de AI Act rusten op providers en deployers zoals omschreven door hun rol in de levenscyclus van het AI-systeem, terwijl de verplichtingen van de GDPR rusten op verwerkingsverantwoordelijken en verwerkers omschreven door hun rol in de gegevensverwerkingsrelatie. Deze categorieën gaan niet naadloos in elkaar over: een GDPR-verwerker (een dienstverlener die gegevens namens een verwerkingsverantwoordelijke verwerkt) kan een AI Act-provider zijn (als hij het AI-systeem heeft ontwikkeld en op de markt brengt); de verwerkingsverantwoordelijke kan een deployer zijn. Verwerkersovereenkomsten onder de GDPR moeten worden aangevuld of mee opgesteld met contractuele regelingen onder de AI Act die de verdeling van verantwoordelijkheden tussen provider en deployer adresseren.
Het cumulatieve effect van beide gelijktijdig toepasselijke kaders is het meest zichtbaar bij hoog-risico AI-systemen die bijzondere persoonsgegevens verwerken: medische AI, HR AI, financiële AI-systemen in krediet- of verzekeringscontexten, en rekruterings-AI. Deze systemen zijn waarschijnlijk hoog-risico onder de AI Act (vallend binnen Bijlage III-categorieën), betreffen waarschijnlijk GDPR-gereguleerde persoongegevensverwerking, en omvatten waarschijnlijk de verwerking van bijzondere categorieën (gezondheids-, biometrische of financiële gegevens) die versterkte GDPR-bescherming vereisen, waaronder vereisten voor uitdrukkelijke toestemming of wettelijke rechtsgrond, versterkte DPIA-verplichtingen en mogelijke beperkingen op geautomatiseerde besluitvorming.
Organisaties in deze sectoren kunnen hun nalevingswerk niet sequentieel plannen alsof het ene kader aan het andere voorafgaat. Het systeemontwerp moet vanaf het begin aan beide sets vereisten voldoen. Technische documentatie, logging en mechanismen voor menselijk toezicht die de AI Act vereist, zullen vaak overlappen met de beveiligingsmaatregelen, dataminimalisatie-eisen en doelbindingsverplichtingen van de GDPR. Gelijktijdig ontwerpen voor beide is efficiënter dan ontwerpen voor het ene en het andere achteraf aanpassen.
Nee. De AI Act legt verplichtingen op die aanzienlijk verder gaan dan de GDPR, waaronder conformiteitsbeoordelingen, registratie in de EU AI-database, CE-markering, specifieke technische documentatievereisten voor AI-systemen, GPAI-modelverplichtingen en verboden AI-praktijken die de GDPR niet adresseert. GDPR-naleving is een noodzakelijke maar niet voldoende voorwaarde voor organisaties die hoog-risico AI-systemen exploiteren. De twee kaders moeten parallel, niet sequentieel worden geadresseerd.
Mogelijk ja, en ze dienen verschillende doelen. Een GDPR-DPIA beoordeelt de risico's die een verwerkingsactiviteit met zich meebrengt voor de rechten en vrijheden van betrokkenen en is vereist wanneer de verwerking waarschijnlijk een hoog risico meebrengt — geautomatiseerde besluitvorming met significante gevolgen triggert dit vrijwel altijd. Een FRIA onder de AI Act beoordeelt de impact van de inzet van een hoog-risico AI-systeem op grondrechten en is vereist voor deployers die publiekrechtelijke organen zijn, en voor bepaalde private deployers in krediet-, verzekerings- en arbeidscontexten. Het toepassingsgebied van de FRIA is ruimer dan dat van de DPIA — het adresseert niet-datagebaseerde grondrechten (arbeidsrechten, non-discriminatie, vrijheid van meningsuiting) naast gegevensrechten.
GDPR-verwerkersovereenkomsten dienen te worden herzien en aangevuld om de verdeling van verantwoordelijkheden van de AI Act tussen provider en deployer te adresseren. Kerntoevoegingen zijn: voor elk betrokken AI-systeem vaststellen of de dienstverlener een AI Act-provider is en of de klant een deployer is; gebruiksaanwijzingen en verplichtingen inzake menselijk toezicht adresseren; verantwoordelijkheid voor postmarktmonitoring en incidentrapportage verdelen; en waarborgen dat de beschrijvingen van gegevensverwerking in de verwerkersovereenkomst de feitelijke gegevensstromen door het AI-systeem weerspiegelen. Voor nieuwe AI-dienstverleningsovereenkomsten dienen de AI Act-verplichtingen in het contract te worden geadresseerd naast de GDPR-verwerkersovereenkomst.
Beide sets sancties gelden onafhankelijk. Een hoog-risico AI-systeem ingezet zonder conformiteitsbeoordeling kan een AI Act-boete van maximaal €15 miljoen of 3% van de mondiale omzet opleveren, terwijl de schendingen inzake persoongegevensverwerking van hetzelfde systeem GDPR-boetes van maximaal €20 miljoen of 4% van de mondiale omzet kunnen opleveren. De sancties worden niet geaggregeerd onder één maximum — elke schending wordt afzonderlijk behandeld door de bevoegde autoriteit. Nationale gegevensbeschermingsautoriteiten en nationale markttoezichthouders hebben overlappende maar onderscheiden bevoegdheid, en handhavingsacties kunnen parallel verlopen.
%402x.svg){kind=small}
%402x.svg){kind=icon}
%402x.svg){kind=icon}
