AI Act en AVG: wat moet uw organisatie nu regelen?
AI en privacy: waarom steeds meer organisaties vastlopen tussen de AI Act en de AVG
Kunstmatige intelligentie wordt binnen organisaties steeds sneller toegepast. Medewerkers gebruiken AI-tools voor analyses, samenvattingen, rapportages, communicatie en besluitvorming. Vaak zonder dat daar uitgebreide trajecten of technische implementaties aan voorafgaan.
Juist daar ontstaat een nieuw risico.
Veel organisaties denken dat AI vooral een innovatievraagstuk is. Maar in werkelijkheid raakt AI direct aan privacy, informatiebeveiliging, governance en compliance.
En dat blijkt in de praktijk lastiger dan veel organisaties verwachten.
Recente onderzoeken laten zien dat veel AI-systemen moeite hebben om volledig te voldoen aan Europese wet- en regelgeving rondom privacy, transparantie en veiligheid.
Dat betekent niet dat organisaties moeten stoppen met AI. Maar wel dat zij beter moeten begrijpen:
- welke verplichtingen gelden
- welke risico’s ontstaan
- en wat er intern geregeld moet worden om AI verantwoord te gebruiken.
De AI Act en de AVG zijn geen losse onderwerpen meer
Veel organisaties behandelen privacy en AI nog als twee aparte dossiers.
Dat werkt steeds minder goed.
De AVG richt zich op de bescherming van persoonsgegevens. De AI Act richt zich op verantwoord gebruik van AI-systemen en de bescherming van fundamentele rechten. In de praktijk overlappen die twee steeds vaker.
Want zodra AI-systemen persoonsgegevens verwerken, krijgt een organisatie vrijwel altijd met beide wetten tegelijk te maken.
Dat maakt compliance complexer dan veel organisaties verwachten.
Waarom AI zoveel impact heeft op privacy
AI-systemen werken op basis van data. En in veel gevallen gaat het daarbij om persoonsgegevens.
Denk aan:
- klantgegevens
- personeelsinformatie
- e-mails
- documenten
- gedragsdata
- medische gegevens
- beeldmateriaal
- of gegevens uit CRM- en HR-systemen
Veel medewerkers realiseren zich niet dat informatie die zij invoeren in AI-tools onderdeel kan worden van verdere verwerking.
Juist daardoor ontstaan risico’s rondom:
- dataminimalisatie
- transparantie
- bewaartermijnen
- toegangsbeheer
- en ongewenste verspreiding van informatie.
Veel organisaties weten niet precies waar AI al gebruikt wordt
Dat is momenteel één van de grootste uitdagingen.
AI groeit vaak organisch binnen organisaties.
Een medewerker gebruikt ChatGPT voor een rapport. Een team experimenteert met AI-ondersteunde analyses. Een leverancier bouwt AI-functionaliteit in bestaande software. Marketing gebruikt AI voor contentcreatie.
Voor organisaties voelt dit vaak onschuldig. Maar ondertussen ontstaan nieuwe verwerkingen van gegevens zonder dat daar voldoende toezicht of beleid tegenover staat.
En precies daar beginnen compliance-risico’s.
De AI Act kijkt vooral naar risico’s
De Europese AI Act werkt met een risicogebaseerde aanpak. Hoe groter het risico voor mensen, veiligheid of grondrechten, hoe zwaarder de verplichtingen worden.
Sommige toepassingen zijn zelfs verboden.
Andere toepassingen vallen onder zogenaamde “hoog-risico systemen”. Denk bijvoorbeeld aan AI die gebruikt wordt voor:
- personeelsselectie
- onderwijs
- kritieke infrastructuur
- medische toepassingen
- kredietbeoordelingen
- of besluitvorming binnen overheden.
Daar gelden strengere eisen voor toezicht, documentatie, risicobeheer en menselijke controle.
De grootste fout: denken dat AI-compliance alleen technisch is
Veel organisaties zoeken de oplossing direct in techniek of juridische documenten.
Maar de grootste risico’s ontstaan vaak ergens anders.
Bij medewerkers die:
- niet weten welke AI-tools gebruikt mogen worden
- persoonsgegevens invoeren zonder na te denken
- AI-output blind vertrouwen
- of niet begrijpen hoe AI-resultaten tot stand komen.
Daarom wordt AI-geletterdheid een steeds belangrijker onderdeel van compliance. De AI Act legt nadrukkelijk vast dat organisaties moeten zorgen dat medewerkers voldoende kennis hebben om AI verantwoord te gebruiken.
Dat betekent dat bewustwording niet langer optioneel is.
Transparantie wordt een serieuze uitdaging
Veel AI-systemen functioneren als een soort “black box”. Er komt een resultaat uit, maar hoe dat precies tot stand komt is vaak moeilijk te verklaren.
Dat botst met Europese regelgeving.
De AVG stelt eisen aan transparantie rondom persoonsgegevens. De AI Act stelt aanvullende eisen aan uitlegbaarheid, toezicht en verantwoord gebruik van AI-systemen.
Voor organisaties betekent dit dat zij steeds vaker moeten kunnen uitleggen:
- welke AI gebruikt wordt
- waarvoor die wordt ingezet
- welke gegevens verwerkt worden
- en hoe menselijke controle georganiseerd is.
Veel organisaties hebben nog geen AI-governance
En juist dat wordt steeds problematischer.
Binnen veel organisaties ontbreken nog:
- duidelijke AI-richtlijnen
- interne controlemechanismen
- inventarisaties van AI-gebruik
- beleid rondom gegevensverwerking in AI-tools
- en training voor medewerkers.
Daardoor ontstaat een situatie waarin AI wel gebruikt wordt, maar zonder duidelijke kaders.
Dat vergroot niet alleen privacyrisico’s, maar ook operationele en reputatierisico’s.
Wat moet een organisatie nu concreet doen?
Voor veel organisaties voelt AI-compliance groot en complex. Toch begint het vaak met relatief eenvoudige stappen.
Begin met inzicht
Breng in kaart:
- welke AI-tools gebruikt worden
- door wie
- voor welke processen
- en welke gegevens daarin verwerkt worden.
Veel organisaties ontdekken pas tijdens zo’n inventarisatie hoeveel AI al gebruikt wordt.
Controleer welke persoonsgegevens verwerkt worden
Vraag kritisch:
- zijn deze gegevens echt nodig?
- mogen ze hiervoor gebruikt worden?
- weten betrokkenen hiervan?
- en hoe worden de gegevens beschermd?
Hier raken AI en AVG elkaar direct.
Bepaal of sprake is van hoog-risico toepassingen
Niet iedere AI-toepassing valt onder dezelfde regels.
Maar toepassingen binnen:
- HR
- zorg
- onderwijs
- overheid
- beveiliging
- of besluitvorming
kunnen snel onder strengere verplichtingen vallen.
Zorg voor menselijke controle
AI mag ondersteunen. Maar organisaties moeten voorkomen dat medewerkers beslissingen volledig overlaten aan AI-systemen.
Menselijk toezicht blijft essentieel.
Investeer in AI-geletterdheid
Dit wordt de komende jaren één van de belangrijkste onderdelen van compliance.
Niet iedereen hoeft technisch expert te worden. Maar medewerkers moeten wel begrijpen:
- wat AI doet
- welke risico’s bestaan
- hoe privacy geraakt wordt
- en waar grenzen liggen.
Organisaties die nu beginnen, bouwen voorsprong op
Veel organisaties wachten nog af.
Maar ondertussen groeit het gebruik van AI iedere dag verder.
Organisaties die nu investeren in:
- inzicht
- governance
- bewustwording
- en duidelijke kaders
verkleinen niet alleen risico’s, maar bouwen ook vertrouwen op richting klanten, medewerkers en toezichthouders.
En dat wordt steeds belangrijker.
De vraag is niet meer óf AI gebruikt wordt
De vraag is of uw organisatie begrijpt:
- welke risico’s daarbij horen
- welke verplichtingen gelden
- en hoe u verantwoord gebruik structureel organiseert.
Wilt u weten waar uw organisatie staat op het gebied van AI, AVG en compliance?
Gebruik dan onze risicoanalyse tool en krijg direct inzicht in mogelijke risico’s binnen uw organisatie.
Wilt u medewerkers daarnaast voorbereiden op verantwoord AI-gebruik en aantoonbare AI-geletterdheid?
Vraag dan een gratis demo compliance training aan en ontdek hoe u AI-compliance praktisch en organisatiebreed kunt borgen.
Meest gelezen
- Het verschil tussen een Functionaris Gegevensbescherming (FG) en een Privacy Officer (PO).
- Nieuwe regels vanaf 2023 voor AVG-boetes: wat je moet weten
- AVG e-learning: zorg dat je medewerkers op de hoogte zijn
- AVG training voor het vergroten van de bewustwording
- Welke informatie bevat het AVG verwerkingsregister?
Vragen? Stuur een appje. 
