AI ontkomt niet aan de gegevensbeschermingswetgeving. Als uw AI-systeem persoonsgegevens verwerkt — bij de training, in werking of in de uitvoer — is de AVG volledig van toepassing, naast de EU AI Act. Voor Belgische organisaties kunt u de twee regelgevingen het best behandelen als één programma: de AI Act vraagt “is deze AI veilig en betrouwbaar?”, de AVG vraagt “is deze verwerking van persoonsgegevens rechtmatig en eerlijk?”. U moet op beide een helder antwoord kunnen geven.
Kort samengevat — AVG-verplichtingen die het zwaarst wegen bij AI
- U hebt een rechtsgrond nodig voor de training en voor de inferentie — die kunnen verschillen.
- Doelbinding en minimale gegevensverwerking beperken wat u aan een model kunt voeren.
- Geautomatiseerde besluiten met juridische of vergelijkbaar significante gevolgen activeren de waarborgen van Art. 22.
- Een DPIA is doorgaans verplicht voor AI die mensen profileert of beoordeelt.
- Transparantie en rechten van betrokkenen (inzage, verwijdering, bezwaar) blijven van toepassing op door modellen aangestuurde verwerking.
Rechtsgrond: training is niet hetzelfde als inferentie
Een veelgemaakte fout is één rechtsgrond vaststellen en aannemen dat die de gehele levenscyclus afdekt. Dat is zelden het geval. Het trainen van een model op persoonsgegevens en het gebruiken van het model op een live individu zijn afzonderlijke verwerkingsactiviteiten, elk met een eigen grondslag op basis van Art. 6. Voor de meeste commerciële AI zijn de realistische kandidaten het gerechtvaardigd belang (met een gedocumenteerde afweging) of toestemming; een overeenkomst kan passend zijn wanneer de AI inherent is aan een dienst die de betrokkene heeft aangevraagd. Verwerkt u bijzondere categorieën van gegevens (gezondheid, biometrie, enz.), dan heeft u bovendien een voorwaarde op grond van Art. 9 nodig — een aanzienlijk hogere drempel.
Doelbinding en minimalisatie versus de datahonger van modellen
Modellen worden beloond met meer data; de AVG beloont minder. Twee beginselen dragen de zwaarste last. Doelbinding betekent dat gegevens die voor één doel zijn verzameld niet stilzwijgend mogen worden hergebruikt om een model te trainen — hergebruik moet verenigbaar zijn met het oorspronkelijke doel of steunen op een nieuwe grondslag. Minimale gegevensverwerking betekent dat u alleen verzamelt en bewaart wat het model daadwerkelijk nodig heeft. Technieken zoals anonimisering, pseudonimisering, synthetische data en aggregatie zijn niet alleen goede praktijken — ze zijn de manier om een datahungrig model te verzoenen met een minimalisatieplicht.
Geautomatiseerde besluitvorming (Art. 22)
Dit is waar AI en AVG het scherpst botsen. Art. 22 geeft individuen het recht om niet onderworpen te worden aan een besluit dat uitsluitend is gebaseerd op geautomatiseerde verwerking — inclusief profilering — dat rechtsgevolgen heeft of hen op een vergelijkbaar significante wijze treft (denk aan afwijzing van krediet, geautomatiseerde afwijzing bij sollicitaties, verzekeringstarieven). Dergelijke volledig geautomatiseerde besluiten zijn alleen toegestaan wanneer ze noodzakelijk zijn voor de uitvoering van een overeenkomst, bij wet zijn gemachtigd, of berusten op uitdrukkelijke toestemming — en zelfs dan moet u waarborgen bieden: zinvolle menselijke herbeoordeling, de mogelijkheid om bezwaar te maken en een uitleg van de gehanteerde logica. Het ontwerpen van een werkelijke mens-in-de-lus is vaak de schoonste uitweg uit de Art. 22-val, en sluit aan bij de menselijk-toezicht-verplichting van de AI Act voor hoog-risicosystemen.
De DPIA: doorgaans verplicht voor AI
Een Gegevensbeschermingseffectbeoordeling (Art. 35) is vereist wanneer de verwerking waarschijnlijk een hoog risico inhoudt voor de rechten van betrokkenen — wat geldt voor de meeste AI die profileert, beoordeelt of ingrijpende besluiten neemt, zeker op grote schaal. De Belgische Gegevensbeschermingsautoriteit publiceert een lijst van verwerkingsactiviteiten waarvoor een DPIA verplicht is, en grootschalige of systematische profilering staat daar prominent op. Een goede DPIA voor AI documenteert de gegevensstromen, de rechtsgrond, de noodzaak en proportionaliteit, de risico’s van bias en fouten, en de mitigerende maatregelen. Goed uitgevoerd, dient ze tevens als groot deel van het bewijs dat de AI Act verwacht voor een hoog-risicosysteem — één beoordeling, twee regelgevingen.
Transparantie, juistheid en het recht op verwijdering
Betrokkenen moeten in duidelijke bewoordingen worden geïnformeerd dat hun gegevens een AI-systeem voeden en met welke gevolgen (Art. 13–14). Het beginsel van juistheid is scherper bij AI: een model dat onjuiste gevolgtrekkingen over een persoon produceert, kan dit schenden. En rechten stoppen niet bij de grens van het model — een geldig verzoek tot verwijdering of bezwaar moet worden gehonoreerd, ook wanneer de gegevens voor training zijn gebruikt. Dat is waarom het ontwerp van retentie en de mogelijkheid om te hertrainen of te filteren vanaf dag één van belang zijn.
Waar de AVG de AI Act ontmoet
De regelgevingen zijn complementair, niet overlappend. De tabel toont hoe dezelfde maatregel vaak aan beide voldoet.
| Maatregel | AVG | AI Act |
|---|---|---|
| Menselijk toezicht op besluiten | Waarborgen Art. 22 | Menselijk-toezicht-plicht voor hoog-risico |
| Risico- en impactbeoordeling | DPIA (Art. 35) | Grondrechtenimpactbeoordeling; risicobeheer |
| Gegevenskwaliteit & -governance | Juistheid, minimalisatie | Datagovernance voor trainings- en testdata |
| Transparantie naar betrokkenen | Mededelingen Art. 13–14 | Transparantieverplichtingen Art. 50 |
| Documentatie & logging | Register van verwerkingsactiviteiten | Technische documentatie, automatische logbestanden |
Een pragmatische checklist
- Breng de persoonsgegevens in uw AI in kaart — trainingssets, prompts, uitvoer, logbestanden.
- Stel afzonderlijk een rechtsgrond vast voor training en voor inferentie; documenteer eventuele afwegingstoetsen voor gerechtvaardigd belang.
- Controleer op bijzondere categorieën van gegevens en zorg voor een Art. 9-voorwaarde indien aanwezig.
- Identificeer volledig geautomatiseerde besluiten met significante gevolgen; ontwerp menselijke herbeoordeling en betwistbaarheid.
- Voer een DPIA uit voor profilering en beoordelingsscenario’s — en hergebruik die als bewijs voor de AI Act.
- Verwerk rechten van betrokkenen, bewaartermijnen en transparantiemeldingen vóór de lancering.
Algemene informatie, geen juridisch advies. ICTLAB helpt Belgische organisaties AVG-naleving en AI-governance als één programma te beheren — bekijk onze AVG-nalevingsdiensten, lees de EU AI-implementatiechecklist, of spreek met ons team.