NIEUWSARTIKEL

De FG en de AI Act: samen sturen op verantwoorde inzet van AI

Geplaatst op 26-05-2025  -  Categorie: Nieuws  -  Auteur: Joris Bijvoets van AVG Compleet BV.

Beeld van silhouet persoon omgeven door data

Als Functionaris Gegevensbescherming werk je dagelijks op het snijvlak van privacy, ethiek en technologie. De komst van de AI Act maakt dat werk relevanter – en complexer – dan ooit. AI-oplossingen vinden steeds vaker hun weg naar organisaties, van zorginstellingen tot gemeenten en onderwijsinstellingen. En waar algoritmen beslissingen gaan beïnvloeden, moeten we als FG alert zijn: niet om innovatie te blokkeren, maar om bij te dragen aan een verantwoorde, toetsbare inzet van technologie.

Sinds februari van dit jaar vervul ik naast mijn rol als FG ook die van CAICO (Certified AI Compliance Officer). Die combinatie maakt scherp duidelijk dat de AI Act en de AVG niet los van elkaar bestaan, maar juist in samenhang begrepen en toegepast moeten worden. De rol van de FG verandert daardoor niet fundamenteel, maar wordt wel breder.

AI in de praktijk: van sensoren tot medische beeldanalyse

Bij de organisaties waarvoor ik werk zie ik uiteenlopende AI-toepassingen. In de zorg worden bijvoorbeeld slimme sensoren ingezet om ouderen langer zelfstandig thuis te laten wonen. Die sensoren signaleren afwijkingen in bewegingspatronen, wat vroegtijdig kan wijzen op een val of verslechtering van de gezondheid. Andere toepassingen analyseren röntgenfoto’s of maken automatische samenvattingen van triage gesprekken.

Op papier gaat het om mooie innovaties die bijdragen aan kwaliteit van leven en efficiëntie. Maar onder de motorkap schuilen mechanismen die vragen oproepen over uitlegbaarheid, dataminimalisatie, menselijke controle en discriminatie. Hier komt de AI Act om de hoek kijken.

De AI Act: aanvullend op de AVG, geen vervanging

De AI Act introduceert een nieuwe risicobenadering die deels overlapt met de AVG, maar ook nieuwe normen toevoegt. Zo verplicht de AI Act bij zogeheten ‘hoog-risico AI-systemen’ tot:

  • duidelijke documentatie over ontwerpkeuzes en gebruikte data;
  • voorafgaande risicobeoordeling;
  • waarborgen voor menselijke controle;
  • monitoring op bijwerkingen en verkeerde uitkomsten;
  • en expliciete transparantie richting de gebruiker.

Anders dan de AVG, die vooral de bescherming van persoonsgegevens regelt, kijkt de AI Act breder: naar de maatschappelijke effecten van AI, technische betrouwbaarheid, uitlegbaarheid en mogelijke vooroordelen in datasets.

Voor veel organisaties betekent dit: niet alleen een DPIA, maar ook een bredere AI Impact Assessment (AIIA). En juist bij die integratie van benaderingen ligt een belangrijke rol voor de FG door ervoor te zorgen dat DPIA’s, AI Impact Assessments en technische risicoafwegingen niet los van elkaar blijven bestaan, maar elkaar versterken.

Van DPIA naar spiderweb: 7 dimensies van controle

Een krachtig hulpmiddel voor die bredere risicoanalyse is het spiderweb-diagram op basis van de 7 controle-dimensies uit het AI Impact Assessment-model. Deze dimensies zijn:

  1. Menselijk toezicht – is er sprake van menselijke controle en bijsturing?
  2. Technische robuustheid en veiligheid – hoe stabiel en fouttolerant is het systeem?
  3. Privacy en gegevensbeheer – hoe wordt omgegaan met persoonsgegevens?
  4. Transparantie – is de werking van het algoritme begrijpelijk en uitlegbaar?
  5. Diversiteit, non-discriminatie en rechtvaardigheid – worden bias en uitsluiting voorkomen?
  6. Maatschappelijk welzijn en milieueffecten – wat is de bredere impact?
  7. Verantwoording – wie is verantwoordelijk voor keuzes en gevolgen?

Door per dimensie maatregelen en risico’s in kaart te brengen, ontstaat een visueel overzicht dat snel laat zien waar sterke en zwakke punten liggen. In mijn ervaring helpt dit diagram enorm in gesprekken met bestuurders, ontwikkelaars en compliance teams. Het maakt de abstracte AI-risico’s concreet en bespreekbaar.

De FG als bruggenbouwer

De AI Act vereist niet dat de FG juridisch of technisch alles weet. Maar we moeten wel de juiste vragen stellen, risico’s signaleren, en collega’s meenemen in het zoeken naar verantwoorde oplossingen. Dat vraagt om samenwerking: met informatiebeveiliging, ethiekcommissies, IT en – waar beschikbaar – de CAICO.

Als FG kunnen we hierin richting geven: door vroegtijdig betrokken te zijn bij AI-initiatieven, door privacy by design uit te breiden naar accountability by design, en door te zorgen dat AI past binnen het bredere risicokader van de organisatie.

Wees voorbereid

De AI Act is inmiddels formeel in werking getreden, met een gefaseerde toepassing. Zo gelden de eerste verboden al sinds augustus 2024, en worden de regels voor high-risk AI-systemen in 2026 verplicht.

Organisaties bereiden zich voor, maar worstelen ook: hoe pak je dit aan zonder alles lam te leggen? Welke kaders zijn praktisch werkbaar? En hoe voorkom je dat privacy en ethiek pas achteraf worden meegenomen?

Heb je interesse, wil je praktijkervaring delen of wil je samen methodieken ontwikkelen? Laat het weten. AI ontwikkelt zich razendsnel – het is aan ons om als FG mede koers te bepalen, en niet vanaf de zijlijn toe te kijken.