EU AI Act, GDPR en NIS2: drie wetten, één AI-systeem, drie boetes tegelijk
    AI-geletterdheid uitgelegd

    EU AI Act, GDPR en NIS2: drie wetten, één AI-systeem, drie boetes tegelijk

    Ferry Hoes

    Ferry Hoes

    18 mei 2026

    Een ziekenhuis dat een AI-systeem inzet om patiëntdossiers te analyseren, valt vanaf 2 augustus 2026 mogelijk onder drie EU-wetten tegelijk. De EU AI Act, de Algemene Verordening Gegevensbescherming, en de NIS2-richtlijn. Drie verschillende toezichthouders. Drie verschillende boetestructuren. Bij overtreding kunnen de sancties zich opstapelen.

    Dit is geen randgeval. Bij elke AI-toepassing in een gereguleerde sector werken minimaal twee van deze regimes parallel. Toch worden ze in nieuwsberichten en jaarverslagen vrijwel altijd los van elkaar besproken. Deze analyse zet de drie naast elkaar.

    De drie wetten op één rij

    EU AI Act — Verordening (EU) 2024/1689. Aangenomen door de Raad in mei 2024, gepubliceerd in het Publicatieblad op 12 juli 2024, in werking sinds 1 augustus 2024. Volledig van toepassing per 2 augustus 2026, met enkele eerdere mijlpalen (verboden praktijken sinds 2 februari 2025, GPAI-regels sinds 2 augustus 2025). Reguleert AI-systemen op basis van risiconiveau.

    Algemene Verordening Gegevensbescherming (AVG/GDPR) — Verordening (EU) 2016/679. Van toepassing sinds 25 mei 2018. Reguleert de verwerking van persoonsgegevens, ongeacht de gebruikte technologie.

    NIS2-richtlijn — Richtlijn (EU) 2022/2555. In werking sinds 16 januari 2023, omzettingsdeadline 17 oktober 2024. In Nederland is de omzetting nog niet voltooid op het moment van schrijven. Reguleert cyberveiligheid van essentiële en belangrijke entiteiten in kritieke sectoren.

    Wat reguleert wat: de fundamentele scheiding

    De drie wetten kijken naar verschillende objecten. Dat is de kern van het verschil.

    • De EU AI Act kijkt naar het AI-systeem en de mate waarin de toepassing risico oplevert voor grondrechten, gezondheid en veiligheid
    • De GDPR kijkt naar de verwerking van persoonsgegevens, of die nu door AI gebeurt of niet
    • De NIS2 kijkt naar de cyberveiligheid van netwerk- en informatiesystemen van organisaties in kritieke sectoren

    Geen van de drie vervangt de ander. Ze opereren parallel en stapelen op.

    Vergelijking op zeven dimensies

    1. Reikwijdte

    EU AI Act: aanbieders, gebruikers, importeurs en distributeurs van AI-systemen die in de EU op de markt komen of waarvan de output in de EU wordt gebruikt. Geografische reikwijdte buiten de EU mogelijk.

    GDPR: elke organisatie die persoonsgegevens van EU-burgers verwerkt, ongeacht waar de organisatie zelf gevestigd is.

    NIS2: essentiële en belangrijke entiteiten in 18 sectoren, waaronder energie, transport, gezondheid, drinkwater, afvalwater, digitale infrastructuur, openbaar bestuur en ruimtevaart. In het algemeen middelgrote en grote ondernemingen (50+ medewerkers of 10 miljoen euro+ omzet), met sectorspecifieke uitzonderingen.

    2. Maximale boete

    EU AI Act (Artikel 99):

    • Tier 1, verboden praktijken (Artikel 5): tot 35 miljoen euro of 7% van de wereldwijde jaaromzet, wat hoger is
    • Tier 2, non-compliance hoog-risico systemen, transparantieplicht, en andere verplichtingen: tot 15 miljoen euro of 3%, wat hoger is
    • Tier 3, onjuiste informatie aan toezichthouder: tot 7,5 miljoen euro of 1%, wat hoger is
    • Voor mkb en startups geldt de laagste van de twee bedragen, niet de hoogste

    GDPR (Artikel 83):

    • Tier 1, ernstige inbreuken (bijv. schending grondbeginselen, rechten betrokkenen): tot 20 miljoen euro of 4% van de wereldwijde jaaromzet, wat hoger is
    • Tier 2, overige inbreuken: tot 10 miljoen euro of 2%, wat hoger is

    NIS2 (Artikel 34):

    • Essentiële entiteiten: minimaal 10 miljoen euro of 2%, wat hoger is
    • Belangrijke entiteiten: minimaal 7 miljoen euro of 1,4%, wat hoger is
    • NIS2 zet een ondergrens. Lidstaten kunnen zwaarder beboeten. Duitsland heeft de essentiële-entiteit boete op 20 miljoen euro gezet, dubbel het minimum

    3. Toezichthouder in Nederland

    EU AI Act: verschillende autoriteiten naar gelang de toepassing. De Autoriteit Persoonsgegevens (AP) heeft een leidende rol gekregen in het Nederlandse toezicht, samen met de Rijksinspectie Digitale Infrastructuur (RDI) als markttoezichthouder. Definitieve aanwijzing per sector volgt.

    GDPR: Autoriteit Persoonsgegevens.

    NIS2: sectorale toezichthouders, met het Nationaal Cyber Security Centrum (NCSC) als centraal punt voor incidentmelding.

    4. Centrale verplichtingen

    EU AI Act: risicoclassificatie van AI-systemen, voor hoog-risico systemen een risicobeheersysteem, datakwaliteit, technische documentatie, menselijk toezicht, transparantie, nauwkeurigheid en cyberveiligheid. Voor alle organisaties: voldoende AI-geletterdheid bij personeel dat met AI werkt (Artikel 4).

    GDPR: rechtmatige grondslag voor verwerking, doelbinding, dataminimalisatie, transparantie naar betrokkenen, rechten van betrokkenen (inzage, correctie, vergetelheid, dataportabiliteit, verzet), beveiliging, meldplicht datalekken binnen 72 uur, DPIA bij hoog risico.

    NIS2: risicobeheer (technisch en organisatorisch), incident handling, business continuity, beveiliging supply chain, cyberhygiene en training, gebruik van encryptie en MFA, melding van significante incidenten binnen 24 uur (vroege waarschuwing), 72 uur (gedetailleerd) en een maand (eindrapport).

    5. Persoonlijke aansprakelijkheid bestuur

    EU AI Act: geen specifieke regeling voor persoonlijke aansprakelijkheid van bestuurders.

    GDPR: geen automatische persoonlijke aansprakelijkheid voor bestuurders. Wel kunnen functionarissen onder nationaal recht aansprakelijk worden gesteld.

    NIS2 (Artikel 20): uitdrukkelijke verantwoordelijkheid van bestuursorganen. Bestuurders moeten de risicobeheersmaatregelen goedkeuren, het toezicht houden, en kunnen persoonlijk aansprakelijk zijn bij ernstige nalatigheid. Sommige lidstaten staan tijdelijke beroepsverboden toe.

    6. Meldplichten

    EU AI Act: ernstige incidenten met hoog-risico systemen moeten worden gemeld aan de markttoezichthouder, doorgaans binnen 15 dagen.

    GDPR: datalekken die een risico inhouden voor betrokkenen melden binnen 72 uur na constatering aan de toezichthouder. Betrokkenen informeren bij hoog risico.

    NIS2: significante incidenten binnen 24 uur voor de vroege waarschuwing, 72 uur voor het gedetailleerde rapport, een maand voor het eindrapport.

    7. In werking

    • GDPR: sinds 25 mei 2018
    • NIS2: in werking sinds 16 januari 2023, omzetting verplicht sinds 17 oktober 2024
    • EU AI Act: in werking sinds 1 augustus 2024, hoofdregels van toepassing per 2 augustus 2026

    De overlap waar het echt over gaat

    De vergelijking wordt scherp op het moment dat een en hetzelfde AI-systeem onder meerdere regimes valt. Dat gebeurt structureel, niet incidenteel.

    Voorbeeld 1: AI in de zorg

    Een AI-systeem dat patiëntdossiers analyseert om diagnoses te ondersteunen. Wat triggert wat?

    • AI-systeem in een hoog-risico domein (gezondheidszorg, Annex III): EU AI Act
    • Verwerking van bijzondere persoonsgegevens (gezondheid): GDPR met verzwaarde grondslageisen
    • Ziekenhuis valt onder essentiële entiteiten in de zorgsector: NIS2

    Drie regimes. Drie toezichthouders. Drie boetestructuren.

    Voorbeeld 2: AI in werving en selectie

    Een AI-systeem dat CV-data scoort voor recruitment.

    • AI-systeem voor werving en evaluatie (Annex III, punt 4): hoog risico onder EU AI Act
    • Verwerking van persoonsgegevens van kandidaten, met geautomatiseerde besluitvorming (GDPR Artikel 22): GDPR
    • NIS2 alleen als de werkgever zelf in een NIS2-sector zit

    Voorbeeld 3: AI in kredietscoring

    Een bank gebruikt AI voor kredietbeoordeling.

    • Essentiële private dienst, kredietscoring (Annex III): hoog risico onder EU AI Act
    • Geautomatiseerde besluitvorming met persoonsgegevens: GDPR
    • Banken zijn essentiële entiteiten in de financiële sector: NIS2

    Stapelen boetes?

    Een belangrijk juridisch detail. De EU AI Act voorziet in Artikel 99, lid 8 dat dubbele bestraffing voor exact dezelfde feitelijke overtreding wordt voorkomen wanneer een gedraging onder zowel de AI Act als een andere EU-verordening valt. Bij overlap geldt de hoogste van de twee boetes.

    Dat betekent niet dat het bedrijf veilig is. Verschillende aspecten van dezelfde AI-toepassing kunnen onder verschillende wetten verschillende overtredingen opleveren. Een lek van trainingsdata is een datalek (GDPR), en een mogelijk beveiligingsincident (NIS2), en een mogelijk integriteitsincident voor het AI-systeem (AI Act). Elk aspect kan apart worden beboet.

    De praktische conclusie voor compliance-afdelingen: een AI-toepassing, drie risicoregister-inschrijvingen.

    Wat ontbreekt in de meeste media-coverage

    In nieuwsberichten en analyses worden de drie wetten doorgaans los behandeld. Dat is begrijpelijk; ze komen uit verschillende DG's van de Commissie en hebben elk hun eigen woordvoerders. Maar voor de organisatie die de regels in de praktijk moet uitvoeren, is precies die opsplitsing het probleem.

    Drie zaken die in vrijwel geen enkel artikel opduiken:

    De verschillende definities van risico. EU AI Act-risico gaat over grondrechten, gezondheid en veiligheid. GDPR-risico gaat over de privacy van betrokkenen. NIS2-risico gaat over de continuïteit van diensten en de integriteit van systemen. Een AI-systeem kan onder alle drie de definities tegelijk hoog risico zijn, om drie verschillende redenen.

    De gefragmenteerde meldketens. Een ernstig incident met een AI-systeem in de zorg vraagt meldingen aan minstens drie autoriteiten, op drie verschillende termijnen (24 uur NIS2, 72 uur GDPR, 15 dagen AI Act). Wie dat coördineert is een open vraag in veel organisaties.

    De Nederlandse implementatie-achterstand bij NIS2. Nederland behoort tot de lidstaten die de omzetting van NIS2 nog niet hebben afgerond, ruim na de deadline van 17 oktober 2024. Andere lidstaten zoals Duitsland en België hebben dit wel gedaan en handhaven actief. Dat betekent ongelijke handhavingsdruk binnen de EU.

    Bronnen voor verdere verdieping

    • Verordening (EU) 2024/1689 (EU AI Act), Publicatieblad L van 12 juli 2024
    • Verordening (EU) 2016/679 (GDPR/AVG), Publicatieblad L 119 van 4 mei 2016
    • Richtlijn (EU) 2022/2555 (NIS2), Publicatieblad L 333 van 27 december 2022
    • European Commission, AI Act Service Desk (ai-act-service-desk.ec.europa.eu)
    • Autoriteit Persoonsgegevens, autoriteitpersoonsgegevens.nl
    • Nationaal Cyber Security Centrum, ncsc.nl

    De aangehaalde artikelnummers en bedragen verwijzen naar de officiële geconsolideerde teksten van de drie wetten zoals gepubliceerd in het Publicatieblad van de Europese Unie.

    Wil je weten welke van deze drie regimes vandaag al op jouw organisatie van toepassing zijn? AIGA helpt organisaties met AI-geletterdheid die aansluit op alle drie de kaders. Begin met de gratis AI-Risicoscan.

    Bronnen

    Ferry Hoes

    Ferry Hoes

    Ferry Hoes is veelgevraagd spreker en trainer op het gebied van AI-geletterdheid. Hij staat meermaals per maand op het podium voor organisaties zoals a.s.r., VodafoneZiggo en verschillende ministeries. In 2020 won hij de Anti-Discriminatie AI-Hackathon van de Nederlandse overheid.

    Deel dit artikel:LinkedInX / Twitter

    Vorig artikel

    De verborgen documentatieplicht van Artikel 4 EU AI Act: wat moet er in het AI-geletterdheid dossier voor HR en L&D

    Volgend artikel

    De vier risiconiveaus van de EU AI Act: wat ze zijn, waar je ze vindt, en wat ze betekenen voor jouw organisatie

    Klaar om je team te certificeren?

    Bekijk de AI-geletterdheid training of doe eerst de gratis gereedheidscan.

    Bekijk de trainingDoe de scan