PrivacyTeam033 200 30 83
Inloggen

AI verandert het speelveld: wanneer is de FG voldoende en wanneer niet?

De snelle adoptie van AI zet bestaande governance-structuren onder druk. Organisaties verwerken steeds vaker persoonsgegevens via complexe modellen, en toezichthouders publiceren nieuwe richtlijnen om dataprotectie in deze context te borgen. De geactualiseerde EDPS Orientations on Generative AI (oktober 2025) benadrukt dat AI-technologie de AVG-verplichtingen op zichzelf niet wijzigt, maar dat de toepassing van AI het naleven ervan complexer en risicovoller maakt. Deze complexiteit verklaart mede waarom steeds vaker de vraag rijst: is de Functionaris voor de Gegevensbescherming (FG) voldoende toegerust om toezicht te houden op AI, of is een aanvullende rol zoals een AI Officer noodzakelijk?

Toenemende druk op governance door AI

Uit recente marktanalyses en signalen van toezichthouders blijkt dat organisaties steeds meer AI inzetten, maar moeite hebben met structurele borging. Daarbij worden regelmatig negatieve gevolgen gemeld, zoals onnauwkeurigheden, complianceproblemen en datarisico’s. Dat beeld sluit aan bij wat toezichthouders zien: AI leidt tot nieuwe risico’s die niet vanzelf worden opgevangen door bestaande privacy- of securityprocessen.

Rol van de FG bij AI

De herziene EDPS‑guidance verduidelijkt welke wettelijke taken de FG heeft wanneer een organisatie AI inzet. De artikelen 37–39 AVG vormen hierbij het uitgangspunt: de FG houdt toezicht op naleving van de dataprotectieregels, adviseert over DPIA’s en borgt de rechten van betrokkenen.

De EDPS benadrukt dat deze verplichtingen onverkort gelden bij de toepassing van generatieve en andere complexe AI-systemen. Concreet moet de FG:

  • vanaf het begin worden betrokken bij de beoordeling, voorbereiding, inkoop en implementatie van AI-systemen ("early involvement");
  • adviseren over rechtsgrondslagen, doelbinding, dataminimalisatie en proportionaliteit;
  • beoordelen of een DPIA noodzakelijk is en of deze de risico’s van AI-gebruik voldoende adresseert;
  • toezicht houden op de naleving van kernbeginselen zoals transparantie, juistheid, beveiliging en opslagbeperking tijdens training, gebruik en monitoring van AI-modellen;
  • erop toezien dat betrokkenen hun rechten effectief kunnen uitoefenen wanneer hun gegevens door AI worden verwerkt.

De EDPS concludeert expliciet dat AI de AVG niet wijzigt, maar dat de naleving ervan complexer en risicovoller wordt, waardoor de FG dezelfde wettelijke rol behoudt maar binnen een zwaarder en technischer risicolandschap opereert.

Is een AI Officer dan noodzakelijk?

De toegenomen complexiteit van AI, denk aan modelbias, datakwaliteit, hallucinated output en afhankelijkheid van externe aanbieders, zorgt ervoor dat veel organisaties constateren dat de FG-rol in de praktijk onvoldoende technische diepgang heeft om alle risico’s te overzien. Daarom ontstaat in Europa steeds vaker een aanvullende rol, zoals AI Officer, AI Compliance Officer of AI Governance Lead.

Deze rol richt zich doorgaans op:

  • technische en ethische risicobeoordeling van AI-modellen;
  • continue monitoring (model drift, performance, impact);
  • documentatie- en transparantie-eisen;
  • borging van vereisten uit aankomende AI-regelgeving;
  • coördinatie tussen IT, security, beleid, privacy en management.

Belangrijk: de EDPS schrijft niet voor dat een AI Officer verplicht is. De guidance maakt wel duidelijk dat AI governance multidisciplinair is. Voor organisaties die AI op grotere schaal of in risicovolle processen inzetten, ligt een aanvullende rol daarom voor de hand. Niet ter vervanging van de FG, maar als aanvulling.

Naar een passende governance-structuur

In de praktijk verschilt de governance behoefte sterk per organisatie. Kleinere organisaties, met beperkte of laag-risico AI-toepassingen, kunnen vaak uitstekend uit de voeten met een goed gepositioneerde en voldoende gefaciliteerde FG. De bestaande AVG‑kaders bieden daarvoor een solide basis.

Voor middelgrote en grote organisaties, of voor organisaties die AI inzetten in kritieke of risicovolle processen, is die basis echter vaak niet genoeg. De technische en operationele complexiteit van AI vraagt om aanvullende expertise, continue monitoring en multidisciplinaire samenwerking. Een AI Officer kan dan een waardevolle aanvulling zijn, niet om de FG te vervangen, maar om samen de juridische, technische en ethische aspecten van AI in balans te houden.

PrivacyTeam ondersteunt organisaties bij het bepalen welke governance‑inrichting passend is, het uitvoeren van DPIA’s en AI‑impactbeoordelingen, en het opzetten van robuuste structuren die klaar zijn voor de toekomst.

 

Naar het overzicht