Nieuwe AI-richtlijn voor EU-instellingen: dit verandert er
Generatieve AI voelt vaak als magie. Een model stelt een juridische analyse op in seconden, vertaalt automatisch een memo of schrijft beleidsadvies. Maar: welke data gingen er in het model? Wie is verantwoordelijk voor die verwerking? En mag dat zomaar onder de Europese privacyregels? De European Data Protection Supervisor (EDPS) vindt van niet. En komt nu met een geüpdatete richtlijn die AI-gebruik door EU-instellingen concreet toetst aan de privacyregels. Niet vrijblijvend, maar met duidelijke definities, checklists en grenzen. Deze nieuwe ‘Guidance on Generative AI’ is meer dan een update. Het is een lesboek voor verantwoord innoveren. Ook buiten Brussel.
Wat is er aan de hand?
Generatieve AI is volop in ontwikkeling. Europese instellingen experimenteren met taalmodellen (zoals GPT), beeldgeneratoren en andere AI-tools. Die tools worden soms ingezet als interne assistent, soms als publieke dienst. Dat roept vragen op: hoe borg je privacy en transparantie? Welke verwerkingen vinden precies plaats? En past dat binnen de kaders van de Verordening (EU) 2018/1725 – de AVG-variant voor EU-instellingen?
In 2023 publiceerde de EDPS al een eerste richtlijn over generatieve AI. Maar de technologische ontwikkelingen sindsdien, plus feedback van instellingen, vroegen om actualisatie. Op 28 oktober 2025 verscheen daarom een herziene versie. Deze bevat nu scherpere definities, verduidelijkte rolverdelingen en een actiegerichte checklist voor juridische toetsing van AI-systemen.
Belangrijk: deze richtlijn geldt formeel alleen voor EU-instellingen en agentschappen, maar de inhoudelijke lessen zijn breed toepasbaar – van ministeries en toezichthouders tot juridische afdelingen in het bedrijfsleven.
Hoe werkt het?
De richtlijn begint met een scherpere definitie van wat generatieve AI is: modellen die op basis van input nieuwe output genereren (tekst, beeld, audio, code) met een autonoom karakter. Het gaat dus nadrukkelijk om output die nieuw is – niet enkel classificatie of voorspelling.
Nieuw is de compliance-checklist, waarmee instellingen hun AI-verwerking kunnen toetsen. Denk aan vragen over: welke persoonsgegevens worden verwerkt? Op welke grondslag? Wie is verwerkingsverantwoordelijke? Is het doel van verwerking voldoende gespecificeerd? En zijn rechten van betrokkenen geborgd?
Ook de rolverdeling is nu concreter uitgewerkt. De EDPS geeft handvatten om te bepalen of een instelling optreedt als verwerkingsverantwoordelijke, gezamenlijke verantwoordelijke of uitsluitend als verwerker. Dat onderscheid is essentieel voor het toewijzen van verantwoordelijkheden en aansprakelijkheden.
Daarnaast bevat de richtlijn gedetailleerde uitleg over juridische kernbegrippen, zoals:
Wettelijke grondslagen: AI-training vereist een eigen grondslag, los van de toepassing van het model. Alleen publieke taak of toestemming zijn doorgaans geschikt.
Doelbinding: data gebruiken voor AI-training is een ander doel dan bijvoorbeeld een helpdeskfunctie. Hergebruik vereist dus een afzonderlijke rechtvaardiging.
Rechten van betrokkenen: betrokkenen moeten inzicht kunnen krijgen in welke data het systeem gebruikt, en waar die output op gebaseerd is. De richtlijn spoort aan tot ‘explainability by design’.
De EDPS maakt duidelijk dat AI-compliance méér is dan een privacyverklaring toevoegen. Het vraagt om fundamentele keuzes in ontwerp, governance en monitoring van AI-systemen.
Waarom is dit belangrijk?
De EDPS stelt expliciet dat dit geen technologische hype is, maar een fundamentele bestuurs- en rechtsvraag. “Artificial intelligence is an extension of human ingenuity, and the rules governing it must evolve just as dynamically,” aldus supervisor Wojciech Wiewiórowski. De herziene richtlijn is bedoeld om innovatie mogelijk te maken, zonder de Europese dataprotectiestandaarden te ondergraven.
Voor juristen betekent dit: AI is geen black box die je aan de IT-afdeling kunt overlaten. De juridische toets begint bij de vraag of het systeem überhaupt persoonsgegevens verwerkt, en zo ja: onder welke voorwaarden dat mag.
In de praktijk zie je veel AI-tools die publieke teksten combineren met persoonsgegevens (zoals klachten, interne rapporten of e-mails). Of tools die leren van interactie met gebruikers. In zulke gevallen gelden dezelfde beginselen als bij elke andere verwerking: rechtmatigheid, transparantie, minimale dataverwerking, en bescherming van rechten.
Voor overheidsjuristen zijn de richtsnoeren relevant bij inkoop, aanbesteding en impact assessments. Voor compliance officers en bedrijfsjuristen bieden ze een toetsingskader bij implementatie en audit van AI-tools. En voor privacyprofessionals helpen ze om juridische kaders te vertalen naar concrete ontwerp- en beleidskeuzes.
Wat kun je hier als jurist mee?
De herziene richtlijn van de EDPS biedt een bruikbaar toetsingskader. De concrete adviezen, checklists en juridische duiding maken het geschikt voor toepassing binnen én buiten de Europese instellingen.
Wat kun je als jurist doen?
Gebruik de EDPS-checklist als uitgangspunt voor het beoordelen van AI-projecten.
Herbekijk DPIA’s (data protection impact assessments) voor AI-toepassingen – zeker als er sprake is van grootschalige verwerking, profiling of gevoelige data.
Onderzoek je rol als organisatie: ben je verwerkingsverantwoordelijke, verwerker of gezamenlijke verantwoordelijke? En wat betekent dat voor je verplichtingen?
Toets grondslagen kritisch: generatieve AI vereist vaak meer dan een vage ‘publieke taak’. Is toestemming haalbaar, of zijn er alternatieven?
Zorg voor uitlegbaarheid: de richtlijn stuurt aan op “explainability by design” – een oproep aan juristen om al vroeg in het ontwikkelproces betrokken te zijn.
AI dwingt juristen om klassieke beginselen zoals doelbinding, transparantie en proportionaliteit opnieuw te doordenken – in een wereld waarin de output niet altijd te herleiden is tot één verwerking.