Wat moeten advocaten- en accountantskantoren weten over de EU AI-verordening en de AVG bij het gebruik van AI?
EU AI Act-naleving voor professionele dienstverleners is geen toekomstige verplichting meer — de verordening is van kracht en verplichtingen treden gefaseerd in werking in 2025 en 2026. Tegelijkertijd blijft de Algemene verordening gegevensbescherming (AVG) van toepassing op alle verwerking van persoonsgegevens, ook door AI-systemen. Voor Nederlandse advocatenkantoren, accountantskantoren, notarissen, belastingadviseurs en andere professionele dienstverleners werken deze twee regelgevingskaders op manieren samen die vroege en zorgvuldige aandacht vereisen.
Professionele dienstverleners zijn geen technologiebedrijven, maar zij worden in toenemende mate afhankelijk van AI-tools voor documentbeoordeling, contractanalyse, juridisch onderzoek, cliëntcommunicatie, compliancescreening, financiële modellering en administratieve automatisering. Elk van deze toepassingen heeft zijn eigen risicoprofiel onder de EU AI-verordening en zijn eigen verplichtingen onder de AVG. Een verkeerde classificatie — of de aanname dat een kant-en-klare AI-tool van een gerenommeerde leverancier automatisch compliant is — kan de firma blootstellen aan regelgevingsrisico, reputatieschade en aansprakelijkheid jegens cliënten wier gegevens onrechtmatig zijn verwerkt.
Dit artikel biedt een gestructureerd, praktisch overzicht van de belangrijkste verplichtingen. Het is uitsluitend algemene informatie en vormt geen juridisch advies. Advocaten- en accountantskantoren dienen specifiek juridisch advies in te winnen bij gekwalificeerde adviseurs vóór het nemen van compliance-beslissingen.
Crux Digits is een vendor-neutrale AI-consultancy gevestigd in Utrecht. Wij helpen Nederlandse advocaten- en accountantskantoren AI compliant in te voeren — door EU AI Act-audits uit te voeren, AVG-conforme AI-architecturen te ontwerpen en systemen te implementeren die cliëntvertrouwelijkheid en het beroepsgeheim beschermen. Ons uitgangspunt is altijd de regelgevende verplichtingen van de firma, niet een voorkeur voor een bepaalde technologie.
De EU AI-verordening in het kort: waarom zij relevant is voor professionele dienstverleners
De EU AI-verordening is een verordening — rechtstreeks toepasselijk in alle EU-lidstaten, waaronder Nederland — die verplichtingen oplegt aan aanbieders en gebruiksverantwoordelijken van AI-systemen. Het onderscheid tussen aanbieder en gebruiksverantwoordelijke is voor professionele dienstverleners van belang.
Een aanbieder is een entiteit die een AI-systeem ontwikkelt en op de markt brengt. Een aanbieder van grote taalmodellen, een legal-techbedrijf dat een contractbeoordelingstool verkoopt, of een kantoor dat intern een eigen AI-systeem bouwt — al deze partijen zijn aanbieders in de terminologie van de verordening.
Een gebruiksverantwoordelijke is een entiteit die in het kader van haar beroepsactiviteiten een AI-systeem gebruikt. Wanneer een advocatenkantoor zich abonneert op een door een legal-techbedrijf gebouwde contractbeoordelings-AI, is het advocatenkantoor de gebruiksverantwoordelijke. Wanneer een accountantskantoor een AI-assistent inzet voor belastingaangiften, is het accountantskantoor de gebruiksverantwoordelijke. Gebruiksverantwoordelijken hebben hun eigen verplichtingen, die onderscheiden zijn van — maar complementair zijn aan — de verplichtingen van aanbieders.
De verordening indeelt AI-systemen in vier risicocategorieën: onaanvaardbaar risico (verboden), hoog risico (strikt gereguleerd), beperkt risico (transparantieverplichtingen) en minimaal risico (geen specifieke verplichtingen buiten het algemene kader). Begrijpen welke categorie van toepassing is op elke AI-tool die het kantoor gebruikt, is de fundamentele compliance-stap.
De volledige tekst van de EU AI-verordening (Verordening 2024/1689) is openbaar beschikbaar. De Autoriteit Persoonsgegevens heeft richtsnoeren gepubliceerd over de wisselwerking tussen AI en de AVG die direct relevant zijn voor professionele dienstverleners in Nederland.
Risicocategorieën van de EU AI-verordening: hoe zij van toepassing zijn op AI bij professionele dienstverleners
De risicoclassificatie is de kern van de EU AI-verordening. Elke categorie brengt een andere compliance-last met zich mee, en de indeling hangt af van het doel en de context van het gebruik — niet alleen van de onderliggende technologie. Hetzelfde grote taalmodel kan in de ene context een minimaal-risico-tool zijn en in een andere context een hoog-risico-systeem, afhankelijk van waarvoor het wordt gebruikt en wie beslissingen neemt op basis van de uitkomst.
Verboden AI-praktijken
Bepaalde AI-praktijken zijn op grond van de verordening per 2 februari 2025 volledig verboden. Het gaat onder meer om AI-systemen die subliminale of manipulatieve technieken gebruiken om gedrag te beïnvloeden, systemen die kwetsbaarheden van specifieke groepen uitbuiten, biometrische categoriseringssystemen die gevoelige kenmerken afleiden uit biometrische gegevens, en sociale-scoringsystemen die worden geëxploiteerd door overheidsinstanties. Deze categorieën zijn waarschijnlijk niet direct relevant voor gangbare professionele-dienstverleners-AI-tools, maar kantoren dienen te bevestigen dat geen enkel instrument dat voor cliëntscreening, kredietwaardigheidsbeoordeling of gedragsprofilering wordt gebruikt, in een verboden categorie valt.
Hoog-risico AI-systemen
Hoog-risico AI-systemen zijn opgesomd in Bijlage III van de verordening en in Bijlage I (AI ingebed in bepaalde gereguleerde producten). De categorieën hoog risico die het meest direct relevant zijn voor professionele dienstverleners, zijn:
- AI gebruikt bij de rechtsbedeling en democratische processen. AI-systemen bedoeld om rechterlijke instanties te ondersteunen bij het onderzoeken, interpreteren of toepassen van het recht op concrete feiten, zijn uitdrukkelijk aangemerkt als hoog risico. Een advocatenkantoor dat een AI-systeem inzet voor de advisering over de uitkomst van procedures, het opstellen van processtukken die bij een rechtbank worden ingediend, of de interpretatie van wetgeving op de feiten van een cliënt, zet een hoog-risico AI-systeem in als dat systeem de bereiken rechtsconclusie wezenlijk beïnvloedt.
- AI gebruikt in werkgelegenheid en personeelsbeheer. AI-tools die worden ingezet voor werving, prestatiebeoordeling of personeelsbeslissingen binnen het kantoor zelf, kunnen onder de hoog-risico-categorie werkgelegenheid vallen.
- AI gebruikt voor kredietwaardigheidsbeoordeling en credit scoring. Accountants- en financieel-advieskantoren die AI gebruiken voor de beoordeling van de kredietwaardigheid van cliënten, het opstellen van kredietopinies of het modelleren van kredietrisico, zetten hoog-risico-systemen in onder deze categorie.
- AI gebruikt in essentiële private en publieke diensten. AI-systemen die worden ingezet om de toegang tot diensten te beoordelen of beslissingen te nemen die de toegang van personen tot belangrijke diensten wezenlijk beïnvloeden, kunnen afhankelijk van de aard van die diensten hoog risico zijn.
Hoog-risico AI-systemen brengen de meest veeleisende verplichtingen van de verordening met zich mee: conformiteitsbeoordelingen, technische documentatie, logging- en monitoringvereisten, verplichtingen inzake menselijk toezicht, nauwkeurigs- en robuustheidseisen, en — voor gebruiksverantwoordelijken — grondrechtimpactbeoordelingen, trainingsverplichtingen voor personeel en de verplichting om menselijk toezicht te beleggen bij een benoemde verantwoordelijke persoon binnen de organisatie.
Beperkt-risico AI-systemen
Beperkt-risico AI-systemen zijn primair onderworpen aan transparantieverplichtingen. Als een advocatenkantoor een AI-systeem gebruikt om cliëntgerichte communicatie op te stellen — brieven, e-mails, rapporten — zonder dat de cliënt weet dat AI betrokken was, kan het kantoor verplicht zijn om te onthullen dat AI-ondersteuning is gebruikt, in het bijzonder waar de uitvoer kan worden aangezien voor door mensen gegenereerde inhoud. AI-chatbots die worden ingezet voor interactie met cliënten of potentiële cliënten op de website van het kantoor, moeten worden geïdentificeerd als AI-systemen.
General-purpose AI-modellen (GPAI's)
De verordening introduceert ook specifieke verplichtingen voor aanbieders van general-purpose AI-modellen — de grote taalmodellen waarop veel commerciële AI-tools zijn gebouwd. Professionele dienstverleners die commerciële AI-tools gebruiken die zijn gebouwd op GPAI's, dienen te begrijpen dat de verplichtingen van hun leverancier als GPAI-aanbieder de verplichtingen van het kantoor als gebruiksverantwoordelijke niet opheffen.
AVG-verplichtingen bij het gebruik van AI in de professionele dienstverlening
De AVG noemt AI niet bij naam, maar elk AI-systeem dat persoonsgegevens verwerkt, is onderworpen aan de volledige vereisten ervan. Voor professionele dienstverleners is persoonlijke data alomtegenwoordig: cliëntnamen, financiële informatie, gezondheidsgegevens (in sommige juridische en advieskaders), arbeidsgegevens, belastinginformatie, correspondentie en de inhoud van rechtszaken zijn doorgaans allemaal persoonsgegevens.
Een rechtmatige grondslag vaststellen
Elke verwerkingsactiviteit — inclusief door AI ondersteunde verwerking — vereist een rechtmatige grondslag op grond van artikel 6 AVG. Voor de meeste AI-toepassingen bij professionele dienstverleners zijn de relevante grondslagen:
- Overeenkomst (artikel 6 lid 1 sub b). Verwerking die noodzakelijk is voor de uitvoering van een overeenkomst met de cliënt of om op verzoek van de cliënt stappen te ondernemen vóór het sluiten van een overeenkomst. Documentanalyse, zaakbeheer en facturatie-automatisering vallen hier doorgaans onder voor zover de verwerking rechtstreeks noodzakelijk is voor de opdracht.
- Gerechtvaardigd belang (artikel 6 lid 1 sub f). Het gerechtvaardigde belang van het kantoor bij operationele efficiëntie, kwaliteitscontrole of risicobeheer, afgewogen tegen de rechten en belangen van de betrokkenen. Gerechtvaardigd belang vereist een afweging en kan niet worden ingeroepen wanneer de verwerking de belangen van de betrokkene wezenlijk overstijgt.
- Wettelijke verplichting (artikel 6 lid 1 sub c). Verwerking die vereist is om aan een wettelijke verplichting te voldoen — relevant wanneer AI-tools worden gebruikt voor anti-witwasscreening, KYC-verplichtingen of meldplichten.
- Toestemming (artikel 6 lid 1 sub a). Uitdrukkelijke toestemming van de betrokkene. In professionele-dienstverleners-contexten is toestemming als enige grondslag vaak problematisch vanwege de machtsverhouding; zij is ook kwetsbaar omdat toestemming kan worden ingetrokken.
Waar bijzondere categorieën persoonsgegevens betrokken zijn — gezondheidsgegevens, gegevens waaruit ras of etnische afkomst blijkt, religieuze of levensbeschouwelijke overtuigingen, vakbondslidmaatschap, of gegevens over strafrechtelijke veroordelingen — is artikel 9 van toepassing en moet naast de grondslag van artikel 6 een specifieke uitzondering worden geïdentificeerd.
Gegevensbeschermingseffectbeoordelingen (DPIA)
Artikel 35 AVG verplicht tot een gegevensbeschermingseffectbeoordeling (DPIA) vóórdat een verwerking wordt uitgevoerd die waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. AI-verwerking in professionele-dienstverleners-contexten bereikt frequent de drempel voor een DPIA. Indicatoren zijn: stelselmatige en uitgebreide beoordeling van persoonlijke aspecten (zoals door AI gestuurde cliëntriscoscoring), grootschalige verwerking van gevoelige gegevens, en het gebruik van innovatieve technologieën waarbij de aard van de verwerking het voor betrokkenen moeilijk maakt te weten wat er met hun gegevens gebeurt.
De Autoriteit Persoonsgegevens heeft een lijst gepubliceerd van verwerkingsactiviteiten die naar Nederlands recht altijd een DPIA vereisen. Kantoren dienen deze lijst te raadplegen vóór de inzet van nieuwe AI-ondersteunde verwerkingsactiviteiten, ongeacht of de leverancier een eigen DPIA heeft uitgevoerd. De DPIA van het kantoor moet de risico's beoordelen van de specifieke inzet in de specifieke context van het kantoor — een generieke DPIA van de leverancier vervangt dit niet.
Verwerkersrelaties en overeenkomsten
Wanneer een advocaten- of accountantskantoor een derde-partij AI-tool gebruikt, verwerkt de derde-partij aanbieder doorgaans persoonsgegevens namens het kantoor. Dit maakt de aanbieder een verwerker op grond van artikel 28 AVG, en het kantoor de verwerkingsverantwoordelijke. Een conforme verwerkersovereenkomst (DPA) moet worden afgesloten vóór enige persoonsgegeven met de aanbieder wordt gedeeld. Cruciaal is dat de DPA de verwerker verbiedt de gegevens van het kantoor — inclusief dossiergegevens van cliënten — te gebruiken voor andere doeleinden dan gespecificeerd, inclusief modeltraining. Niet alle commerciële AI-aanbieders bieden standaard DPA's die aan de AVG-vereisten voldoen; kantoren moeten dit controleren en waar nodig onderhandelen. Crux Digits beoordeelt DPA-regelingen van leveranciers als onderdeel van onze AI-implementatie-diensten.
Internationale gegevensoverdrachten
Veel AI-tools worden aangeboden door in de VS gevestigde bedrijven en verwerken gegevens op servers buiten de EER. Internationale overdrachten van persoonsgegevens aan derde landen zijn beperkt op grond van hoofdstuk V AVG en vereisen een passend overdrachtsmechanisme: een adequaatheidsbesluit, standaardcontractbepalingen (SCC's), bindende bedrijfsregels of een ander goedgekeurd mechanisme. Kantoren dienen te verifiëren of hun AI-leverancier gecertificeerd is onder het EU-VS-gegevensprivacyraamwerk en of de specifieke verwerking hieronder valt.
AI-vertrouwelijkheid, verschoningsrecht en beroepsgeheim
Voor advocaten- en notariskantoren is de plicht tot beroepsmatige geheimhouding — het beroepsgeheim — niet slechts een contractuele verplichting of een AVG-vereiste. Het is een fundamenteel beginsel van de juridische beroepsgroep, beschermd door Nederlands recht en gehandhaafd door de Nederlandse Orde van Advocaten. De plicht omvat alle informatie die is verkregen in het kader van de vertegenwoordiging van een cliënt en vervalt niet wanneer de zaak wordt gesloten.

De vraag naar AI-vertrouwelijkheid en verschoningsrecht luidt dan: wanneer een advocatenkantoor een AI-tool gebruikt die cliëntdossiergegevens verwerkt, schendt die verwerking de geheimhoudingsplicht? Het antwoord hangt af van de wijze waarop de tool wordt ingezet.
Indien de AI-tool cliëntdossiergegevens verzendt naar een externe clouddienst — zelfs onder een AVG-conforme verwerkersovereenkomst — is er een reële vraag of die transmissie een openbaarmaking van bevoorrechte informatie vormt. De richtlijnen van de Nederlandse Orde van Advocaten over clouddiensten en vertrouwelijkheid vereisen dat advocaten bijzondere zorgvuldigheid betrachten bij het gebruik van clouddiensten waarbij gegevens de eigen infrastructuur van het kantoor kunnen verlaten. Kantoren dienen juridisch advies in te winnen over de vraag of hun specifieke AI-inzet verenigbaar is met hun vertrouwelijkheidsverplichtingen, en mogen niet aannemen dat een AVG-conforme DPA automatisch aan de beroepsmatige geheimhoudingsplicht voldoet.
Voor accountantskantoren en registeraccountants op grond van de Wet op het accountantsberoep geldt een vergelijkbare beroepsmatige geheimhoudingsplicht. De beroepsregels vereisen dat accountants de vertrouwelijkheid bewaren van informatie die van cliënten is verkregen, en elke AI-verwerking van die informatie moet worden beoordeeld aan die regels én de AVG. Onze LLM-optimalisatiediensten omvatten architectuurontwerp dat specifiek is gericht op het bewaren van gevoelige gegevens binnen gecontroleerde omgevingen die zowel aan de AVG als aan beroepsmatige vertrouwelijkheidsvereisten voldoen.
De praktische implicatie is dat professionele-dienstverleners die AI-tools overwegen eerst moeten vaststellen of cliëntdossiergegevens überhaupt de gecontroleerde infrastructuur van het kantoor hoeven te verlaten. In veel gevallen is dat niet nodig. On-premises of private-cloud-inzet van AI-modellen — of het gebruik van AI-API's met passende contractuele beschermingen die gegevensretentie en trainingsgebruik verbieden — kan de voordelen van AI bieden terwijl bevoorrechte informatie binnen de controle van het kantoor blijft.
Praktische stappen: een compliancechecklist voor professionele dienstverleners
- Inventariseer alle AI-tools die momenteel worden gebruikt of overwogen — inclusief tools ingebed in bestaande softwareproducten (e-mailplatforms, documentbeheersystemen, praktijkbeheersoftware) die mogelijk AI-functies hebben toegevoegd zonder formele inkoopbeslissing.
- Bepaal voor elke AI-tool de risicoklassificatie onder de EU AI-verordening: valt het in een verboden categorie, een hoog-risico-categorie op grond van Bijlage III, de beperkt-risico-transparantiecategorie, of de minimaal-risico-categorie? Bij twijfel over de classificatie, win juridisch advies in vóór inzet of voortzetting van gebruik.
- Voor hoog-risico AI-systemen: implementeer de verplichtingen voor gebruiksverantwoordelijken — grondrechtimpactbeoordeling, toewijzing van menselijk toezicht, training van medewerkers, logging en monitoring, en registratie waar vereist.
- Voor alle AI-tools die persoonsgegevens verwerken: bevestig de rechtmatige grondslag voor elke verwerkingsactiviteit, controleer of een AVG-conforme verwerkersovereenkomst is afgesloten met elke derde-partij aanbieder, en voer een DPIA uit waar de verwerking de drempel bereikt.
- Beoordeel of AI-verwerking internationale gegevensoverdrachten omvat en bevestig, indien dat het geval is, dat een passend overdrachtsmechanisme aanwezig en gedocumenteerd is.
- Toets elke AI-tool aan de beroepsmatige vertrouwelijkheidsverplichtingen van het kantoor — niet alleen de AVG — en win advies in over de vraag of de inzetarchitectuur verenigbaar is met de vereisten van het AI beroepsgeheim AVG.
- Implementeer AI-governance-documentatie: een register van verwerkingsactiviteiten (artikel 30 AVG) dat door AI ondersteunde verwerking omvat, DPIA's voor hoge-risicoverwerking en een EU AI-verordening-compliancelog voor hoog-risico-systemen.
- Stel een intern AI-gebruik-beleid op dat betrekking heeft op: toegestane en verboden toepassingen, vereisten inzake dataminimalisatie, verplichtingen inzake menselijk toezicht en de aanpak van het kantoor inzake transparantie naar cliënten over AI-gebruik.
- Train medewerkers over het beleid — met name over de verplichting om geen bevoorrechte of gevoelige cliëntgegevens in te voeren in AI-tools die niet zijn goedgekeurd via het complianceproces van het kantoor.
- Plan periodieke herzieningen van de AI-tool-inventaris en compliance-documentatie, waarbij wordt aangetekend dat de bepalingen van de EU AI-verordening tot in 2026 en daarna geleidelijk van kracht worden en dat richtsnoeren van de Autoriteit Persoonsgegevens en het EU AI Office zich blijven ontwikkelen.
Hoog-risico AI in de juridische praktijk: documentbeoordeling, onderzoekstools en adviesondersteunende systemen
De meest voorkomende AI-toepassingen bij advocaten- en professionele dienstverleners betreffen documentwerk: beoordelen en samenvatten van contracten, onderzoek naar jurisprudentie en wetgeving, opstellen van correspondentie en adviezen, extraheren van kernbepalingen uit due-diligence-materialen en screenen van aanbestedingsdocumenten. Begrijpen waar elk van deze toepassingen staat in het kader van de EU AI-verordening vereist aandacht voor het doel en de gevolgen van de AI-uitvoer.
Een AI-tool die uitsluitend een document samenvat voor een advocaat die vervolgens een onafhankelijk juridisch oordeel toepast op de samenvatting, heeft een ander regelgevend karakter dan een AI-tool die een advies produceert dat rechtstreeks aan een cliënt wordt geleverd als juridisch advies. Het eerste is eerder een onderzoekstool die de professional ondersteunt; het tweede is een systeem waarvan de uitvoer rechtstreeks de rechtspositie van de cliënt beïnvloedt.
Voor AVG-conforme AI-tools in een juridische context is de kernwaarborg menselijk toezicht: een gekwalificeerde professional beoordeelt de AI-uitvoer, past een onafhankelijk oordeel toe en neemt verantwoordelijkheid voor de conclusie. Dit is niet alleen een regelgevend compliancemechanisme — het is de basis van de advocaat-cliëntrelatie en de bron van de professionele waarde van het kantoor. AI die het echte professionele oordeel uitholt, is niet alleen een complianceprobleem; het is een beroepsrisico.
Crux Digits bouwt AI-systemen voor professionele dienstverleners met menselijk toezicht dat van het begin af aan is ingebouwd — niet achteraf toegevoegd. We voeren ook EU AI Act audit-consultancy-opdrachten uit voor kantoren die een onafhankelijke beoordeling willen van de risicoklassificatie en compliancepositie van hun bestaande AI-tools. Zie onze data engineering-capaciteiten en sectorexpertise voor de financiële en professionele-dienstverleners-context waarin wij opereren.
AVG en AI in de accountancy: belasting, audit en financieel-advies-contexten
Accountantskantoren staan voor een eigen variant van de AI-compliance-uitdaging voor accountants in Nederland. Hun werk omvat de verwerking van grote hoeveelheden persoonlijke financiële gegevens — belastingaangiften, salarisadministratie, jaarrekeningen, auditbewijsmateriaal en cliëntcorrespondentie — waarvan een groot deel gevoelig is en onderworpen is aan zowel de AVG als sectorspecifieke vertrouwelijkheidsregels op grond van de Nederlandse accountantsregelgeving.
AI-tools worden in de accountancy in toenemende mate gebruikt voor afwijkingsdetectie in financiële gegevens, geautomatiseerde gegevensextractie uit documenten en bonnen, voorlopige belastinganalyse, auditsteekproeven en risicobeoordeling, en KYC-screening bij cliëntonboarding. Elk van deze toepassingen vereist een eigen AVG-analyse.
Afwijkingsdetectie en risicoscoring toegepast op de individuele financiële gegevens van cliënten kan profilering op grond van artikel 22 AVG vormen als de uitvoer wordt gebruikt om een geautomatiseerde beslissing te nemen — of een beslissing met aanzienlijk gevolg — over die persoon. Kantoren moeten waarborgen dat elk geautomatiseerd of semi-geautomatiseerd besluitvormingsproces een passende rechtmatige grondslag heeft, aan de betrokkene wordt bekendgemaakt en de betrokkene het recht geeft op menselijke herbeoordeling van de beslissing, op het uiten van zijn standpunt en op het betwisten van de beslissing.
Gegevensbeheer is het fundament van AVG-conforme AI voor professionele dienstverleners. Crux Digits ontwerpt AI-datagovernance-kaders voor professionele kantoren als onderdeel van onze AI-implementatie-dienst — waarbij gegevensstromen zijn gedocumenteerd, toegang is gecontroleerd, bewaartermijnen zijn vastgesteld en verwerkingsactiviteiten juridisch zijn gegrond vóórdat enig AI-systeem in productie gaat.
De tijdlijn van de EU AI-verordening: wat nu van kracht is en wat eraan komt
De EU AI-verordening trad op 1 augustus 2024 in werking. Belangrijke data voor professionele dienstverleners zijn:
- 2 februari 2025: Verboden AI-praktijken (Titel II) werden van toepassing. Kantoren dienen te bevestigen dat geen enkel in gebruik zijnd tool in deze categorieën valt.
- 2 augustus 2025: Verplichtingen met betrekking tot general-purpose AI-modellen (Titel VIII) en governancebepalingen werden van toepassing.
- 2 augustus 2026: Hoog-risico AI-verplichtingen (Bijlagen I en III) worden volledig van toepassing, inclusief verplichtingen voor gebruiksverantwoordelijken van hoog-risico AI-systemen.
- 2 augustus 2027: Bepaalde Bijlage I-verplichtingen met betrekking tot AI in gereguleerde producten gelden vanaf deze datum.
De gefaseerde inwerkingtreding betekent dat het venster voor kantoren om hun AI-inventaris op te maken, hun tools te classificeren en noodzakelijke veranderingen door te voeren, niet onbegrensd is. Kantoren die dit proces in 2025 of begin 2026 beginnen, hebben voldoende tijd; kantoren die uitstellen, riskeren een gecomprimeerde compliance-sprint. Deze data zijn gebaseerd op de tekst van de verordening zoals gepubliceerd; kantoren dienen de huidige status van eventuele uitvoeringsmaatregelen of overgangsbepalingen te verifiëren bij juridisch adviseurs, omdat regelgevende richtsnoeren zich blijven ontwikkelen.
Hoe Crux Digits professionele dienstverleners ondersteunt bij EU AI-verordening- en AVG-compliance
Crux Digits is een vendor-neutrale AI-consultancy. Wij hebben geen commerciële relaties met AI-leveranciers die prikkels creëren om bepaalde tools aan te bevelen. Ons enige belang is het helpen van onze cliënten bij het inzetten van AI op een wijze die effectief, compliant en duurzaam is.
Voor advocaten- en accountantskantoren die zich een weg banen door EU AI Act-naleving voor professionele dienstverleners, bieden wij gestructureerde ondersteuning op drie terreinen.
Ten eerste compliance-assessment en AI-audit. Wij voeren een gestructureerde beoordeling uit van de bestaande en geplande AI-tools van het kantoor — waarbij elke tool wordt gekoppeld aan de EU AI-verordening-risicoklassificatie, AVG-verplichtingen worden geïdentificeerd voor elke verwerkingsactiviteit en een geprioriteerd actieplan wordt opgesteld. Dit assessment geeft het kantoor een helder beeld van zijn huidige compliancepositie en een praktische routekaart om hiaten aan te pakken. Wij benaderen dit als een juridisch en technisch vraagstuk, werkend naast de eigen juridische en gegevensbeschermingsadviseurs van het kantoor in plaats van hen te vervangen.
Ten tweede conforme AI-implementatie. Waar het kantoor AI-tools wil implementeren — voor documentbeoordeling, onderzoeksondersteuning, compliancescreening, gegevensextractie of administratieve automatisering — ontwerpen en bouwen wij de implementatie met compliance ingebed vanaf het begin. Dit omvat architectuurontwerp dat bevoorrechte gegevens binnen gecontroleerde omgevingen houdt, DPA-beoordeling en onderhandelingsondersteuning, DPIA-scoping, dataminimalisatie-engineering, toegangscontrole-implementatie en auditlogging. Wij bundelen onze AI-implementatie- en LLM-optimalisatie-capaciteiten om systemen te bouwen die zowel technisch capabel als juridisch solide zijn.
Ten derde doorlopende governance en monitoring. AI-compliance is geen eenmalige exercitie. Het regelgevende landschap blijft zich ontwikkelen, AI-tools worden bijgewerkt (soms op manieren die hun risicoprofiel wijzigen) en de verwerkingsactiviteiten van het kantoor veranderen mee. Wij helpen kantoren interne AI-governance-kaders op te zetten — beleid, registers, beoordelingsprocessen — die compliance actueel houden zonder onbeheersbare administratieve overhead te creëren. Ons data engineering-werk omvat het bouwen van de auditlogging- en monitoringinfrastructuur die zowel de hoog-risico-verplichtingen van de EU AI-verordening als de verantwoordingsverplichtingen van de AVG vereisen.
Als uw kantoor aan het begin staat van zijn AI-compliance-traject, legt de prijspagina uit hoe onze opdrachten zijn opgebouwd, en de cases geven voorbeelden van AI-systemen die wij hebben gebouwd voor professionele dienstverleners. Als u een specifieke vraag heeft of de situatie van uw kantoor rechtstreeks wilt bespreken, is een gesprek het beste startpunt — neem contact op en wij reageren snel.
Veelgestelde vragen
Valt AI-documentbeoordeling bij een advocatenkantoor onder hoog risico van de EU AI-verordening?
De classificatie hangt af van het doel en de gevolgen van de AI-uitvoer. Een AI-tool die documenten samenvat voor een advocaat die vervolgens een onafhankelijk professioneel oordeel toepast, valt eerder onder beperkt risico of minimaal risico dan een tool waarvan de uitvoer een rechtsconclusie bepaalt die een cliënt raakt. AI-systemen bedoeld ter ondersteuning van rechterlijke instanties bij het interpreteren of toepassen van het recht zijn echter uitdrukkelijk aangemerkt als hoog-risico. Advocatenkantoren dienen juridisch advies in te winnen over de classificatie van hun specifieke tools. Crux Digits biedt EU AI Act audit-consultancy om kantoren te helpen deze bepaling nauwkeurig te maken.
Veelgestelde vragen
Is de EU AI-verordening van toepassing op advocaten- en accountantskantoren als gebruiksverantwoordelijken van AI?
Ja. De EU AI-verordening legt verplichtingen op aan zowel aanbieders (degenen die AI-systemen ontwikkelen en op de markt brengen) als gebruiksverantwoordelijken (degenen die AI-systemen in professionele activiteiten gebruiken). Wanneer een advocaten- of accountantskantoor een derde-partij AI-tool gebruikt, is het kantoor de gebruiksverantwoordelijke met zijn eigen verplichtingen, ongeacht de compliancestatus van de leverancier. Uitsluitend algemene informatie — win specifiek juridisch advies in voor de situatie van uw kantoor.
Welke AVG-verplichtingen gelden wanneer een advocatenkantoor een AI-tool gebruikt die cliëntgegevens verwerkt?
Meerdere verplichtingen zijn tegelijkertijd van toepassing. Het kantoor moet een rechtmatige grondslag identificeren voor de AI-ondersteunde verwerking op grond van artikel 6 AVG (en artikel 9 voor bijzondere categorieën). Een AVG-conforme verwerkersovereenkomst moet zijn afgesloten met de AI-leverancier vóór enige cliëntgegevens worden gedeeld. Een gegevensbeschermingseffectbeoordeling is vereist waar de verwerking waarschijnlijk een hoog risico inhoudt. Internationale overdrachtsmechanismen moeten worden bevestigd als gegevens de EER verlaten. Het verwerkingsregister op grond van artikel 30 moet de AI-ondersteunde verwerkingsactiviteit omvatten. Dit is algemene informatie, geen juridisch advies.
Kan het gebruik van een AI-tool de beroepsmatige geheimhoudingsplicht van een advocatenkantoor schenden, ook als de AVG wordt nageleefd?
Ja, mogelijk wel. De AVG en de beroepsmatige geheimhoudingsplicht zijn afzonderlijke rechtskaders. Een verwerkersovereenkomst die aan de AVG voldoet, voldoet niet automatisch aan het beroepsgeheim op grond van de Nederlandse gedragsregels voor advocaten. De Nederlandse Orde van Advocaten heeft richtsnoeren gepubliceerd die advocaten verplichten bijzondere zorgvuldigheid te betrachten bij clouddiensten waarbij gegevens de eigen infrastructuur verlaten. Advocatenkantoren dienen specifiek advies in te winnen bij hun beroepsorganisatie en bij juridisch adviseurs over de vraag of een voorgenomen AI-inzet verenigbaar is met hun vertrouwelijkheidsverplichtingen. Uitsluitend algemene informatie.
Wat is een grondrechtimpactbeoordeling en wanneer heeft een professionele dienstverlener er een nodig?
Een grondrechtimpactbeoordeling is een vereiste op grond van de EU AI-verordening voor gebruiksverantwoordelijken van hoog-risico AI-systemen. Het vereist van de gebruiksverantwoordelijke een beoordeling van de impact van het AI-systeem op grondrechten — waaronder privacy, non-discriminatie, toegang tot de rechter en andere beschermde rechten — voordat het systeem in gebruik wordt genomen. Voor professionele dienstverleners is een grondrechtimpactbeoordeling vereist als de AI-tool als hoog risico is geclassificeerd op grond van Bijlage III. De verplichting geldt vanaf 2 augustus 2026. Uitsluitend algemene informatie — raadpleeg juridisch adviseurs voor de specifieke verplichtingen van uw kantoor.
Hoe kan Crux Digits ons kantoor helpen EU AI-verordening- en AVG-compliant te worden bij het gebruik van AI?
Crux Digits biedt vendor-neutrale AI-compliance-ondersteuning voor Nederlandse advocaten- en accountantskantoren op drie terreinen: compliance-assessment en AI-audit (inventarisatie van uw AI-tools, classificatie van hun risicocategorie onder de EU AI-verordening en identificatie van AVG-verplichtingen); conforme AI-implementatie (ontwerp en bouw van AI-systemen met juridische waarborgen ingebouwd — inclusief verwerkersovereenkomsten, DPIA's, dataminimalisatie, toegangscontroles en auditlogging); en doorlopende governance en monitoring (opzetten van interne AI-governance-kaders, beoordelingsprocessen en de technische infrastructuur die AVG- en EU AI-verordening-verantwoording vereisen). Wij werken naast uw eigen juridische en gegevensbeschermingsadviseurs. Neem contact op via de contactpagina om de situatie van uw kantoor te bespreken.