Woordenboek AI-compliance · 24 begrippen uitgelegd

Kern in 151 woorden

Een Nederlandse notariële compliance-officer die zich oriënteert op AI-regelgeving in 2026 raakt aan vier wettelijke kaders en twee toezichthouders. De wettelijke kaders zijn: EU AI Act (Verordening 2024/1689) met hoog-risico-deadline 2 augustus 2026, AVG (Verordening 2016/679) als basislaag persoonsgegevens, AMLR (Verordening 2024/1624) die vanaf 10 juli 2027 de Nederlandse Wwft vervangt voor het notariaat, en het Schrems II-arrest (HvJ-EU C-311/18) dat US-cloud-verwerking inperkt voor cliëntdata onder de geheimhoudingsplicht van artikel 22 Wet op het notarisambt. Per sector geldt het KNB AI-afwegingskader Deel 1 (2025) als beroepsregel. Het BFT houdt toezicht op de notariële Wwft/AMLR-naleving in samenwerking met AMLA (Frankfurt, sinds juni 2025). De termen op dit woordenboek geven scherpe definities zonder marketing-taal, elk met directe link naar de oorspronkelijke wettekst of toezichthouder-publicatie. Zo bouwt u in één oogopslag een notarieel compliance-vocabulaire op dat juridisch en praktisch standhoudt.

EU- en Nederlandse wetgeving

EU AI Act (Verordening 2024/1689): Europese productveiligheid-wet voor AI-systemen, vastgesteld op 13 juni 2024 en gefaseerd in werking sinds 2 februari 2025. Classificeert AI in vier risico-categorieën (onaanvaardbaar, hoog, beperkt, minimaal) en legt per categorie verplichtingen op aan aanbieders en deployers. Hoog-risico-verplichtingen treden volledig in werking op 2 augustus 2026. Boetes tot 7% van wereldwijde jaaromzet bij zware overtredingen. Volledige tekst op EUR-Lex.
AVG / GDPR (Verordening 2016/679): Algemene Verordening Gegevensbescherming, in werking sinds 25 mei 2018. Regelt verwerking van persoonsgegevens binnen de EER en doorgifte naar derde landen (hoofdstuk V, artikel 44-50). Voor AI-systemen blijven AVG-verplichtingen onverkort naast de AI Act bestaan. Boetes tot 4% van wereldwijde jaaromzet. Volledige tekst op EUR-Lex.
AMLR (Verordening 2024/1624): Anti-Money Laundering Regulation. Vervangt vanaf 10 juli 2027 het Nederlandse Wwft-raamwerk door direct werkende Europese regels. Onderdeel van het AML-pakket (AMLR + AMLD6 + AMLA-verordening). Notariaat valt onder de meest risicovolle EU-instellingen waar de Anti-Money Laundering Authority (AMLA, Frankfurt sinds juni 2025) direct toezicht op houdt. Volledige tekst op EUR-Lex.
Wwft (Wet ter voorkoming van witwassen en financieren van terrorisme): Nederlandse anti-witwaswet. Verplicht notarissen tot cliëntonderzoek, monitoring en het melden van ongebruikelijke transacties (BFT-toezicht). Vervalt op 10 juli 2027 en wordt vervangen door de AMLR (Verordening 2024/1624, direct AMLA-toezicht voor het notariaat). Volledige tekst op wetten.overheid.nl.
CLOUD Act (18 U.S.C. § 2713): Clarifying Lawful Overseas Use of Data Act (2018). Verplicht Amerikaanse techbedrijven om data te overleggen aan Amerikaanse autoriteiten, ongeacht of de data binnen of buiten de Verenigde Staten staat. Raakt OpenAI, Anthropic, Google, Meta, AWS, Microsoft Azure en Google Cloud. Volledige tekst op Cornell Law.
Wet op het notarisambt: Verplicht notarissen tot een bewaartermijn van 20 jaar voor notariële akten en geeft de wettelijke grondslag voor BSN-verwerking bij identificatie. Volledige tekst.

EU AI Act-concepten

Annex III: Bijlage III van de EU AI Act met de lijst van AI-toepassingen die als hoog-risico worden geclassificeerd. Bevat acht categorieën, waaronder biometrie (1), kritieke infrastructuur (2), onderwijs (3), werving (4(a)), kredietbeoordeling (5(b)) en rechtshandhaving (6). Voor het notariaat zelden van toepassing op de kerntaken, komt soms voor via cliëntbedrijven (UBO-screening, kredietbeoordeling). Volledige tekst Annex III.
Hoog-risico AI: AI-systeem dat valt onder artikel 6 + Annex III van de AI Act. Vereist een risicomanagementsysteem, datagovernance, technische documentatie volgens Annex IV, logging, transparantie naar deployers, accuratesse/robuustheid/cybersecurity, kwaliteitsbeheersysteem, conformity assessment en registratie in de EU-database. Voor het notariaat zelden direct relevant, komt soms voor bij geautomatiseerde UBO-screening of structurele kredietbeoordeling-AI bij cliëntbedrijven. Artikel 6 op AI Act-portal.
Beperkt-risico AI: AI-systeem dat valt onder de transparantie-categorie van de AI Act (artikel 50). Geen conformity assessment vereist, wel verplichting om gebruikers te informeren dat ze met AI te maken hebben. Geldt voor de meeste notariële AI-toepassingen (mail-triage, document-extractie, KvK-koppeling). Artikel 50.
Conformity assessment (Annex VI): De interne procedure waarmee een aanbieder van hoog-risico AI aantoont dat het systeem voldoet aan alle AI Act-vereisten. Voor de meeste hoog-risico AI verloopt dit zonder notified body, de aanbieder toetst zelf en publiceert een EU-declaration of conformity. Annex VI.
Deployer: De organisatie die een AI-systeem inzet in de praktijk (niet de leverancier). Onder artikel 26-27 van de AI Act heeft de deployer eigen verplichtingen rond gebruik conform instructies, menselijke oversight, logging, monitoring van input-data, en informatie aan betrokkenen. Een notariskantoor dat AI voor mailtriage of document-extractie inzet, is deployer in de zin van de AI Act.
Aanbieder / Provider: De organisatie die een AI-systeem ontwikkelt of laat ontwikkelen en op de markt brengt onder eigen naam. Artikel 16-27 legt aanbieders van hoog-risico AI uitgebreide verplichtingen op (risicomanagement, technische documentatie, conformity assessment, etc.).
AI-geletterdheid: Artikel 4 van de AI Act verplicht alle organisaties die AI gebruiken sinds 2 februari 2025 om voldoende AI-kennis bij hun medewerkers te garanderen. Niet-vrijblijvend: medewerkers moeten AI-toepassingen in werkprocessen herkennen, op hoofdlijnen begrijpen hoe ze werken en ze ethisch toepassen.
FRIA (Fundamental Rights Impact Assessment): Verplichte beoordeling voor bepaalde deployers van hoog-risico AI: publieke werkgevers en organisaties die publieke diensten verlenen. Documenteert de impact op grondrechten vóór ingebruikname. Voor private notariskantoren niet algemeen verplicht, wel een goede praktijk bij UBO-screening-AI met verstrekkende gevolgen.

AVG-concepten

AVG artikel 22, geautomatiseerde besluitvorming: Geeft elke betrokkene het recht om niet onderworpen te worden aan een uitsluitend op geautomatiseerde verwerking gebaseerd besluit met rechtsgevolg of vergelijkbare gevolgen. Voor het notariaat: een AI mag dossier-data extraheren of cliëntcorrespondentie classificeren, maar de inhoudelijke beslissing in een akte of dossier moet door de notaris of medewerker worden genomen.
DPA, Verwerkersovereenkomst (artikel 28 AVG): Verplichte overeenkomst tussen verwerkingsverantwoordelijke (uw kantoor) en verwerker (AI-leverancier). Bevat afspraken over doel, duur, aard van verwerking, beveiliging, sub-verwerkers en hulp bij betrokkenen-rechten. VastPilot's eigen DPA.
DPIA, Data Protection Impact Assessment (artikel 35 AVG): Verplichte beoordeling bij verwerkingen met een hoog risico voor de rechten en vrijheden van betrokkenen. Voor AI-systemen die persoonsgegevens verwerken doorgaans vereist. Niet identiek aan een FRIA, DPIA = AVG-instrument, FRIA = AI Act-instrument.
Data Privacy Framework (DPF): Opvolger van het door Schrems II vernietigde Privacy Shield. Sinds 2023 mogelijk doorgifte naar gecertificeerde Amerikaanse aanbieders, maar de CLOUD Act blijft van toepassing, DPF lost dat risico niet op. Volgens de EDPB zijn alleen technische maatregelen (klant-eigen sleutels in de EER) sluitend tegen US-surveillance.
BSN-verwerking: Burgerservicenummer-verwerking. Onder Nederlands recht een bijzondere categorie persoonsgegevens; mag alleen worden verwerkt als de wet daar een uitdrukkelijke grondslag voor biedt. Notarissen hebben die grondslag via de Wet op het notarisambt; voor de meeste andere kantoren is BSN-verwerking ongeoorloofd zonder specifieke wettelijke basis.

Toezichthouders en beroepsorganisaties

AP, Autoriteit Persoonsgegevens: Nederlandse toezichthouder voor AVG. Sinds 2025 ook coördinerend toezichthouder voor algoritme- en AI-toezicht. Publiceert sinds 2023 halfjaarlijks de Rapportage AI & Algoritmes Nederland (RAN); RAN 6 verscheen februari 2026 met AI-Impactbarometer op rood. autoriteitpersoonsgegevens.nl.
KNB, Koninklijke Notariële Beroepsorganisatie: Beroepsorganisatie voor Nederlandse notarissen. Publiceerde in 2025 het AI-afwegingskader Deel 1 met de "AI-weegschaal", een twee-staps-beoordeling voor verantwoorde AI-inzet. Werkt aan een notariële private cloud (NPC) voor sectorbrede veilige AI-toepassingen. knb.nl.
BFT, Bureau Financieel Toezicht: Nederlandse toezichthouder op notarissen onder de Wwft (tot 2027) en de AMLR (daarna), in samenwerking met AMLA. Vooraf-controles op cliëntonderzoek, logging en interne controles. bureauft.nl.
AMLA, Anti-Money Laundering Authority: Europese toezichthouder voor anti-witwasregelgeving, opgericht juni 2025 in Frankfurt. Krijgt vanaf 10 juli 2027 direct toezicht op de meest risicovolle EU-instellingen, waaronder het notariaat. Werkt samen met nationale toezichthouders (BFT in Nederland).

Technische en operationele termen

Schrems II (HvJ-EU C-311/18): Arrest van het Hof van Justitie EU (16 juli 2020) dat het EU-VS Privacy Shield ongeldig verklaarde wegens onvoldoende bescherming tegen Amerikaanse massa-surveillance. Volgens de European Data Protection Board zijn alleen technische maatregelen, met name klant-eigen encryptiesleutels in de EER, sluitend tegen US-surveillance-risico. Curia.europa.eu.

Toepassing in de praktijk

Voor concrete uitwerking verwijzen we naar de notariële compliance-pagina's. Elke pagina behandelt de hierboven gedefinieerde termen in context, met externe bronnen per pagina: