De Europese AI Act is geen verre toekomstmuziek meer; het is een nieuwe realiteit die directe gevolgen heeft voor uw bedrijfsvoering. Voorbereiding vereist dat u uw AI-systemen inventariseert, hun risiconiveau classificeert volgens de wet, en een actieplan opstelt om aan de specifieke verplichtingen te voldoen. Proactief handelen is nu cruciaal om boetes en operationele risico’s te vermijden.
De kern van de AI Act voor Nederlandse bedrijven
De AI Act hanteert een risicogebaseerde aanpak. Concreet betekent dit dat de zwaarte van uw verplichtingen direct afhangt van het type AI dat u inzet. Niet elk AI-systeem wordt over dezelfde kam geschoren; de wet maakt een duidelijk onderscheid tussen toepassingen die een minimaal risico vormen en systemen die de fundamentele rechten van burgers kunnen schaden.
Voor de meeste bedrijven ligt de focus dus op systemen in de categorieën ‘hoog risico’ en ‘beperkt risico’. Denk aan AI voor HR-processen, kredietbeoordeling, of zelfs geavanceerde chatbots die met klanten interacteren.
Een gefaseerde invoering met harde deadlines
De wet wordt niet van de ene op de andere dag volledig van kracht. De invoering gebeurt gefaseerd, wat u de tijd geeft om u voor te bereiden. Maar vergis u niet: de eerste deadlines naderen snel.
De EU AI Act trad officieel in werking op 1 augustus 2024. Vanaf 2 februari 2025 geldt al een verbod op AI-systemen met een onaanvaardbaar risico, zoals social scoring door overheden. De volledige set regels voor hoog-risico AI-systemen wordt van kracht op 2 augustus 2026. De Nederlandse Autoriteit Persoonsgegevens (AP) is al actief in het handhaven op aanverwante gebieden, wat de urgentie van voorbereiding onderstreept.
Het is een misvatting te denken dat u nog twee jaar de tijd heeft. De eerste belangrijke deadline is al over enkele maanden. Het identificeren van verboden systemen is een absolute prioriteit die nu direct aandacht vraagt.
De vier risiconiveaus begrijpen
De AI Act deelt systemen in vier categorieën in. Het correct classificeren van uw AI-toepassingen is de fundamentele eerste stap naar compliance.
Hieronder vindt u een overzicht van de risiconiveaus en de bijbehorende deadlines. Deze tabel geeft u direct inzicht in de urgentie en de planning die voor u relevant is.
Overzicht van de AI Act risiconiveaus en deadlines
Een samenvatting van de vier risicocategorieën, de belangrijkste verplichtingen en de cruciale deadlines voor implementatie.
| Risiconiveau | Voorbeelden van systemen | Kernverplichting | Deadline van kracht |
|---|---|---|---|
| Onaanvaardbaar risico | Social scoring, manipulatieve technieken, real-time biometrische identificatie in openbare ruimtes. | Volledig verboden. | Februari 2025 |
| Hoog risico | AI in werving & selectie, medische apparatuur, kredietbeoordeling, kritieke infrastructuur. | Strikte eisen aan risicomanagement, datakwaliteit, transparantie, menselijk toezicht en documentatie. | Augustus 2026 |
| Beperkt risico | Chatbots, deepfakes, AI-gegenereerde content. | Transparantieplicht: gebruikers moeten weten dat ze met AI interacteren of dat content kunstmatig is. | Augustus 2026 |
| Minimaal risico | Spamfilters, AI in videogames, voorraadsbeheer. | Geen specifieke verplichtingen, wel aanmoediging voor vrijwillige gedragscodes. | Geen |
Dit raamwerk maakt duidelijk waarom een inventarisatie van uw AI-landschap zo belangrijk is. Zonder te weten welke systemen u gebruikt en in welke categorie ze vallen, kunt u onmogelijk een effectief complianceplan opstellen. Het is de basis voor alle verdere stappen.
Uw AI-landschap in kaart brengen
Voordat u zich kunt voorbereiden op de AI Act, moet u eerst weten waar u staat. De allereerste, fundamentele stap is dan ook het creëren van een compleet overzicht van alle AI-toepassingen binnen uw organisatie. Dit klinkt misschien als een open deur, maar de praktijk wijst uit dat veel bedrijven meer AI-systemen gebruiken dan ze zelf doorhebben.
De scope is namelijk vaak breder dan de duidelijk herkenbare, zelf ontwikkelde AI-modellen. Denk bijvoorbeeld ook aan die slimme marketingtool die klantsegmenten creëert, de chatbot op uw website, of de ingebouwde fraudedetectie in uw betaalsysteem. Deze ‘verborgen’ AI is net zo relevant voor uw compliance-inspanningen.
Starten met een grondige inventarisatie
Een goede inventarisatie begint met een brede blik. Het is essentieel om samen te werken met verschillende afdelingen – van IT en marketing tot HR en finance – om een volledige lijst op te stellen. Vraag hen simpelweg welke software ze dagelijks gebruiken en duik vervolgens in de functionaliteiten van die tools.
Stel de volgende vragen om niets over het hoofd te zien:
- Welke systemen nemen beslissingen of doen aanbevelingen zonder directe menselijke tussenkomst? Denk aan productaanbevelingen in een webshop of systemen voor voorraadbeheer.
- Welke software gebruikt machine learning, natuurlijke taalverwerking (NLP) of computervisie? Dit kunnen systemen zijn die klantrecensies analyseren of afbeeldingen categoriseren.
- Zit er AI ingebed in de SaaS-producten die we gebruiken? Veel leveranciers van CRM-, ERP- of HR-software integreren tegenwoordig AI-functionaliteiten. Duik in de documentatie of neem contact op met uw leveranciers om dit te verifiëren.
Het resultaat van deze inventarisatie is een zogenaamd AI-register. Dit document wordt dé centrale bron van waarheid voor al uw AI-systemen en de daaruit volgende compliance-activiteiten. Zie het niet als een statisch document, maar als een levend overzicht dat u continu moet bijwerken zodra nieuwe tools worden geïntroduceerd.
De cruciale stap: risicoclassificatie
Met een compleet AI-register in de hand is de volgende stap het classificeren van elk systeem. U gaat ze indelen volgens de risiconiveaus van de AI Act, en deze stap bepaalt direct de zwaarte van uw verplichtingen. Het correct indelen van uw AI-systemen is essentieel voor een effectieve compliance-strategie.
Laten we dit verduidelijken met twee veelvoorkomende scenario’s:
Scenario 1: De E-commerce Onderneming
Een webwinkel gebruikt een AI-systeem om klanten gepersonaliseerde productaanbevelingen te tonen op basis van hun browsegeschiedenis. Dit soort systemen valt vrijwel zeker onder de categorie ‘minimaal risico’. De impact van een foute aanbeveling is immers beperkt. De AI Act legt hier geen specifieke verplichtingen voor op, al moedigt de wet wel het volgen van vrijwillige gedragscodes aan.
Scenario 2: De Financiële Instelling
Een bank gebruikt een complex AI-model om de kredietwaardigheid van consumenten te beoordelen. Een beslissing van dit systeem heeft een significante impact op iemands leven. Daarom wordt dit zonder enige twijfel geclassificeerd als een ‘hoog-risico’ AI-systeem.
Voor het hoog-risico systeem van de bank gelden strenge eisen. De bank moet zorgen voor robuust risicomanagement, hoge datakwaliteit, gedetailleerde technische documentatie, transparantie naar de klant en de mogelijkheid tot betekenisvol menselijk toezicht.
Deze twee voorbeelden laten zien waarom die classificatie zo fundamenteel is. Het bepaalt uw volledige routekaart voor compliance.
Uw AI-register praktisch inrichten
Een effectief AI-register is veel meer dan zomaar een lijst met namen van software. Het moet gestructureerde informatie bevatten die u helpt bij het managen van uw compliance. Zorg dat uw register per AI-systeem minimaal de volgende elementen bevat:
- Naam en eigenaar: Wie is intern verantwoordelijk voor dit systeem?
- Doel van het systeem: Wat doet de AI precies en welk bedrijfsprobleem lost het op?
- Leverancier: Is het intern ontwikkeld of door een derde partij geleverd?
- Soort data: Welke data wordt gebruikt om het model te trainen en te laten draaien (bijv. persoonsgegevens, geanonimiseerde data)?
- Risicoclassificatie: De voorlopige indeling (minimaal, beperkt, hoog, onaanvaardbaar).
- Onderbouwing: Een korte notitie waarom u tot deze classificatie bent gekomen.
Door deze inventarisatie en classificatie nu zorgvuldig uit te voeren, legt u een solide basis voor alle volgende stappen. U weet precies waar uw prioriteiten liggen en kunt uw middelen gericht inzetten om te voldoen aan de eisen die de AI Act stelt. Dit is de onmisbare eerste stap op weg naar volledige compliance met de AI Act.
De risico’s van uw AI-systemen analyseren
U heeft vastgesteld welke AI-systemen binnen uw organisatie als ‘hoog risico’ gelden. Goed, dan begint het echte werk pas. Een diepgaande risicoanalyse is de onmisbare volgende stap. Dit is veel meer dan een vinkje zetten in een checklist; het gaat erom dat u systematisch doorgrondt welke specifieke gevaren uw systeem kan opleveren voor fundamentele rechten, veiligheid en ethische normen.
Deze analyse vormt de absolute kern van uw compliance-strategie voor hoog-risico AI. Het is niet alleen een wettelijke verplichting onder de AI Act, maar ook een cruciale oefening in verantwoord ondernemen. Het doel? Proactief identificeren waar het mis kan gaan, voordat het daadwerkelijk misgaat.
De kerncomponenten van een effectieve analyse
Een robuuste risicoanalyse rust op verschillende pijlers. U moet de volledige levenscyclus van het AI-systeem onder de loep nemen, van de data waarmee het is getraind tot de manier waarop het in de praktijk functioneert en wordt gemonitord.
De centrale vraag die u zichzelf continu moet stellen, is: welke voorzienbare en onvoorzienbare schade kan dit systeem veroorzaken, en voor wie? Om deze vraag te beantwoorden, moet u zich richten op een aantal sleutelgebieden.
Denk bijvoorbeeld aan:
- Data en bias: Hoe goed en representatief is uw trainingsdata? Verborgen vooroordelen (bias) kunnen leiden tot discriminerende of oneerlijke uitkomsten.
- Robuustheid en betrouwbaarheid: Wat doet het model onder onverwachte omstandigheden of bij een cyberaanval? Een systeem moet stabiel en voorspelbaar blijven, ook buiten de ideale testomgeving.
- Menselijk toezicht: Is er een effectief mechanisme voor menselijke interventie? Mensen moeten de beslissingen van het systeem kunnen begrijpen, overrulen of corrigeren.
- Transparantie en uitlegbaarheid: Kunt u uitleggen waarom het systeem een bepaalde beslissing neemt? Gebruikers en andere betrokkenen hebben recht op duidelijke informatie.
Opsporen van verborgen vooroordelen in data
Eén van de grootste risico’s van AI is het versterken van bestaande maatschappelijke ongelijkheden. Een AI-systeem is immers zo goed als de data waarmee het wordt gevoed. Als die data historische vooroordelen bevatten, zal het AI-model deze onvermijdelijk overnemen en misschien zelfs versterken.
Stel, een verzekeraar ontwikkelt een AI-model om schadeclaims te beoordelen. Als dit model wordt getraind op historische data waarin claims van mensen uit bepaalde postcodes stelselmatig lager werden ingeschat, dan leert de AI dit patroon en zal het dit herhalen. Het gevolg is discriminatie, zelfs als de intentie van de ontwikkelaars goed was.
Het opsporen van bias vereist een kritische blik op uw datasets. Analyseer de demografische verdeling, zoek naar ondervertegenwoordigde groepen en test het model actief op eerlijkheid over verschillende subgroepen heen. Documenteer dit proces zorgvuldig.
De robuustheid van uw modellen testen
De betrouwbaarheid van een AI-systeem met een hoog risico is geen vanzelfsprekendheid. Het moet bestand zijn tegen technische fouten, onverwachte input en zelfs bewuste pogingen tot manipulatie. De AI Act eist dan ook dat systemen een passend niveau van nauwkeurigheid, robuustheid en cyberbeveiliging hebben.
In de praktijk betekent dit dat u scenario’s moet simuleren die de grenzen van het systeem opzoeken. Wat gebeurt er als een zelfrijdende auto plotseling te maken krijgt met extreme weersomstandigheden die niet in de trainingsdata zaten? Of als een medisch diagnosesysteem scans voorgeschoteld krijgt van een ongebruikelijk type?
Dit zijn geen theoretische vraagstukken. Het zijn concrete risico’s die u moet identificeren, evalueren en beperken. Dit doet u onder meer door:
- Stresstests: Geef het systeem bewust afwijkende input om te zien hoe het reageert.
- Scenarioanalyse: Werk potentiële faalscenario’s uit en bepaal de impact daarvan.
- Beveiligingsaudits: Laat experts zoeken naar kwetsbaarheden in de cyberbeveiliging van het systeem.
Garanderen van betekenisvol menselijk toezicht
Technologie mag nooit de volledige controle overnemen bij beslissingen met een grote impact. De AI Act stelt daarom de eis van betekenisvol menselijk toezicht. Dit is meer dan een vinkje op een formulier; het moet een ingebouwd en effectief onderdeel van het proces zijn.
De persoon die toezicht houdt, moet de capaciteit, de training en de autoriteit hebben om in te grijpen. Hij of zij moet de aanbevelingen van het AI-systeem kunnen begrijpen, kritisch kunnen beoordelen en de uiteindelijke beslissing kunnen nemen of terugdraaien.
De laatste, cruciale stap is het documenteren van uw risicoanalyse. Dit document wordt een essentieel onderdeel van uw technische dossier. Hiermee bewijst u aan toezichthouders dat u uw verantwoordelijkheid serieus neemt. Het laat zien dat u niet alleen voldoet aan de letter van de wet, maar ook bouwt aan een cultuur van verantwoorde AI binnen uw organisatie.
Praktische maatregelen voor AI Act compliance
De risicoanalyse is klaar. U weet nu precies waar de knelpunten en gevaren van uw hoog-risico AI-systemen zitten. Nu begint het echte werk: de vertaling van analyse naar concrete actie. Compliance met de AI Act is namelijk geen papieren tijger; het vraagt om tastbare technische en organisatorische maatregelen die diep in uw bedrijfsprocessen moeten worden verankerd.
Dit is de fase waar de theorie de praktijk ontmoet. Het gaat om het bouwen van een solide raamwerk dat de betrouwbaarheid, eerlijkheid en transparantie van uw AI waarborgt. En dat is meer dan alleen een IT-opgave; het is een uitdaging die de hele organisatie aangaat.
Datakwaliteit en governance implementeren
De kwaliteit van een AI-systeem staat of valt met de data waarmee het wordt getraind. “Garbage in, garbage out” is hier meer dan een cliché. De AI Act stelt dan ook strenge eisen aan de kwaliteit en het beheer van trainings-, validatie- en testgegevens. Dit is cruciaal om te voorkomen dat modellen worden gebouwd op een wankel fundament van vooroordelen en onnauwkeurigheden.
U zult dus procedures moeten ontwikkelen voor het beheren van deze datasets. Denk hierbij aan:
- Dataverwerking: Stel heldere protocollen op voor hoe data wordt verzameld, gelabeld en opgeschoond. Het is van groot belang dat u elke stap in dit proces zorgvuldig documenteert.
- Representativiteit: Zorg ervoor dat uw datasets een getrouwe afspiegeling zijn van de doelgroep. Dit is de beste manier om het risico op discriminatie en onbedoelde uitsluiting te verkleinen.
- Biasdetectie: Implementeer tools en technieken om actief op zoek te gaan naar verborgen vooroordelen in uw data, nog voordat deze wordt gebruikt om een model te trainen.
In Nederland groeit het besef dat een gestructureerde aanpak onmisbaar is. Diverse praktische gidsen hameren op een stapsgewijze aanpak: vaststellen of iets AI is, de eisen inventariseren, risicomaatregelen doorvoeren en alles documenteren. Deze methodische aanpak helpt organisaties om sancties en reputatieschade te vermijden door AI veilig en ethisch in te zetten.
Robuuste testprocedures en technische documentatie
Een AI-systeem kan in een gecontroleerde labomgeving perfect functioneren, maar in de onvoorspelbare praktijk heel anders reageren. Daarom zijn uitgebreide en realistische testprocedures onmisbaar. U moet kunnen aantonen dat uw systeem accuraat en betrouwbaar is, en bovendien bestand is tegen fouten of bewuste manipulatie.
Tegelijkertijd moet u een gedetailleerd technisch dossier bijhouden. Dit document is de ruggengraat van uw compliance. Het moet alle informatie bevatten die een toezichthouder nodig heeft om de conformiteit van uw systeem te beoordelen.
Dit dossier omvat onder meer:
- Een algemene beschrijving van het AI-systeem, inclusief het beoogde doel.
- De methodologieën die zijn gebruikt voor de ontwikkeling en validatie.
- Informatie over de gebruikte datasets en het databeleid.
- De resultaten van de risicoanalyse en de genomen maatregelen.
- Instructies voor de gebruiker en details over het menselijk toezicht.
- Een beschrijving van het kwaliteitsmanagementsysteem.
Deze documentatie is geen formaliteit. Het is het bewijs dat u uw verantwoordelijkheid serieus neemt en stelt toezichthouders in staat om uw systeem effectief te controleren. Bewaar dit dossier voor een periode van minimaal 10 jaar nadat het systeem op de markt is gebracht.
Een casestudy uit de logistiek
Stel u een groot logistiek bedrijf voor, ‘LogiRoute’, dat een hoog-risico AI-systeem gebruikt voor de dynamische routeplanning van zijn vrachtwagens. Het systeem optimaliseert niet alleen de reistijd en het brandstofverbruik, maar houdt ook rekening met de rij- en rusttijdenwetgeving, wat de veiligheid direct beïnvloedt.
LogiRoute neemt de volgende concrete stappen om aan de AI Act te voldoen:
- Transparantie voor de chauffeurs: Chauffeurs krijgen via een app inzicht in hoe hun route is berekend. Ze zien de belangrijkste variabelen (verkeer, wegwerkzaamheden, rusttijden) en begrijpen waarom het systeem een bepaalde keuze maakt.
- Protocol voor menselijke interventie: Elke chauffeur kan met één druk op de knop een routevoorstel weigeren en direct contact opnemen met een menselijke planner. Dit is essentieel voor onverwachte situaties, zoals een plotselinge wegafsluiting of een onveilig gevoel bij een voorgestelde route.
- Automatische logging: Het systeem legt automatisch alle beslissingen, de onderliggende data en elke menselijke interventie vast. Deze logs zijn cruciaal voor audits en het analyseren van eventuele incidenten.
Dit voorbeeld laat goed zien hoe technische maatregelen (logging, een transparante interface) en organisatorische protocollen (menselijke interventie) hand in hand gaan om een betrouwbaar en compliant AI-systeem te bouwen.
Organisatorische verankering
Technologie alleen is niet genoeg. Echte compliance moet leven binnen de organisatie. Dit begint met het toewijzen van duidelijke verantwoordelijkheden. Wie is de eigenaar van het AI-register? Wie voert de risicoanalyses uit en wie houdt de systemen in de gaten zodra ze live zijn?
Daarnaast is training van medewerkers cruciaal. Iedereen die met hoog-risico AI werkt, van datawetenschappers tot eindgebruikers, moet de risico’s begrijpen en weten hoe te handelen. Deze AI-geletterdheid is een verplichting onder de AI Act en vormt de basis van een duurzame cultuur van verantwoorde AI. Het is de sleutel tot het succesvol navigeren door de vereisten van de AI Act en het waarborgen van compliance.
Een duurzaam governance- en monitoringkader opzetten
Voldoen aan de AI Act is geen project met een begin- en einddatum; het is een doorlopend proces. AI-modellen evolueren, datasets worden continu bijgewerkt en de risico’s van gisteren zijn niet per se die van morgen. Een solide governance- en monitoringkader is daarom de enige manier om duurzame compliance te garanderen.
Een AI-systeem implementeren is slechts de eerste stap. De échte uitdaging ligt in het bewaken van de prestaties en risico’s nadat het systeem in gebruik is genomen. Dit vraagt om een proactieve houding, in plaats van te wachten tot er een incident plaatsvindt.
De noodzaak van continue monitoring
Een AI-systeem dat vandaag perfect presteert, kan morgen al afwijken. Dit fenomeen, bekend als model-drift, treedt op wanneer de data uit de echte wereld niet meer overeenkomen met de data waarop het model is getraind. Zonder actieve monitoring merkt u dit pas als het te laat is.
Continue monitoring stelt u in staat om:
- Prestaties te meten: Voldoet het systeem nog aan de vastgestelde nauwkeurigheids- en betrouwbaarheidsnormen?
- Bias te detecteren: Sluipen er nieuwe, onbedoelde vooroordelen in de beslissingen van het systeem?
- Onverwacht gedrag op te sporen: Doet het model iets wat niet was voorzien, bijvoorbeeld in reactie op nieuwe soorten input?
Door deze elementen voortdurend in de gaten te houden, kunt u tijdig ingrijpen, het model bijsturen of de risicoanalyse herzien.
Het doel van monitoring is niet alleen om problemen te vinden, maar ook om te bewijzen dat uw systeem consistent en verantwoord blijft functioneren. Deze data zijn van onschatbare waarde bij een eventuele inspectie door een toezichthouder.
Een heldere governancestructuur met duidelijke rollen
Een effectief kader rust op een duidelijke governancestructuur. Medewerkers moeten precies weten wie waarvoor verantwoordelijk is. Zonder heldere rollen en verantwoordelijkheden wordt compliance een niemandsland.
Wijs specifieke personen of teams aan voor sleuteltaken:
- AI-systeem eigenaar: De eindverantwoordelijke voor de prestaties, risico’s en compliance van een specifiek systeem.
- Monitoringteam: Verantwoordelijk voor de dagelijkse controle van de systeemprestaties en het signaleren van afwijkingen.
- Incident Response Team: Een team dat direct in actie komt bij ernstige incidenten, zoals een datalek of een geval van duidelijke discriminatie.
Door deze rollen formeel vast te leggen, verankert u AI-compliance in de haarvaten van uw organisatie. Het wordt een onderdeel van de dagelijkse operatie in plaats van een losstaand project.
Periodieke audits en het bijhouden van de risicoanalyse
Uw risicoanalyse is geen statisch document. Het moet een levend document zijn dat u periodiek herziet en bijwerkt. Plan daarom vaste momenten in voor interne audits van uw hoog-risico AI-systemen, bijvoorbeeld halfjaarlijks of jaarlijks.
Tijdens zo’n audit stelt u vragen als:
- Is het doel van het AI-systeem veranderd?
- Gebruiken we nieuwe soorten data?
- Zijn er maatschappelijke of juridische ontwikkelingen die nieuwe risico’s introduceren?
Leg elk incident, hoe klein ook, vast in een centraal logboek. Deze registratie helpt u niet alleen om patronen te herkennen, maar is ook verplicht onder de AI Act. Het toont aan dat u leert van fouten en proactief maatregelen neemt.
Voorbereiden op inspecties door toezichthouders
De implementatie van de AI Act vereist dat lidstaten nationale autoriteiten aanwijzen voor toezicht. Nederland behoort tot de landen die deze instanties tijdig hebben ingesteld, wat de rechtszekerheid voor bedrijven vergroot. Deze toezichthouders spelen een cruciale rol bij het monitoren van AI-toepassingen en het behandelen van klachten over privacy en discriminatie.
De onderstaande afbeelding toont een overzicht van de voortgang van de implementatieplannen per land.
Deze kaart laat zien welke landen vooroplopen met het aanwijzen van toezichthoudende autoriteiten, wat aangeeft dat handhaving een serieuze prioriteit is.
Een goede voorbereiding op een mogelijke inspectie betekent dat u uw documentatie altijd op orde heeft. Zorg dat uw AI-register, risicoanalyses, technische documentatie en incidentenlogs direct beschikbaar zijn. Een proactieve en transparante houding naar toezichthouders toe is de beste strategie. Het laat zien dat u uw verantwoordelijkheid voor AI-systemen en compliance serieus neemt en bouwt aan een cultuur van vertrouwen.
Vaak gehoorde vragen over de AI Act
Dat de AI Act vragen oproept, is logisch. Het is complexe wetgeving die een snel veranderende technologie moet reguleren. Veel organisaties worstelen dan ook met onduidelijkheid. Daarom behandelen we hieronder een paar van de meest prangende vragen die wij in de praktijk horen, zodat u met meer zekerheid aan de slag kunt.
Dit zijn de vragen die ondernemers en managers ons het vaakst stellen, voorzien van een praktisch antwoord.
Valt elk stukje ‘slimme’ software direct onder de AI Act?
Nee, gelukkig niet. De AI Act hanteert een hele specifieke definitie van wat een AI-systeem is. Het gaat om systemen die op basis van input – of die nu van een machine of een mens komt – kunnen afleiden hoe ze een doel moeten bereiken. Dat doen ze door voorspellingen, aanbevelingen of beslissingen te maken die invloed hebben op een fysieke of virtuele omgeving.
Een simpel ‘als-dit-dan-dat’-script in een spreadsheet is dus géén AI volgens de wet. Een geavanceerd machine learning-model dat kredietrisico’s analyseert, is dat zonder twijfel wél. Het is dus zaak om deze definitie als meetlat te gebruiken wanneer u uw systemen inventariseert.
Wij kopen onze AI in bij een externe leverancier. Wie is dan de klos?
Een hele belangrijke vraag. De AI Act wijst verantwoordelijkheden toe aan verschillende spelers in de keten: de aanbieder (de ontwikkelaar) en de gebruiker (uw organisatie). Hoewel de aanbieder moet zorgen dat het systeem technisch voldoet aan alle eisen, zoals documentatie en robuustheid, bent u als gebruiker zeker niet van uw plichten verlost.
U moet er bijvoorbeeld zelf voor zorgen dat u:
- Het systeem gebruikt zoals de aanbieder heeft voorgeschreven.
- Betekenisvol menselijk toezicht organiseert.
- De logs die het systeem aanmaakt, netjes bewaart.
- Een eigen risicoanalyse uitvoert, specifiek voor de manier waarop ú het systeem inzet.
U kunt de eindverantwoordelijkheid dus nooit volledig afschuiven. Het is uw taak om te controleren of de leverancier zijn huiswerk heeft gedaan én om zelf de nodige maatregelen te treffen voor verantwoord gebruik binnen uw eigen processen.
Wat als we nu al een hoog-risico AI-systeem gebruiken?
Voor systemen die al vóór augustus 2026 op de markt waren en in gebruik zijn, geldt een overgangsregeling. Maar let op: als zo’n systeem na die datum een ‘significante wijziging’ ondergaat, moet het alsnog volledig voldoen aan de eisen van de AI Act.
Wat is dan een significante wijziging? Denk aan een update die het doel van de AI verandert of de prestaties drastisch beïnvloedt. Het is dus cruciaal om de levenscyclus van uw bestaande systemen scherp in de gaten te houden en te weten wanneer volledige compliance onvermijdelijk wordt.
Zit er ook een voordeel aan die AI Act, of is het alleen maar gedoe?
Absoluut. Hoewel de nadruk vaak ligt op de verplichtingen, zijn er duidelijke kansen. Door aan de wet te voldoen, bouwt u aantoonbaar aan betrouwbare en ethische AI. Dat is geen klein bier; het versterkt direct het vertrouwen van uw klanten, partners en medewerkers.
Organisaties die hun AI-systemen en compliance op orde hebben, kunnen dit inzetten als een krachtig verkoopargument. Het toont aan dat u vooroploopt in verantwoord ondernemen en de risico’s van AI serieus neemt. In een markt waar vertrouwen een steeds schaarser goed wordt, kan dat een doorslaggevend concurrentievoordeel zijn. U investeert dus niet alleen in compliance, maar ook in uw reputatie.
