De AI Act: Wat betekent de nieuwe Europese wetgeving voor uw bedrijf?

De AI Act is geen vage richtlijn of een papieren tijger. Het is een concrete Europese wet met keiharde deadlines en serieuze financiële gevolgen. De kern van deze nieuwe wetgeving is een aanpak op basis van risico’s. Die bepaalt precies welke verplichtingen voor jouw bedrijf gelden, variërend van totale verboden tot strikte transparantie-eisen. Een ding is zeker: proactief voorbereiden is essentieel om straks aan alles te voldoen en torenhoge boetes te vermijden.

Uw bedrijf en de nieuwe Europese AI wetgeving

De vraag “wat betekent de nieuwe Europese AI-wetgeving voor mijn bedrijf?” houdt veel ondernemers bezig. En terecht. Deze wet is namelijk geen vrijblijvende aanbeveling; het is een bindende verordening die de manier waarop bedrijven in de EU kunstmatige intelligentie ontwikkelen, inkopen en gebruiken fundamenteel gaat veranderen. Het doel is tweeledig: innovatie aanjagen en tegelijkertijd de grondrechten en veiligheid van burgers beschermen.

De kern: een risicogebaseerde aanpak

Je kunt de AI Act het beste zien als een soort verkeerslicht. De wet deelt AI-systemen namelijk in vier risiconiveaus in, en die kleur bepaalt hoe streng de regels zijn.

• Onaanvaardbaar risico (rood licht): Deze AI-systemen zijn ronduit gevaarlijk en worden volledig verboden. Denk hierbij aan social scoring door overheden of manipulatieve technieken die mensen schade kunnen toebrengen.
• Hoog risico (oranje licht): Dit zijn systemen die een flinke impact kunnen hebben op onze veiligheid of grondrechten. Denk aan AI in medische apparatuur, in zelfrijdende auto’s of in wervingssoftware die beslist over iemands carrière. Deze systemen zijn toegestaan, maar moeten wel voldoen aan een waslijst met strenge eisen.
• Beperkt risico (groen licht met voorwaarden): Hier draait alles om transparantie. Gebruikers moeten simpelweg weten dat ze met een AI te maken hebben. Een chatbot is het klassieke voorbeeld.
• Minimaal risico (groen licht): De overgrote meerderheid van de AI-toepassingen valt gelukkig in deze categorie. Denk aan spamfilters of de AI in je favoriete videogame. Hiervoor gelden geen extra verplichtingen.

Voor jou als ondernemer betekent dit dat je eerst moet inventariseren welke AI je gebruikt en in welke risicocategorie die valt. De AI Act biedt een duidelijk kader voor het verantwoorde gebruik van AI tools voor ondernemers, wat zowel uitdagingen als kansen met zich meebrengt.

Waarom je nu al in actie moet komen

De AI-verordening, beter bekend als de AI Act, wordt stapsgewijs ingevoerd. Maar vergis je niet: de eerste regels zijn al van kracht. Dit is geen verre toekomstmuziek meer.

Hieronder vind je een overzicht van de cruciale deadlines die Nederlandse bedrijven moeten kennen voor de gefaseerde invoering van de AI Act.

Belangrijke data in de implementatie van de AI Act

Zoals je ziet, is de implementatie al begonnen. Wachten is dus geen optie.

Het negeren van de AI Act kan je duur komen te staan. De boetes kunnen oplopen tot €35 miljoen of 7% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is.

Vooruitkijken en voorbereiden is dus cruciaal. Bedrijven die nu al investeren in ‘Trustworthy AI’ voldoen niet alleen aan de wet, maar bouwen ook aan een enorm concurrentievoordeel: het vertrouwen van hun klanten.

De vier risiconiveaus van AI-systemen uitgelegd

De AI Act is geen alles-of-nietswet. Gelukkig maar, want de wetgevers snappen heel goed dat een simpele spamfilter niet aan dezelfde strenge regels hoeft te voldoen als een AI die medische diagnoses stelt. De kern van de wet is dan ook een slimme, risicogebaseerde aanpak. AI-systemen worden ingedeeld in vier categorieën, van onaanvaardbaar tot minimaal risico, en de regels worden strenger naarmate het risico voor mens en maatschappij toeneemt.

Voor u als ondernemer is het cruciaal om te weten in welke categorie uw AI-toepassingen vallen. Dit bepaalt namelijk direct wat de nieuwe Europese wetgeving voor uw bedrijf betekent en welke stappen u moet ondernemen.

Niveau 1: Onaanvaardbaar risico

Dit is de zwaarste categorie. AI-systemen die hierin vallen, worden gezien als een directe bedreiging voor onze fundamentele rechten en veiligheid. De wet is hier glashelder over: deze systemen zijn simpelweg verboden in de Europese Unie. Het gaat hierbij om toepassingen die we als maatschappij ongewenst vinden.

Denk bijvoorbeeld aan:

• Social scoring door overheden: Systemen die burgers een score geven op basis van hun gedrag, wat kan leiden tot uitsluiting of benadeling.
• Manipulatieve AI: Technologie die ontworpen is om het gedrag van mensen onbewust te beïnvloeden en hen te verleiden tot schadelijke beslissingen.
• Realtime biometrische identificatie op afstand: Het op grote schaal gebruiken van gezichtsherkenning in openbare ruimtes door opsporingsdiensten, met slechts enkele zeer strikt omschreven uitzonderingen.

Voor uw bedrijf betekent dit dat u deze technologieën absoluut niet mag ontwikkelen, gebruiken of op de markt mag brengen. Doen alsof uw neus bloedt is geen optie.

Niveau 2: Hoog risico

Dit is de categorie die de meeste aandacht en inspanning zal vragen van bedrijven. Hoog-risico AI-systemen zijn niet verboden, maar moeten wél voldoen aan een zeer uitgebreid pakket van strenge regels. Dit zijn systemen die een aanzienlijke impact kunnen hebben op iemands leven, veiligheid of kansen.

De AI Act wijst specifieke domeinen aan waar AI-toepassingen vaak als hoog risico worden gezien:

• Producten die al onder EU-veiligheidswetgeving vallen: Denk aan AI als veiligheidscomponent in medische hulpmiddelen, liften of auto’s.
• Systemen met impact op grondrechten: Dit is een brede groep, met toepassingen zoals AI voor werving en selectie, het toekennen van kredieten, toegang tot onderwijs of het beoordelen van bewijs in de rechtspraak.

Zet uw bedrijf AI in om bijvoorbeeld cv’s te filteren of de kredietwaardigheid van een klant te bepalen? Dan is de kans groot dat dit onder de hoog-risicocategorie valt. Dit brengt zware verplichtingen met zich mee op het gebied van risicomanagement, datakwaliteit, transparantie, menselijk toezicht en cybersecurity.

Niveau 3: Beperkt risico

Voor deze categorie draait alles om één kernbegrip: transparantie. De risico’s zijn hier niet zozeer fysiek of financieel, maar liggen meer op het vlak van misleiding. Gebruikers moeten gewoon weten wanneer ze met een AI-systeem te maken hebben, zodat ze zelf een geïnformeerde keuze kunnen maken.

De regels voor beperkt risico zijn relatief eenvoudig en vooral gericht op voorlichting.

• Chatbots: Als uw website een chatbot gebruikt, moet u duidelijk maken dat de gebruiker met een AI praat en niet met een mens.
• Deepfakes: Alle door AI gemaakte of bewerkte audio, video of afbeeldingen (deepfakes) moeten een duidelijk label krijgen. Zo wordt voorkomen dat mensen worden misleid door gemanipuleerde content.

De verplichtingen zijn hier dus niet zo ingrijpend als bij hoog-risico systemen, maar negeer ze niet. Het kan u alsnog op boetes en reputatieschade komen te staan.

Niveau 4: Minimaal of geen risico

Dit is de grootste en meest voorkomende categorie. Het goede nieuws is dat de overgrote meerderheid van de AI-toepassingen die vandaag de dag in gebruik zijn, hieronder valt. Voor deze systemen brengt de AI Act geen nieuwe wettelijke verplichtingen met zich mee.

Voorbeelden van minimaal risico AI zijn:

• Spamfilters in uw e-mailprogramma
• Aanbevelingssystemen in webshops of bij streamingdiensten
• AI die wordt gebruikt in videogames

Bedrijven die deze systemen gebruiken of ontwikkelen, kunnen opgelucht ademhalen. Hoewel er geen harde verplichtingen zijn, moedigt de EU wel het gebruik van vrijwillige gedragscodes aan om ook hier betrouwbaarheid en ethiek te waarborgen. Deze aanpak zorgt ervoor dat de wet innovatie niet onnodig in de weg staat.

Om de verschillen nog duidelijker te maken, hebben we de vier categorieën hieronder voor u naast elkaar gezet.

Vergelijking van de risicocategorieën in de AI Act

Deze tabel laat goed zien hoe de AI Act een genuanceerde benadering kiest. De zwaarste lasten komen te liggen bij de toepassingen met de grootste potentiële impact, terwijl innovatie in minder risicovolle domeinen vrij spel krijgt. Het is aan u om te bepalen waar uw systemen passen.

De praktische verplichtingen voor hoog-risico AI

Wanneer een AI-systeem van uw bedrijf in de categorie ‘hoog risico’ valt, krijgt u te maken met de strengste regels uit de AI Act. Dit is niet voor niets de categorie waar de wetgever de meeste aandacht aan besteedt. Deze systemen kunnen namelijk een flinke impact hebben op de veiligheid, gezondheid en de fundamentele rechten van mensen. Het zal u dan ook niet verbazen dat de verplichtingen hier het meest ingrijpend zijn.

Voor bedrijven die met hoog-risico AI werken, vertaalt de wet zich in een reeks concrete en verplichte acties. Deze eisen zijn er niet zomaar; ze zijn ontworpen om robuustheid, transparantie en betrouwbaarheid te garanderen, en dat gedurende de hele levenscyclus van het systeem.

Het is belangrijk te beseffen dat het niet naleven van deze regels geen optie is. De boetes kunnen fors zijn, maar de reputatieschade is misschien nog wel groter. Zie deze verplichtingen daarom niet als een afvinklijstje, maar als een fundamenteel onderdeel van uw productontwikkeling en de dagelijkse gang van zaken.

Een risicomanagementsysteem opzetten

De eerste en misschien wel belangrijkste verplichting is het opzetten van een doorlopend risicomanagementsysteem. Dit is dus geen eenmalige analyse die u uitvoert en vervolgens in een la stopt. Het is een continu proces, dat al begint in de ontwerpfase en doorloopt tot het moment dat het systeem weer van de markt verdwijnt.

Wat wordt er concreet van u verwacht?

• Risico’s identificeren: Breng alle redelijkerwijs te voorziene risico’s in kaart die het AI-systeem kan opleveren voor gezondheid, veiligheid of grondrechten.
• Risico’s analyseren en evalueren: Schat in hoe waarschijnlijk het is dat deze risico’s zich voordoen en wat de ernst van de gevolgen is.
• Risico’s beheersen: Neem maatregelen om de geïdentificeerde risico’s weg te nemen of in ieder geval te beperken. Resterende risico’s moeten duidelijk aan de gebruiker worden gecommuniceerd.

Nederland is een van de meest geavanceerde AI-markten in Europa. Ongeveer 30% van de Nederlandse bedrijven gebruikt al een vorm van AI. Door de AI Act moeten deze bedrijven hun risicobeoordelingen flink opschroeven. Naar schatting valt namelijk zo’n 15% van hun AI-systemen in de categorie ‘hoog risico’, denk bijvoorbeeld aan AI in medische apparatuur.

Het technisch paspoort van uw AI

Een andere cruciale eis is het bijhouden van gedetailleerde technische documentatie. U kunt dit het beste zien als het ‘technisch paspoort’ van uw AI-systeem. Met dit document moet u kunnen aantonen dat het systeem aan alle eisen van de AI Act voldoet. Toezichthouders kunnen dit paspoort opvragen.

Dit ‘paspoort’ is geen marketingbrochure. Het moet diepgaande informatie bevatten over het ontwerp, de ontwikkeling en de prestaties van het systeem. Het is het bewijs dat u uw huiswerk heeft gedaan.

Wat moet er minimaal in dit paspoort staan?

1. Algemene beschrijving: Het beoogde doel, de capaciteiten en de beperkingen van het AI-systeem.
2. Data en governance: Gedetailleerde informatie over de gebruikte trainings-, validatie- en testdatasets. Denk aan de herkomst en de maatregelen om bias te voorkomen.
3. Menselijk toezicht: Een beschrijving van de maatregelen die u heeft genomen om effectief menselijk toezicht mogelijk te maken.
4. Robuustheid en cybersecurity: Informatie over de technische oplossingen die zijn ingebouwd om het systeem accuraat, robuust en veilig te houden.

Conformiteit en registratie in de EU-database

Voordat een hoog-risico AI-systeem de markt op mag, moet het een conformiteitsbeoordeling ondergaan. Dit proces controleert of het systeem daadwerkelijk voldoet aan alle wettelijke eisen. In veel gevallen moet een onafhankelijke, door de overheid aangewezen instantie (een zogeheten ‘notified body’) dit uitvoeren.

Als het systeem de test doorstaat, moet u als ontwikkelaar een EU-conformiteitsverklaring opstellen en de CE-markering aanbrengen. Dit is hetzelfde keurmerk dat u kent van veel andere producten en toont aan dat het product voldoet aan de Europese veiligheidsnormen.

Tot slot is er nog een belangrijke stap: registratie in een openbare EU-database. Dit is een nieuwe verplichting, specifiek voor hoog-risico AI. Door deze registratie wordt het voor toezichthouders, maar ook voor het publiek, inzichtelijk welke hoog-risico AI-systemen er op de Europese markt zijn. Dit vergroot de controle en het vertrouwen in de technologie, wat precies de bedoeling is van de AI Act. Het betekent ook dat de nieuwe Europese wetgeving voor uw bedrijf extra transparantieverplichtingen met zich meebrengt.

De regels voor General Purpose AI modellen zoals GPT

Modellen als GPT-4 of Gemini van Google zijn geen gewone AI-systemen. Je kunt ze beter zien als de krachtige motoren die talloze andere AI-toepassingen aandrijven. De AI Act erkent die unieke positie en heeft daarom specifieke regels opgesteld voor deze zogeheten General Purpose AI (GPAI) modellen. Deze ‘algemene’ modellen kun je dan ook voor van alles en nog wat inzetten, van het schrijven van een blog tot het analyseren van complexe datasets.

Omdat deze modellen de basis vormen voor een heel ecosysteem aan AI-diensten, legt de wet de verantwoordelijkheid deels bij de ontwikkelaars. Dat is een belangrijke verschuiving. Niet alleen de eindgebruiker, maar juist ook de maker van de onderliggende technologie krijgt verplichtingen. Dit raakt direct de kern van de vraag “wat betekent de nieuwe Europese wetgeving voor uw bedrijf?”, zeker als u tools gebruikt die op dit soort technologie zijn gebouwd.

Basisverplichtingen voor alle GPAI modellen

Elk GPAI-model dat op de Europese markt komt, moet aan een aantal basisverplichtingen voldoen. Die zijn vooral gericht op transparantie en documentatie. De gedachte hierachter is simpel: bedrijven die deze modellen in hun eigen producten willen integreren, moeten precies weten wat ze in huis halen.

De belangrijkste verplichtingen voor de ontwikkelaars op een rij:

• Technische documentatie: Ze moeten gedetailleerd bijhouden hoe het model is getraind en getest. Denk aan informatie over de gebruikte architecturen en trainingsprocessen.
• Informatie voor downstream providers: Ontwikkelaars moeten duidelijke instructies geven aan de bedrijven die hun GPAI-model gebruiken om zelf een AI-systeem te bouwen. Zo kunnen die bedrijven op hun beurt ook weer aan de AI Act voldoen.
• Beleid voor auteursrecht: Ze moeten een beleid opstellen waaruit blijkt dat ze het Europese auteursrecht respecteren, vooral als het gaat om de data waarmee het model is getraind.
• Gedetailleerde samenvatting trainingsdata: Er moet een uitgebreide samenvatting online komen van de content die is gebruikt voor de training. Dit geeft inzicht in mogelijke bronnen van vooroordelen of andere risico’s.

Deze regels zorgen ervoor dat de hele keten, van ontwikkelaar tot eindgebruiker, beter geïnformeerd is en meer verantwoordelijkheid draagt.

Extra strenge eisen voor modellen met een systemisch risico

De AI Act maakt een belangrijk onderscheid, want niet alle GPAI-modellen zijn gelijk. Sommige modellen zijn zo krachtig en worden zo breed ingezet dat ze een systemisch risico voor de samenleving kunnen vormen. Denk aan de meest geavanceerde modellen die miljoenen mensen gebruiken en die een enorme impact kunnen hebben op de publieke opinie of veiligheid.

Een GPAI-model wordt gezien als een systemisch risico als de totale rekenkracht die voor de training is gebruikt boven de drempel van 10^25 FLOPs (floating-point operations) uitkomt. Dit is een technische maatstaf voor extreem hoge computerkracht.

Voor deze ‘zwaargewichten’ gelden, bovenop de basisregels, nog extra strenge eisen.

Zij moeten onder meer:

• Uitgebreide model-evaluaties uitvoeren om risico’s op te sporen en te beperken.
• Adversarial testing doen, waarbij het model wordt getest tegen vijandige aanvallen om kwetsbaarheden te vinden.
• Ernstige incidenten melden bij de Europese Commissie en relevante nationale autoriteiten.
• Cybersecurity-audits laten uitvoeren om te garanderen dat het model en de infrastructuur goed beveiligd zijn.

Deze extra controlelaag is bedoeld om de potentieel grootste risico’s in te dammen die uit de meest invloedrijke AI-technologieën kunnen voortkomen. Voor uw bedrijf betekent dit dat wanneer u zo’n krachtig model integreert, u kunt vertrouwen op een hoger niveau van controle en veiligheid bij de bron.

Een stappenplan om uw bedrijf voor te bereiden

De AI Act kan op het eerste gezicht wat overweldigend lijken. Toch is compliance met een gestructureerde aanpak een haalbaar doel, en geen onbeklimbare berg. Wachten is in ieder geval geen optie meer; de klok tikt en proactief handelen is de enige manier om risico’s te beheersen en straks boetes te vermijden. Dit concrete stappenplan helpt u de theorie om te zetten naar de praktijk.

Zie dit traject niet als een bureaucratische horde, maar als een strategische kans. Door nu de juiste stappen te zetten, bouwt u niet alleen aan compliance, maar ook aan vertrouwen bij uw klanten. U legt een solide, verantwoorde basis voor toekomstige innovatie.

Stap 1 Inventariseer al uw AI-systemen

De allereerste, cruciale stap: weten waar u precies mee werkt. U kunt de impact van de nieuwe Europese wetgeving pas bepalen als u een compleet beeld heeft van alle AI-toepassingen binnen uw organisatie. En dat zijn er vaak meer dan u denkt.

Begin met het opzetten van een AI-register. Dit is een levend document waarin u alle AI-systemen vastlegt. Denk hierbij aan:

• Zelf ontwikkelde AI: Algoritmes en modellen die uw eigen teams hebben gebouwd, of het nu voor interne processen is of voor producten die de klant gebruikt.
• Ingekochte AI: Software van derde partijen waar AI in verwerkt zit. Dit kan van alles zijn, van een geavanceerd CRM-systeem met voorspellende analyses tot wervingstools die cv’s screenen.
• Geïntegreerde componenten: AI-modules of API’s (zoals die van OpenAI of Google) die u in uw eigen applicaties hebt ingebouwd.

Een veelgemaakte fout is het vergeten van ‘verborgen’ AI in standaard softwarepakketten. Een modern marketing automation platform of een geavanceerde tool voor klantenservice maakt bijna altijd gebruik van AI. Vraag dit actief na bij uw leveranciers.

Stap 2 Classificeer elk systeem op risiconiveau

Zodra het overzicht compleet is, volgt de volgende stap. U gaat elk systeem indelen volgens de risicopiramide van de AI Act. Dit vormt de kern van uw compliance-strategie, want de classificatie bepaalt direct welke verplichtingen voor welk systeem gelden.

Stel uzelf voor elk systeem de volgende vragen:

1. Is het systeem verboden (onaanvaardbaar risico)? Controleer of uw toepassing valt onder de verboden categorieën, zoals social scoring.
2. Is het een hoog-risico systeem? Bekijk of het systeem wordt ingezet in een van de in de wet genoemde hoog-risico domeinen, zoals HR, kredietverlening of medische toepassingen.
3. Heeft het een beperkt risico? Gaat het om een chatbot of een systeem dat deepfakes genereert? Dan gelden er specifieke transparantie-eisen.
4. Is het risico minimaal? Als het systeem niet in een van de bovenstaande categorieën past, valt het waarschijnlijk hieronder en zijn er geen specifieke verplichtingen.

Documenteer uw classificatie en, minstens zo belangrijk, uw onderbouwing. Deze documentatie is essentieel om aan toezichthouders te kunnen laten zien dat u een zorgvuldige afweging heeft gemaakt.

Stap 3 Voer een gap-analyse uit

Met de inventarisatie en classificatie in de hand kunt u nu een ‘gap-analyse’ uitvoeren. Dit betekent simpelweg dat u per systeem de wettelijke vereisten afzet tegen uw huidige situatie. Zo identificeert u de ‘gaten’ tussen wat de wet eist en wat uw bedrijf nu doet.

Leg de focus hierbij vooral op uw hoog-risico systemen, want daar zijn de eisen het strengst. Kijk naar concrete aspecten:

• Documentatie: Heeft u de vereiste technische documentatie en een soort ‘technisch paspoort’ voor uw hoog-risico AI?
• Risicomanagement: Is er een formeel en doorlopend proces om risico’s te identificeren en te beheren?
• Data governance: Voldoen de gebruikte datasets aan de kwaliteitseisen? Is er een proces om bias te minimaliseren?
• Menselijk toezicht: Zijn er duidelijke procedures en mechanismen voor effectief menselijk toezicht?

Wees eerlijk en kritisch in deze fase. Het doel is niet om aan te tonen dat u alles al perfect op orde heeft, maar om precies te weten waar de werkpunten liggen.

Stap 4 Maak een concreet actieplan

De laatste stap is het vertalen van de gevonden ‘gaten’ naar een concreet en geprioriteerd actieplan. Dit wordt uw routekaart naar volledige compliance met de AI Act. Wijs voor elke actie een duidelijke eigenaar en een realistische deadline aan.

Een goed actieplan zou de volgende elementen moeten bevatten:

• Een AI-verantwoordelijke aanstellen: Wijs een persoon of team aan die het overzicht houdt en de implementatie coördineert.
• Processen opzetten: Ontwikkel de benodigde processen voor risicomanagement, documentatie en monitoring nadat een systeem in gebruik is genomen.
• Medewerkers trainen: Zorg ervoor dat de relevante teams, van ontwikkelaars tot juridische experts, op de hoogte zijn van hun verantwoordelijkheden onder de AI Act.
• Communiceren met leveranciers: Neem contact op met de leveranciers van uw ingekochte AI-software. Verifieer dat zij ook aan de wet voldoen en vraag de benodigde documentatie op.

Begin met de acties die de grootste risico’s afdekken. Het aanpakken van de vereisten voor uw hoog-risico systemen moet absolute prioriteit hebben. Door deze stappen te volgen, bent u goed op weg om niet alleen aan de wet te voldoen, maar ook om AI op een verantwoorde en betrouwbare manier in te zetten voor de toekomst van uw bedrijf.

Oké, hier is de herschreven tekst. Ik heb de toon en stijl van de voorbeelden overgenomen: direct, professioneel en gericht op de zakelijke/juridische praktijk, maar toch heel leesbaar.

De AI Act: meer dan een verplichting

De komst van een nieuwe, ingrijpende wet zoals de AI Act wordt vaak met een zucht ontvangen. Het roept direct beelden op van bureaucratie, extra kosten en regels die innovatie in de weg lijken te staan. Hoewel compliance zeker een inspanning vraagt, is het een strategische fout om de nieuwe Europese wetgeving puur als een last te zien. De AI Act biedt namelijk ook unieke kansen.

Door deze wetgeving proactief te omarmen, kunt u zich als bedrijf onderscheiden in een steeds vollere markt. Het naleven van de regels is niet alleen een juridische verplichting; het is een krachtig signaal naar uw klanten, partners en investeerders. U laat ermee zien dat u ethiek en betrouwbaarheid serieus neemt.

Van noodzaak naar concurrentievoordeel

De term ‘Trustworthy AI’ wordt dankzij de AI Act meer dan een modewoord. Het wordt een meetbaar en verifieerbaar kwaliteitskenmerk. Bedrijven die kunnen aantonen dat hun AI-systemen voldoen aan de strenge Europese normen, bouwen een cruciaal concurrentievoordeel op. Vertrouwen is de valuta van de digitale economie, en deze wet geeft u een perfect raamwerk om dat vertrouwen te verdienen en te behouden.

De AI Act dwingt u om gestructureerd na te denken over de kwaliteit, veiligheid en ethische impact van uw AI-toepassingen. Dit leidt niet alleen tot betere compliance, maar uiteindelijk ook tot robuustere en effectievere producten.

In plaats van af te wachten tot de deadlines naderen, kunt u de AI Act gebruiken als een strategische routekaart voor duurzame innovatie. Het stimuleert u om uw AI-portfolio kritisch onder de loep te nemen, processen te verbeteren en te investeren in technologie die niet alleen slim is, maar ook veilig, eerlijk en transparant.

Deze proactieve houding levert directe voordelen op:

• Sterkere klantrelaties: U kunt klanten garanderen dat hun data veilig is en dat de AI die u gebruikt eerlijk en betrouwbaar functioneert.
• Verbeterde risicobeheersing: U identificeert en beperkt proactief de risico’s die aan AI verbonden zijn, wat uw bedrijf een stuk veerkrachtiger maakt.
• Toekomstbestendige organisatie: U bouwt aan een fundament voor verantwoorde AI, wat essentieel is voor succes op de lange termijn.

De kernboodschap is helder: begin vandaag. Zorg dat u weet welke AI-systemen u gebruikt en zet deze wetgeving in als een katalysator. Zo verandert u wat een verplichting lijkt in een strategische investering in de toekomst van uw bedrijf.

Veelgestelde vragen over de AI Act

De invoering van de AI Act roept natuurlijk een hoop vragen op. De regels zijn complex en de impact kan groot zijn. Daarom hebben we hier de meest voorkomende vragen voor u op een rijtje gezet, met duidelijke en praktische antwoorden. Zo weet u direct waar u aan toe bent.

Voor wie geldt de AI Act precies?

In de kern geldt de AI Act voor bijna elke organisatie binnen de EU die AI-systemen ontwikkelt, aanbiedt of inzet voor professionele doeleinden. Het maakt daarbij niet uit of u een grote multinational bent of een MKB-bedrijf. Zelfs organisaties buiten de EU vallen onder de wet als hun AI-systeem op de Europese markt wordt aangeboden of als de output ervan binnen de EU wordt gebruikt.

De wet is dus zeker niet alleen voor techbedrijven bedoeld. Gebruikt u als adviesbureau een AI-tool om contracten te analyseren? Of zet u als marketingbureau software in die automatisch content genereert? Dan krijgt ook u te maken met de verplichtingen van de AI Act.

Is de wet ook van toepassing op AI software die we inkopen?

Ja, absoluut. De wet maakt een belangrijk onderscheid tussen de ‘aanbieder’ (de partij die de AI ontwikkelt) en de ‘gebruiker’ (uw bedrijf dat de software inzet). Hoewel de zwaarste verplichtingen bij de aanbieder liggen, heeft u als gebruiker ook eigen verantwoordelijkheden. U bent bijvoorbeeld verplicht om het AI-systeem te gebruiken volgens de instructies van de ontwikkelaar en de resultaten correct te interpreteren.

Voor hoog-risico AI-systemen geldt bovendien dat u als gebruiker moet controleren of het systeem een CE-markering draagt en is geregistreerd in de officiële EU-database. Het is dus cruciaal om dit goed na te vragen bij uw softwareleveranciers.

Hoe hoog zijn de boetes bij niet-naleving?

De boetes zijn fors en bedoeld om een afschrikwekkende werking te hebben. De sancties kunnen oplopen tot het hoogste van deze twee bedragen:

• Een vast bedrag van €35 miljoen.
• Een percentage van de wereldwijde jaaromzet, dat kan oplopen tot wel 7%.

De precieze hoogte van de boete hangt af van de aard en de ernst van de overtreding. Het negeren van het verbod op ‘onaanvaardbare risico’s’ wordt het zwaarst bestraft, maar ook het niet voldoen aan de regels voor hoog-risico systemen kan tot miljoenenboetes leiden.

Wat is de rol van de Autoriteit Persoonsgegevens?

In Nederland is de Autoriteit Persoonsgegevens (AP) aangewezen als de belangrijkste toezichthouder voor de AI Act. De AP gaat controleren of bedrijven de nieuwe regels naleven. Dit betekent dat zij de bevoegdheid krijgen om onderzoek te doen, informatie op te vragen en, indien nodig, de eerder genoemde hoge boetes op te leggen.

Gezien de duidelijke overlap met de AVG, waar de AP al de centrale toezichthouder is, is dit een logische stap. Hun rol wordt hiermee uitgebreid van alleen privacybescherming naar een breder toezicht op de veilige en ethische inzet van kunstmatige intelligentie.