featured-image-7e0fbcc6-7ad9-4018-becc-1a2de503b202.jpg

De Europese AI Act is geen verre toekomstmuziek meer; het is een nieuwe realiteit die directe gevolgen heeft voor uw bedrijfsvoering. Voorbereiding vereist dat u uw AI-systemen inventariseert, hun risiconiveau classificeert volgens de wet, en een actieplan opstelt om aan de specifieke verplichtingen te voldoen. Proactief handelen is nu cruciaal om boetes en operationele risico’s te vermijden.

De kern van de AI Act voor Nederlandse bedrijven

AI Act: ai-systemen en compliance | Zo bereidt u zich voor 10

De AI Act hanteert een risicogebaseerde aanpak. Concreet betekent dit dat de zwaarte van uw verplichtingen direct afhangt van het type AI dat u inzet. Niet elk AI-systeem wordt over dezelfde kam geschoren; de wet maakt een duidelijk onderscheid tussen toepassingen die een minimaal risico vormen en systemen die de fundamentele rechten van burgers kunnen schaden.

Voor de meeste bedrijven ligt de focus dus op systemen in de categorieën ‘hoog risico’ en ‘beperkt risico’. Denk aan AI voor HR-processen, kredietbeoordeling, of zelfs geavanceerde chatbots die met klanten interacteren.

Een gefaseerde invoering met harde deadlines

De wet wordt niet van de ene op de andere dag volledig van kracht. De invoering gebeurt gefaseerd, wat u de tijd geeft om u voor te bereiden. Maar vergis u niet: de eerste deadlines naderen snel.

De EU AI Act trad officieel in werking op 1 augustus 2024. Vanaf 2 februari 2025 geldt al een verbod op AI-systemen met een onaanvaardbaar risico, zoals social scoring door overheden. De volledige set regels voor hoog-risico AI-systemen wordt van kracht op 2 augustus 2026. De Nederlandse Autoriteit Persoonsgegevens (AP) is al actief in het handhaven op aanverwante gebieden, wat de urgentie van voorbereiding onderstreept.

Het is een misvatting te denken dat u nog twee jaar de tijd heeft. De eerste belangrijke deadline is al over enkele maanden. Het identificeren van verboden systemen is een absolute prioriteit die nu direct aandacht vraagt.

De vier risiconiveaus begrijpen

De AI Act deelt systemen in vier categorieën in. Het correct classificeren van uw AI-toepassingen is de fundamentele eerste stap naar compliance.

Hieronder vindt u een overzicht van de risiconiveaus en de bijbehorende deadlines. Deze tabel geeft u direct inzicht in de urgentie en de planning die voor u relevant is.

Overzicht van de AI Act risiconiveaus en deadlines

Een samenvatting van de vier risicocategorieën, de belangrijkste verplichtingen en de cruciale deadlines voor implementatie.

Risiconiveau	Voorbeelden van systemen	Kernverplichting	Deadline van kracht
Onaanvaardbaar risico	Social scoring, manipulatieve technieken, real-time biometrische identificatie in openbare ruimtes.	Volledig verboden.	Februari 2025
Hoog risico	AI in werving & selectie, medische apparatuur, kredietbeoordeling, kritieke infrastructuur.	Strikte eisen aan risicomanagement, datakwaliteit, transparantie, menselijk toezicht en documentatie.	Augustus 2026
Beperkt risico	Chatbots, deepfakes, AI-gegenereerde content.	Transparantieplicht: gebruikers moeten weten dat ze met AI interacteren of dat content kunstmatig is.	Augustus 2026
Minimaal risico	Spamfilters, AI in videogames, voorraadsbeheer.	Geen specifieke verplichtingen, wel aanmoediging voor vrijwillige gedragscodes.	Geen

Dit raamwerk maakt duidelijk waarom een inventarisatie van uw AI-landschap zo belangrijk is. Zonder te weten welke systemen u gebruikt en in welke categorie ze vallen, kunt u onmogelijk een effectief complianceplan opstellen. Het is de basis voor alle verdere stappen.

Uw AI-landschap in kaart brengen

AI Act: ai-systemen en compliance | Zo bereidt u zich voor 11

Voordat u zich kunt voorbereiden op de AI Act, moet u eerst weten waar u staat. De allereerste, fundamentele stap is dan ook het creëren van een compleet overzicht van alle AI-toepassingen binnen uw organisatie. Dit klinkt misschien als een open deur, maar de praktijk wijst uit dat veel bedrijven meer AI-systemen gebruiken dan ze zelf doorhebben.

De scope is namelijk vaak breder dan de duidelijk herkenbare, zelf ontwikkelde AI-modellen. Denk bijvoorbeeld ook aan die slimme marketingtool die klantsegmenten creëert, de chatbot op uw website, of de ingebouwde fraudedetectie in uw betaalsysteem. Deze ‘verborgen’ AI is net zo relevant voor uw compliance-inspanningen.

Starten met een grondige inventarisatie

Een goede inventarisatie begint met een brede blik. Het is essentieel om samen te werken met verschillende afdelingen – van IT en marketing tot HR en finance – om een volledige lijst op te stellen. Vraag hen simpelweg welke software ze dagelijks gebruiken en duik vervolgens in de functionaliteiten van die tools.

Stel de volgende vragen om niets over het hoofd te zien:

Welke systemen nemen beslissingen of doen aanbevelingen zonder directe menselijke tussenkomst? Denk aan productaanbevelingen in een webshop of systemen voor voorraadbeheer.
Welke software gebruikt machine learning, natuurlijke taalverwerking (NLP) of computervisie? Dit kunnen systemen zijn die klantrecensies analyseren of afbeeldingen categoriseren.
Zit er AI ingebed in de SaaS-producten die we gebruiken? Veel leveranciers van CRM-, ERP- of HR-software integreren tegenwoordig AI-functionaliteiten. Duik in de documentatie of neem contact op met uw leveranciers om dit te verifiëren.

Het resultaat van deze inventarisatie is een zogenaamd AI-register. Dit document wordt dé centrale bron van waarheid voor al uw AI-systemen en de daaruit volgende compliance-activiteiten. Zie het niet als een statisch document, maar als een levend overzicht dat u continu moet bijwerken zodra nieuwe tools worden geïntroduceerd.

De cruciale stap: risicoclassificatie

Met een compleet AI-register in de hand is de volgende stap het classificeren van elk systeem. U gaat ze indelen volgens de risiconiveaus van de AI Act, en deze stap bepaalt direct de zwaarte van uw verplichtingen. Het correct indelen van uw AI-systemen is essentieel voor een effectieve compliance-strategie.

Laten we dit verduidelijken met twee veelvoorkomende scenario’s:

Scenario 1: De E-commerce Onderneming
Een webwinkel gebruikt een AI-systeem om klanten gepersonaliseerde productaanbevelingen te tonen op basis van hun browsegeschiedenis. Dit soort systemen valt vrijwel zeker onder de categorie ‘minimaal risico’. De impact van een foute aanbeveling is immers beperkt. De AI Act legt hier geen specifieke verplichtingen voor op, al moedigt de wet wel het volgen van vrijwillige gedragscodes aan.

Scenario 2: De Financiële Instelling
Een bank gebruikt een complex AI-model om de kredietwaardigheid van consumenten te beoordelen. Een beslissing van dit systeem heeft een significante impact op iemands leven. Daarom wordt dit zonder enige twijfel geclassificeerd als een ‘hoog-risico’ AI-systeem.

Voor het hoog-risico systeem van de bank gelden strenge eisen. De bank moet zorgen voor robuust risicomanagement, hoge datakwaliteit, gedetailleerde technische documentatie, transparantie naar de klant en de mogelijkheid tot betekenisvol menselijk toezicht.

Deze twee voorbeelden laten zien waarom die classificatie zo fundamenteel is. Het bepaalt uw volledige routekaart voor compliance.

Uw AI-register praktisch inrichten

Een effectief AI-register is veel meer dan zomaar een lijst met namen van software. Het moet gestructureerde informatie bevatten die u helpt bij het managen van uw compliance. Zorg dat uw register per AI-systeem minimaal de volgende elementen bevat:

Naam en eigenaar: Wie is intern verantwoordelijk voor dit systeem?
Doel van het systeem: Wat doet de AI precies en welk bedrijfsprobleem lost het op?
Leverancier: Is het intern ontwikkeld of door een derde partij geleverd?
Soort data: Welke data wordt gebruikt om het model te trainen en te laten draaien (bijv. persoonsgegevens, geanonimiseerde data)?
Risicoclassificatie: De voorlopige indeling (minimaal, beperkt, hoog, onaanvaardbaar).
Onderbouwing: Een korte notitie waarom u tot deze classificatie bent gekomen.

Door deze inventarisatie en classificatie nu zorgvuldig uit te voeren, legt u een solide basis voor alle volgende stappen. U weet precies waar uw prioriteiten liggen en kunt uw middelen gericht inzetten om te voldoen aan de eisen die de AI Act stelt. Dit is de onmisbare eerste stap op weg naar volledige compliance met de AI Act.

De risico’s van uw AI-systemen analyseren

AI Act: ai-systemen en compliance | Zo bereidt u zich voor 12

U heeft vastgesteld welke AI-systemen binnen uw organisatie als ‘hoog risico’ gelden. Goed, dan begint het echte werk pas. Een diepgaande risicoanalyse is de onmisbare volgende stap. Dit is veel meer dan een vinkje zetten in een checklist; het gaat erom dat u systematisch doorgrondt welke specifieke gevaren uw systeem kan opleveren voor fundamentele rechten, veiligheid en ethische normen.

Deze analyse vormt de absolute kern van uw compliance-strategie voor hoog-risico AI. Het is niet alleen een wettelijke verplichting onder de AI Act, maar ook een cruciale oefening in verantwoord ondernemen. Het doel? Proactief identificeren waar het mis kan gaan, voordat het daadwerkelijk misgaat.

De kerncomponenten van een effectieve analyse

Een robuuste risicoanalyse rust op verschillende pijlers. U moet de volledige levenscyclus van het AI-systeem onder de loep nemen, van de data waarmee het is getraind tot de manier waarop het in de praktijk functioneert en wordt gemonitord.

De centrale vraag die u zichzelf continu moet stellen, is: welke voorzienbare en onvoorzienbare schade kan dit systeem veroorzaken, en voor wie? Om deze vraag te beantwoorden, moet u zich richten op een aantal sleutelgebieden.

Denk bijvoorbeeld aan:

Data en bias: Hoe goed en representatief is uw trainingsdata? Verborgen vooroordelen (bias) kunnen leiden tot discriminerende of oneerlijke uitkomsten.
Robuustheid en betrouwbaarheid: Wat doet het model onder onverwachte omstandigheden of bij een cyberaanval? Een systeem moet stabiel en voorspelbaar blijven, ook buiten de ideale testomgeving.
Menselijk toezicht: Is er een effectief mechanisme voor menselijke interventie? Mensen moeten de beslissingen van het systeem kunnen begrijpen, overrulen of corrigeren.
Transparantie en uitlegbaarheid: Kunt u uitleggen waarom het systeem een bepaalde beslissing neemt? Gebruikers en andere betrokkenen hebben recht op duidelijke informatie.

Opsporen van verborgen vooroordelen in data

Eén van de grootste risico’s van AI is het versterken van bestaande maatschappelijke ongelijkheden. Een AI-systeem is immers zo goed als de data waarmee het wordt gevoed. Als die data historische vooroordelen bevatten, zal het AI-model deze onvermijdelijk overnemen en misschien zelfs versterken.

Stel, een verzekeraar ontwikkelt een AI-model om schadeclaims te beoordelen. Als dit model wordt getraind op historische data waarin claims van mensen uit bepaalde postcodes stelselmatig lager werden ingeschat, dan leert de AI dit patroon en zal het dit herhalen. Het gevolg is discriminatie, zelfs als de intentie van de ontwikkelaars goed was.

Het opsporen van bias vereist een kritische blik op uw datasets. Analyseer de demografische verdeling, zoek naar ondervertegenwoordigde groepen en test het model actief op eerlijkheid over verschillende subgroepen heen. Documenteer dit proces zorgvuldig.

De robuustheid van uw modellen testen

De betrouwbaarheid van een AI-systeem met een hoog risico is geen vanzelfsprekendheid. Het moet bestand zijn tegen technische fouten, onverwachte input en zelfs bewuste pogingen tot manipulatie. De AI Act eist dan ook dat systemen een passend niveau van nauwkeurigheid, robuustheid en cyberbeveiliging hebben.

In de praktijk betekent dit dat u scenario’s moet simuleren die de grenzen van het systeem opzoeken. Wat gebeurt er als een zelfrijdende auto plotseling te maken krijgt met extreme weersomstandigheden die niet in de trainingsdata zaten? Of als een medisch diagnosesysteem scans voorgeschoteld krijgt van een ongebruikelijk type?

Dit zijn geen theoretische vraagstukken. Het zijn concrete risico’s die u moet identificeren, evalueren en beperken. Dit doet u onder meer door:

Stresstests: Geef het systeem bewust afwijkende input om te zien hoe het reageert.
Scenarioanalyse: Werk potentiële faalscenario’s uit en bepaal de impact daarvan.
Beveiligingsaudits: Laat experts zoeken naar kwetsbaarheden in de cyberbeveiliging van het systeem.

Garanderen van betekenisvol menselijk toezicht

Technologie mag nooit de volledige controle overnemen bij beslissingen met een grote impact. De AI Act stelt daarom de eis van betekenisvol menselijk toezicht. Dit is meer dan een vinkje op een formulier; het moet een ingebouwd en effectief onderdeel van het proces zijn.

De persoon die toezicht houdt, moet de capaciteit, de training en de autoriteit hebben om in te grijpen. Hij of zij moet de aanbevelingen van het AI-systeem kunnen begrijpen, kritisch kunnen beoordelen en de uiteindelijke beslissing kunnen nemen of terugdraaien.

De laatste, cruciale stap is het documenteren van uw risicoanalyse. Dit document wordt een essentieel onderdeel van uw technische dossier. Hiermee bewijst u aan toezichthouders dat u uw verantwoordelijkheid serieus neemt. Het laat zien dat u niet alleen voldoet aan de letter van de wet, maar ook bouwt aan een cultuur van verantwoorde AI binnen uw organisatie.

Praktische maatregelen voor AI Act compliance

AI Act: ai-systemen en compliance | Zo bereidt u zich voor 13

De risicoanalyse is klaar. U weet nu precies waar de knelpunten en gevaren van uw hoog-risico AI-systemen zitten. Nu begint het echte werk: de vertaling van analyse naar concrete actie. Compliance met de AI Act is namelijk geen papieren tijger; het vraagt om tastbare technische en organisatorische maatregelen die diep in uw bedrijfsprocessen moeten worden verankerd.

Dit is de fase waar de theorie de praktijk ontmoet. Het gaat om het bouwen van een solide raamwerk dat de betrouwbaarheid, eerlijkheid en transparantie van uw AI waarborgt. En dat is meer dan alleen een IT-opgave; het is een uitdaging die de hele organisatie aangaat.

Datakwaliteit en governance implementeren

De kwaliteit van een AI-systeem staat of valt met de data waarmee het wordt getraind. “Garbage in, garbage out” is hier meer dan een cliché. De AI Act stelt dan ook strenge eisen aan de kwaliteit en het beheer van trainings-, validatie- en testgegevens. Dit is cruciaal om te voorkomen dat modellen worden gebouwd op een wankel fundament van vooroordelen en onnauwkeurigheden.

U zult dus procedures moeten ontwikkelen voor het beheren van deze datasets. Denk hierbij aan:

Dataverwerking: Stel heldere protocollen op voor hoe data wordt verzameld, gelabeld en opgeschoond. Het is van groot belang dat u elke stap in dit proces zorgvuldig documenteert.
Representativiteit: Zorg ervoor dat uw datasets een getrouwe afspiegeling zijn van de doelgroep. Dit is de beste manier om het risico op discriminatie en onbedoelde uitsluiting te verkleinen.
Biasdetectie: Implementeer tools en technieken om actief op zoek te gaan naar verborgen vooroordelen in uw data, nog voordat deze wordt gebruikt om een model te trainen.

In Nederland groeit het besef dat een gestructureerde aanpak onmisbaar is. Diverse praktische gidsen hameren op een stapsgewijze aanpak: vaststellen of iets AI is, de eisen inventariseren, risicomaatregelen doorvoeren en alles documenteren. Deze methodische aanpak helpt organisaties om sancties en reputatieschade te vermijden door AI veilig en ethisch in te zetten.

Robuuste testprocedures en technische documentatie

Een AI-systeem kan in een gecontroleerde labomgeving perfect functioneren, maar in de onvoorspelbare praktijk heel anders reageren. Daarom zijn uitgebreide en realistische testprocedures onmisbaar. U moet kunnen aantonen dat uw systeem accuraat en betrouwbaar is, en bovendien bestand is tegen fouten of bewuste manipulatie.

Tegelijkertijd moet u een gedetailleerd technisch dossier bijhouden. Dit document is de ruggengraat van uw compliance. Het moet alle informatie bevatten die een toezichthouder nodig heeft om de conformiteit van uw systeem te beoordelen.

Dit dossier omvat onder meer:

Een algemene beschrijving van het AI-systeem, inclusief het beoogde doel.
De methodologieën die zijn gebruikt voor de ontwikkeling en validatie.
Informatie over de gebruikte datasets en het databeleid.
De resultaten van de risicoanalyse en de genomen maatregelen.
Instructies voor de gebruiker en details over het menselijk toezicht.
Een beschrijving van het kwaliteitsmanagementsysteem.

Deze documentatie is geen formaliteit. Het is het bewijs dat u uw verantwoordelijkheid serieus neemt en stelt toezichthouders in staat om uw systeem effectief te controleren. Bewaar dit dossier voor een periode van minimaal 10 jaar nadat het systeem op de markt is gebracht.

Een casestudy uit de logistiek

Stel u een groot logistiek bedrijf voor, ‘LogiRoute’, dat een hoog-risico AI-systeem gebruikt voor de dynamische routeplanning van zijn vrachtwagens. Het systeem optimaliseert niet alleen de reistijd en het brandstofverbruik, maar houdt ook rekening met de rij- en rusttijdenwetgeving, wat de veiligheid direct beïnvloedt.

LogiRoute neemt de volgende concrete stappen om aan de AI Act te voldoen:

Transparantie voor de chauffeurs: Chauffeurs krijgen via een app inzicht in hoe hun route is berekend. Ze zien de belangrijkste variabelen (verkeer, wegwerkzaamheden, rusttijden) en begrijpen waarom het systeem een bepaalde keuze maakt.
Protocol voor menselijke interventie: Elke chauffeur kan met één druk op de knop een routevoorstel weigeren en direct contact opnemen met een menselijke planner. Dit is essentieel voor onverwachte situaties, zoals een plotselinge wegafsluiting of een onveilig gevoel bij een voorgestelde route.
Automatische logging: Het systeem legt automatisch alle beslissingen, de onderliggende data en elke menselijke interventie vast. Deze logs zijn cruciaal voor audits en het analyseren van eventuele incidenten.

Dit voorbeeld laat goed zien hoe technische maatregelen (logging, een transparante interface) en organisatorische protocollen (menselijke interventie) hand in hand gaan om een betrouwbaar en compliant AI-systeem te bouwen.

Organisatorische verankering

Technologie alleen is niet genoeg. Echte compliance moet leven binnen de organisatie. Dit begint met het toewijzen van duidelijke verantwoordelijkheden. Wie is de eigenaar van het AI-register? Wie voert de risicoanalyses uit en wie houdt de systemen in de gaten zodra ze live zijn?

Daarnaast is training van medewerkers cruciaal. Iedereen die met hoog-risico AI werkt, van datawetenschappers tot eindgebruikers, moet de risico’s begrijpen en weten hoe te handelen. Deze AI-geletterdheid is een verplichting onder de AI Act en vormt de basis van een duurzame cultuur van verantwoorde AI. Het is de sleutel tot het succesvol navigeren door de vereisten van de AI Act en het waarborgen van compliance.

Een duurzaam governance- en monitoringkader opzetten

Voldoen aan de AI Act is geen project met een begin- en einddatum; het is een doorlopend proces. AI-modellen evolueren, datasets worden continu bijgewerkt en de risico’s van gisteren zijn niet per se die van morgen. Een solide governance- en monitoringkader is daarom de enige manier om duurzame compliance te garanderen.

Een AI-systeem implementeren is slechts de eerste stap. De échte uitdaging ligt in het bewaken van de prestaties en risico’s nadat het systeem in gebruik is genomen. Dit vraagt om een proactieve houding, in plaats van te wachten tot er een incident plaatsvindt.

De noodzaak van continue monitoring

Een AI-systeem dat vandaag perfect presteert, kan morgen al afwijken. Dit fenomeen, bekend als model-drift, treedt op wanneer de data uit de echte wereld niet meer overeenkomen met de data waarop het model is getraind. Zonder actieve monitoring merkt u dit pas als het te laat is.

Continue monitoring stelt u in staat om:

Prestaties te meten: Voldoet het systeem nog aan de vastgestelde nauwkeurigheids- en betrouwbaarheidsnormen?
Bias te detecteren: Sluipen er nieuwe, onbedoelde vooroordelen in de beslissingen van het systeem?
Onverwacht gedrag op te sporen: Doet het model iets wat niet was voorzien, bijvoorbeeld in reactie op nieuwe soorten input?

Door deze elementen voortdurend in de gaten te houden, kunt u tijdig ingrijpen, het model bijsturen of de risicoanalyse herzien.

Het doel van monitoring is niet alleen om problemen te vinden, maar ook om te bewijzen dat uw systeem consistent en verantwoord blijft functioneren. Deze data zijn van onschatbare waarde bij een eventuele inspectie door een toezichthouder.

Een heldere governancestructuur met duidelijke rollen

Een effectief kader rust op een duidelijke governancestructuur. Medewerkers moeten precies weten wie waarvoor verantwoordelijk is. Zonder heldere rollen en verantwoordelijkheden wordt compliance een niemandsland.

Wijs specifieke personen of teams aan voor sleuteltaken:

AI-systeem eigenaar: De eindverantwoordelijke voor de prestaties, risico’s en compliance van een specifiek systeem.
Monitoringteam: Verantwoordelijk voor de dagelijkse controle van de systeemprestaties en het signaleren van afwijkingen.
Incident Response Team: Een team dat direct in actie komt bij ernstige incidenten, zoals een datalek of een geval van duidelijke discriminatie.

Door deze rollen formeel vast te leggen, verankert u AI-compliance in de haarvaten van uw organisatie. Het wordt een onderdeel van de dagelijkse operatie in plaats van een losstaand project.

Periodieke audits en het bijhouden van de risicoanalyse

Uw risicoanalyse is geen statisch document. Het moet een levend document zijn dat u periodiek herziet en bijwerkt. Plan daarom vaste momenten in voor interne audits van uw hoog-risico AI-systemen, bijvoorbeeld halfjaarlijks of jaarlijks.

Tijdens zo’n audit stelt u vragen als:

Is het doel van het AI-systeem veranderd?
Gebruiken we nieuwe soorten data?
Zijn er maatschappelijke of juridische ontwikkelingen die nieuwe risico’s introduceren?

Leg elk incident, hoe klein ook, vast in een centraal logboek. Deze registratie helpt u niet alleen om patronen te herkennen, maar is ook verplicht onder de AI Act. Het toont aan dat u leert van fouten en proactief maatregelen neemt.

Voorbereiden op inspecties door toezichthouders

De implementatie van de AI Act vereist dat lidstaten nationale autoriteiten aanwijzen voor toezicht. Nederland behoort tot de landen die deze instanties tijdig hebben ingesteld, wat de rechtszekerheid voor bedrijven vergroot. Deze toezichthouders spelen een cruciale rol bij het monitoren van AI-toepassingen en het behandelen van klachten over privacy en discriminatie.

De onderstaande afbeelding toont een overzicht van de voortgang van de implementatieplannen per land.

Deze kaart laat zien welke landen vooroplopen met het aanwijzen van toezichthoudende autoriteiten, wat aangeeft dat handhaving een serieuze prioriteit is.

Een goede voorbereiding op een mogelijke inspectie betekent dat u uw documentatie altijd op orde heeft. Zorg dat uw AI-register, risicoanalyses, technische documentatie en incidentenlogs direct beschikbaar zijn. Een proactieve en transparante houding naar toezichthouders toe is de beste strategie. Het laat zien dat u uw verantwoordelijkheid voor AI-systemen en compliance serieus neemt en bouwt aan een cultuur van vertrouwen.

Vaak gehoorde vragen over de AI Act

Dat de AI Act vragen oproept, is logisch. Het is complexe wetgeving die een snel veranderende technologie moet reguleren. Veel organisaties worstelen dan ook met onduidelijkheid. Daarom behandelen we hieronder een paar van de meest prangende vragen die wij in de praktijk horen, zodat u met meer zekerheid aan de slag kunt.

Dit zijn de vragen die ondernemers en managers ons het vaakst stellen, voorzien van een praktisch antwoord.

Valt elk stukje ‘slimme’ software direct onder de AI Act?

Nee, gelukkig niet. De AI Act hanteert een hele specifieke definitie van wat een AI-systeem is. Het gaat om systemen die op basis van input – of die nu van een machine of een mens komt – kunnen afleiden hoe ze een doel moeten bereiken. Dat doen ze door voorspellingen, aanbevelingen of beslissingen te maken die invloed hebben op een fysieke of virtuele omgeving.

Een simpel ‘als-dit-dan-dat’-script in een spreadsheet is dus géén AI volgens de wet. Een geavanceerd machine learning-model dat kredietrisico’s analyseert, is dat zonder twijfel wél. Het is dus zaak om deze definitie als meetlat te gebruiken wanneer u uw systemen inventariseert.

Wij kopen onze AI in bij een externe leverancier. Wie is dan de klos?

Een hele belangrijke vraag. De AI Act wijst verantwoordelijkheden toe aan verschillende spelers in de keten: de aanbieder (de ontwikkelaar) en de gebruiker (uw organisatie). Hoewel de aanbieder moet zorgen dat het systeem technisch voldoet aan alle eisen, zoals documentatie en robuustheid, bent u als gebruiker zeker niet van uw plichten verlost.

U moet er bijvoorbeeld zelf voor zorgen dat u:

Het systeem gebruikt zoals de aanbieder heeft voorgeschreven.
Betekenisvol menselijk toezicht organiseert.
De logs die het systeem aanmaakt, netjes bewaart.
Een eigen risicoanalyse uitvoert, specifiek voor de manier waarop ú het systeem inzet.

U kunt de eindverantwoordelijkheid dus nooit volledig afschuiven. Het is uw taak om te controleren of de leverancier zijn huiswerk heeft gedaan én om zelf de nodige maatregelen te treffen voor verantwoord gebruik binnen uw eigen processen.

Wat als we nu al een hoog-risico AI-systeem gebruiken?

Voor systemen die al vóór augustus 2026 op de markt waren en in gebruik zijn, geldt een overgangsregeling. Maar let op: als zo’n systeem na die datum een ‘significante wijziging’ ondergaat, moet het alsnog volledig voldoen aan de eisen van de AI Act.

Wat is dan een significante wijziging? Denk aan een update die het doel van de AI verandert of de prestaties drastisch beïnvloedt. Het is dus cruciaal om de levenscyclus van uw bestaande systemen scherp in de gaten te houden en te weten wanneer volledige compliance onvermijdelijk wordt.

Zit er ook een voordeel aan die AI Act, of is het alleen maar gedoe?

Absoluut. Hoewel de nadruk vaak ligt op de verplichtingen, zijn er duidelijke kansen. Door aan de wet te voldoen, bouwt u aantoonbaar aan betrouwbare en ethische AI. Dat is geen klein bier; het versterkt direct het vertrouwen van uw klanten, partners en medewerkers.

Organisaties die hun AI-systemen en compliance op orde hebben, kunnen dit inzetten als een krachtig verkoopargument. Het toont aan dat u vooroploopt in verantwoord ondernemen en de risico’s van AI serieus neemt. In een markt waar vertrouwen een steeds schaarser goed wordt, kan dat een doorslaggevend concurrentievoordeel zijn. U investeert dus niet alleen in compliance, maar ook in uw reputatie.

featured-image-68a21ba0-f467-49d3-9c38-dc91f29bdac0.jpg

Nieuws

september 15, 2025

De AI Act: Wat betekent de nieuwe Europese wetgeving voor uw bedrijf?

De AI Act is geen vage richtlijn of een papieren tijger. Het is een concrete Europese wet met keiharde deadlines en serieuze financiële gevolgen. De kern van deze nieuwe wetgeving is een aanpak op basis van risico’s. Die bepaalt precies welke verplichtingen voor jouw bedrijf gelden, variërend van totale verboden tot strikte transparantie-eisen. Een ding is zeker: proactief voorbereiden is essentieel om straks aan alles te voldoen en torenhoge boetes te vermijden.

Uw bedrijf en de nieuwe Europese AI wetgeving

De vraag “wat betekent de nieuwe Europese AI-wetgeving voor mijn bedrijf?” houdt veel ondernemers bezig. En terecht. Deze wet is namelijk geen vrijblijvende aanbeveling; het is een bindende verordening die de manier waarop bedrijven in de EU kunstmatige intelligentie ontwikkelen, inkopen en gebruiken fundamenteel gaat veranderen. Het doel is tweeledig: innovatie aanjagen en tegelijkertijd de grondrechten en veiligheid van burgers beschermen.

De AI Act: Wat betekent de nieuwe Europese wetgeving voor uw bedrijf? 20

De kern: een risicogebaseerde aanpak

Je kunt de AI Act het beste zien als een soort verkeerslicht. De wet deelt AI-systemen namelijk in vier risiconiveaus in, en die kleur bepaalt hoe streng de regels zijn.

Onaanvaardbaar risico (rood licht): Deze AI-systemen zijn ronduit gevaarlijk en worden volledig verboden. Denk hierbij aan social scoring door overheden of manipulatieve technieken die mensen schade kunnen toebrengen.
Hoog risico (oranje licht): Dit zijn systemen die een flinke impact kunnen hebben op onze veiligheid of grondrechten. Denk aan AI in medische apparatuur, in zelfrijdende auto’s of in wervingssoftware die beslist over iemands carrière. Deze systemen zijn toegestaan, maar moeten wel voldoen aan een waslijst met strenge eisen.
Beperkt risico (groen licht met voorwaarden): Hier draait alles om transparantie. Gebruikers moeten simpelweg weten dat ze met een AI te maken hebben. Een chatbot is het klassieke voorbeeld.
Minimaal risico (groen licht): De overgrote meerderheid van de AI-toepassingen valt gelukkig in deze categorie. Denk aan spamfilters of de AI in je favoriete videogame. Hiervoor gelden geen extra verplichtingen.

Voor jou als ondernemer betekent dit dat je eerst moet inventariseren welke AI je gebruikt en in welke risicocategorie die valt. De AI Act biedt een duidelijk kader voor het verantwoorde gebruik van AI tools voor ondernemers, wat zowel uitdagingen als kansen met zich meebrengt.

Waarom je nu al in actie moet komen

De AI-verordening, beter bekend als de AI Act, wordt stapsgewijs ingevoerd. Maar vergis je niet: de eerste regels zijn al van kracht. Dit is geen verre toekomstmuziek meer.

Hieronder vind je een overzicht van de cruciale deadlines die Nederlandse bedrijven moeten kennen voor de gefaseerde invoering van de AI Act.

Belangrijke data in de implementatie van de AI Act

Datum	Wat treedt in werking?	Impact voor bedrijven
Augustus 2024	Verbod op AI-systemen met een onaanvaardbaar risico.	Bedrijven moeten stoppen met het gebruik van verboden AI-toepassingen, zoals social scoring of manipulatieve technieken.
Mei 2025	Regels voor General-Purpose AI (GPAI) modellen.	Ontwikkelaars van basismodellen (zoals GPT) moeten voldoen aan transparantie-eisen en technische documentatie leveren.
Augustus 2026	Volledige regels voor AI-systemen met een hoog risico.	Dit is de grootste stap. Systemen in kritieke sectoren moeten nu volledig compliant zijn met alle strenge eisen.
Augustus 2027	Volledige inwerkingtreding van de AI Act.	De wet is nu volledig van toepassing, inclusief de regels voor systemen met een beperkt en minimaal risico.

Zoals je ziet, is de implementatie al begonnen. Wachten is dus geen optie.

Het negeren van de AI Act kan je duur komen te staan. De boetes kunnen oplopen tot €35 miljoen of 7% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is.

Vooruitkijken en voorbereiden is dus cruciaal. Bedrijven die nu al investeren in ‘Trustworthy AI’ voldoen niet alleen aan de wet, maar bouwen ook aan een enorm concurrentievoordeel: het vertrouwen van hun klanten.

De vier risiconiveaus van AI-systemen uitgelegd

De AI Act is geen alles-of-nietswet. Gelukkig maar, want de wetgevers snappen heel goed dat een simpele spamfilter niet aan dezelfde strenge regels hoeft te voldoen als een AI die medische diagnoses stelt. De kern van de wet is dan ook een slimme, risicogebaseerde aanpak. AI-systemen worden ingedeeld in vier categorieën, van onaanvaardbaar tot minimaal risico, en de regels worden strenger naarmate het risico voor mens en maatschappij toeneemt.

De AI Act: Wat betekent de nieuwe Europese wetgeving voor uw bedrijf? 21

Voor u als ondernemer is het cruciaal om te weten in welke categorie uw AI-toepassingen vallen. Dit bepaalt namelijk direct wat de nieuwe Europese wetgeving voor uw bedrijf betekent en welke stappen u moet ondernemen.

Niveau 1: Onaanvaardbaar risico

Dit is de zwaarste categorie. AI-systemen die hierin vallen, worden gezien als een directe bedreiging voor onze fundamentele rechten en veiligheid. De wet is hier glashelder over: deze systemen zijn simpelweg verboden in de Europese Unie. Het gaat hierbij om toepassingen die we als maatschappij ongewenst vinden.

Denk bijvoorbeeld aan:

Social scoring door overheden: Systemen die burgers een score geven op basis van hun gedrag, wat kan leiden tot uitsluiting of benadeling.
Manipulatieve AI: Technologie die ontworpen is om het gedrag van mensen onbewust te beïnvloeden en hen te verleiden tot schadelijke beslissingen.
Realtime biometrische identificatie op afstand: Het op grote schaal gebruiken van gezichtsherkenning in openbare ruimtes door opsporingsdiensten, met slechts enkele zeer strikt omschreven uitzonderingen.

Voor uw bedrijf betekent dit dat u deze technologieën absoluut niet mag ontwikkelen, gebruiken of op de markt mag brengen. Doen alsof uw neus bloedt is geen optie.

Niveau 2: Hoog risico

Dit is de categorie die de meeste aandacht en inspanning zal vragen van bedrijven. Hoog-risico AI-systemen zijn niet verboden, maar moeten wél voldoen aan een zeer uitgebreid pakket van strenge regels. Dit zijn systemen die een aanzienlijke impact kunnen hebben op iemands leven, veiligheid of kansen.

De AI Act wijst specifieke domeinen aan waar AI-toepassingen vaak als hoog risico worden gezien:

Producten die al onder EU-veiligheidswetgeving vallen: Denk aan AI als veiligheidscomponent in medische hulpmiddelen, liften of auto’s.
Systemen met impact op grondrechten: Dit is een brede groep, met toepassingen zoals AI voor werving en selectie, het toekennen van kredieten, toegang tot onderwijs of het beoordelen van bewijs in de rechtspraak.

Zet uw bedrijf AI in om bijvoorbeeld cv’s te filteren of de kredietwaardigheid van een klant te bepalen? Dan is de kans groot dat dit onder de hoog-risicocategorie valt. Dit brengt zware verplichtingen met zich mee op het gebied van risicomanagement, datakwaliteit, transparantie, menselijk toezicht en cybersecurity.

Niveau 3: Beperkt risico

Voor deze categorie draait alles om één kernbegrip: transparantie. De risico’s zijn hier niet zozeer fysiek of financieel, maar liggen meer op het vlak van misleiding. Gebruikers moeten gewoon weten wanneer ze met een AI-systeem te maken hebben, zodat ze zelf een geïnformeerde keuze kunnen maken.

De regels voor beperkt risico zijn relatief eenvoudig en vooral gericht op voorlichting.

Chatbots: Als uw website een chatbot gebruikt, moet u duidelijk maken dat de gebruiker met een AI praat en niet met een mens.
Deepfakes: Alle door AI gemaakte of bewerkte audio, video of afbeeldingen (deepfakes) moeten een duidelijk label krijgen. Zo wordt voorkomen dat mensen worden misleid door gemanipuleerde content.

De verplichtingen zijn hier dus niet zo ingrijpend als bij hoog-risico systemen, maar negeer ze niet. Het kan u alsnog op boetes en reputatieschade komen te staan.

Niveau 4: Minimaal of geen risico

Dit is de grootste en meest voorkomende categorie. Het goede nieuws is dat de overgrote meerderheid van de AI-toepassingen die vandaag de dag in gebruik zijn, hieronder valt. Voor deze systemen brengt de AI Act geen nieuwe wettelijke verplichtingen met zich mee.

Voorbeelden van minimaal risico AI zijn:

Spamfilters in uw e-mailprogramma
Aanbevelingssystemen in webshops of bij streamingdiensten
AI die wordt gebruikt in videogames

Bedrijven die deze systemen gebruiken of ontwikkelen, kunnen opgelucht ademhalen. Hoewel er geen harde verplichtingen zijn, moedigt de EU wel het gebruik van vrijwillige gedragscodes aan om ook hier betrouwbaarheid en ethiek te waarborgen. Deze aanpak zorgt ervoor dat de wet innovatie niet onnodig in de weg staat.

Om de verschillen nog duidelijker te maken, hebben we de vier categorieën hieronder voor u naast elkaar gezet.

Vergelijking van de risicocategorieën in de AI Act

Risiconiveau	Voorbeelden van AI-systemen	Belangrijkste verplichtingen
Onaanvaardbaar	Social scoring, manipulatieve AI, real-time biometrische identificatie (met uitzonderingen).	Volledig verboden. Ontwikkeling, gebruik en verkoop zijn niet toegestaan in de EU.
Hoog	AI in medische apparatuur, werving & selectie, kredietbeoordeling, rechtspraak.	Strenge eisen voor risicomanagement, datakwaliteit, transparantie, menselijk toezicht en cybersecurity.
Beperkt	Chatbots, deepfakes, AI-gegenereerde content.	Transparantieverplichting: gebruikers moeten weten dat ze interactie hebben met AI of naar AI-content kijken.
Minimaal	Spamfilters, aanbevelingssystemen, AI in videogames.	Geen wettelijke verplichtingen. Vrijwillige gedragscodes worden aangemoedigd.

Deze tabel laat goed zien hoe de AI Act een genuanceerde benadering kiest. De zwaarste lasten komen te liggen bij de toepassingen met de grootste potentiële impact, terwijl innovatie in minder risicovolle domeinen vrij spel krijgt. Het is aan u om te bepalen waar uw systemen passen.

De praktische verplichtingen voor hoog-risico AI

Wanneer een AI-systeem van uw bedrijf in de categorie ‘hoog risico’ valt, krijgt u te maken met de strengste regels uit de AI Act. Dit is niet voor niets de categorie waar de wetgever de meeste aandacht aan besteedt. Deze systemen kunnen namelijk een flinke impact hebben op de veiligheid, gezondheid en de fundamentele rechten van mensen. Het zal u dan ook niet verbazen dat de verplichtingen hier het meest ingrijpend zijn.

De AI Act: Wat betekent de nieuwe Europese wetgeving voor uw bedrijf? 22

Voor bedrijven die met hoog-risico AI werken, vertaalt de wet zich in een reeks concrete en verplichte acties. Deze eisen zijn er niet zomaar; ze zijn ontworpen om robuustheid, transparantie en betrouwbaarheid te garanderen, en dat gedurende de hele levenscyclus van het systeem.

Het is belangrijk te beseffen dat het niet naleven van deze regels geen optie is. De boetes kunnen fors zijn, maar de reputatieschade is misschien nog wel groter. Zie deze verplichtingen daarom niet als een afvinklijstje, maar als een fundamenteel onderdeel van uw productontwikkeling en de dagelijkse gang van zaken.

Een risicomanagementsysteem opzetten

De eerste en misschien wel belangrijkste verplichting is het opzetten van een doorlopend risicomanagementsysteem. Dit is dus geen eenmalige analyse die u uitvoert en vervolgens in een la stopt. Het is een continu proces, dat al begint in de ontwerpfase en doorloopt tot het moment dat het systeem weer van de markt verdwijnt.

Wat wordt er concreet van u verwacht?

Risico’s identificeren: Breng alle redelijkerwijs te voorziene risico’s in kaart die het AI-systeem kan opleveren voor gezondheid, veiligheid of grondrechten.
Risico’s analyseren en evalueren: Schat in hoe waarschijnlijk het is dat deze risico’s zich voordoen en wat de ernst van de gevolgen is.
Risico’s beheersen: Neem maatregelen om de geïdentificeerde risico’s weg te nemen of in ieder geval te beperken. Resterende risico’s moeten duidelijk aan de gebruiker worden gecommuniceerd.

Nederland is een van de meest geavanceerde AI-markten in Europa. Ongeveer 30% van de Nederlandse bedrijven gebruikt al een vorm van AI. Door de AI Act moeten deze bedrijven hun risicobeoordelingen flink opschroeven. Naar schatting valt namelijk zo’n 15% van hun AI-systemen in de categorie ‘hoog risico’, denk bijvoorbeeld aan AI in medische apparatuur.

Het technisch paspoort van uw AI

Een andere cruciale eis is het bijhouden van gedetailleerde technische documentatie. U kunt dit het beste zien als het ‘technisch paspoort’ van uw AI-systeem. Met dit document moet u kunnen aantonen dat het systeem aan alle eisen van de AI Act voldoet. Toezichthouders kunnen dit paspoort opvragen.

Dit ‘paspoort’ is geen marketingbrochure. Het moet diepgaande informatie bevatten over het ontwerp, de ontwikkeling en de prestaties van het systeem. Het is het bewijs dat u uw huiswerk heeft gedaan.

Wat moet er minimaal in dit paspoort staan?

Algemene beschrijving: Het beoogde doel, de capaciteiten en de beperkingen van het AI-systeem.
Data en governance: Gedetailleerde informatie over de gebruikte trainings-, validatie- en testdatasets. Denk aan de herkomst en de maatregelen om bias te voorkomen.
Menselijk toezicht: Een beschrijving van de maatregelen die u heeft genomen om effectief menselijk toezicht mogelijk te maken.
Robuustheid en cybersecurity: Informatie over de technische oplossingen die zijn ingebouwd om het systeem accuraat, robuust en veilig te houden.

Conformiteit en registratie in de EU-database

Voordat een hoog-risico AI-systeem de markt op mag, moet het een conformiteitsbeoordeling ondergaan. Dit proces controleert of het systeem daadwerkelijk voldoet aan alle wettelijke eisen. In veel gevallen moet een onafhankelijke, door de overheid aangewezen instantie (een zogeheten ‘notified body’) dit uitvoeren.

Als het systeem de test doorstaat, moet u als ontwikkelaar een EU-conformiteitsverklaring opstellen en de CE-markering aanbrengen. Dit is hetzelfde keurmerk dat u kent van veel andere producten en toont aan dat het product voldoet aan de Europese veiligheidsnormen.

Tot slot is er nog een belangrijke stap: registratie in een openbare EU-database. Dit is een nieuwe verplichting, specifiek voor hoog-risico AI. Door deze registratie wordt het voor toezichthouders, maar ook voor het publiek, inzichtelijk welke hoog-risico AI-systemen er op de Europese markt zijn. Dit vergroot de controle en het vertrouwen in de technologie, wat precies de bedoeling is van de AI Act. Het betekent ook dat de nieuwe Europese wetgeving voor uw bedrijf extra transparantieverplichtingen met zich meebrengt.

De regels voor General Purpose AI modellen zoals GPT

Modellen als GPT-4 of Gemini van Google zijn geen gewone AI-systemen. Je kunt ze beter zien als de krachtige motoren die talloze andere AI-toepassingen aandrijven. De AI Act erkent die unieke positie en heeft daarom specifieke regels opgesteld voor deze zogeheten General Purpose AI (GPAI) modellen. Deze ‘algemene’ modellen kun je dan ook voor van alles en nog wat inzetten, van het schrijven van een blog tot het analyseren van complexe datasets.

Omdat deze modellen de basis vormen voor een heel ecosysteem aan AI-diensten, legt de wet de verantwoordelijkheid deels bij de ontwikkelaars. Dat is een belangrijke verschuiving. Niet alleen de eindgebruiker, maar juist ook de maker van de onderliggende technologie krijgt verplichtingen. Dit raakt direct de kern van de vraag “wat betekent de nieuwe Europese wetgeving voor uw bedrijf?”, zeker als u tools gebruikt die op dit soort technologie zijn gebouwd.

De AI Act: Wat betekent de nieuwe Europese wetgeving voor uw bedrijf? 23

Basisverplichtingen voor alle GPAI modellen

Elk GPAI-model dat op de Europese markt komt, moet aan een aantal basisverplichtingen voldoen. Die zijn vooral gericht op transparantie en documentatie. De gedachte hierachter is simpel: bedrijven die deze modellen in hun eigen producten willen integreren, moeten precies weten wat ze in huis halen.

De belangrijkste verplichtingen voor de ontwikkelaars op een rij:

Technische documentatie: Ze moeten gedetailleerd bijhouden hoe het model is getraind en getest. Denk aan informatie over de gebruikte architecturen en trainingsprocessen.
Informatie voor downstream providers: Ontwikkelaars moeten duidelijke instructies geven aan de bedrijven die hun GPAI-model gebruiken om zelf een AI-systeem te bouwen. Zo kunnen die bedrijven op hun beurt ook weer aan de AI Act voldoen.
Beleid voor auteursrecht: Ze moeten een beleid opstellen waaruit blijkt dat ze het Europese auteursrecht respecteren, vooral als het gaat om de data waarmee het model is getraind.
Gedetailleerde samenvatting trainingsdata: Er moet een uitgebreide samenvatting online komen van de content die is gebruikt voor de training. Dit geeft inzicht in mogelijke bronnen van vooroordelen of andere risico’s.

Deze regels zorgen ervoor dat de hele keten, van ontwikkelaar tot eindgebruiker, beter geïnformeerd is en meer verantwoordelijkheid draagt.

Extra strenge eisen voor modellen met een systemisch risico

De AI Act maakt een belangrijk onderscheid, want niet alle GPAI-modellen zijn gelijk. Sommige modellen zijn zo krachtig en worden zo breed ingezet dat ze een systemisch risico voor de samenleving kunnen vormen. Denk aan de meest geavanceerde modellen die miljoenen mensen gebruiken en die een enorme impact kunnen hebben op de publieke opinie of veiligheid.

Een GPAI-model wordt gezien als een systemisch risico als de totale rekenkracht die voor de training is gebruikt boven de drempel van 10^25 FLOPs (floating-point operations) uitkomt. Dit is een technische maatstaf voor extreem hoge computerkracht.

Voor deze ‘zwaargewichten’ gelden, bovenop de basisregels, nog extra strenge eisen.

Zij moeten onder meer:

Uitgebreide model-evaluaties uitvoeren om risico’s op te sporen en te beperken.
Adversarial testing doen, waarbij het model wordt getest tegen vijandige aanvallen om kwetsbaarheden te vinden.
Ernstige incidenten melden bij de Europese Commissie en relevante nationale autoriteiten.
Cybersecurity-audits laten uitvoeren om te garanderen dat het model en de infrastructuur goed beveiligd zijn.

Deze extra controlelaag is bedoeld om de potentieel grootste risico’s in te dammen die uit de meest invloedrijke AI-technologieën kunnen voortkomen. Voor uw bedrijf betekent dit dat wanneer u zo’n krachtig model integreert, u kunt vertrouwen op een hoger niveau van controle en veiligheid bij de bron.

Een stappenplan om uw bedrijf voor te bereiden

De AI Act kan op het eerste gezicht wat overweldigend lijken. Toch is compliance met een gestructureerde aanpak een haalbaar doel, en geen onbeklimbare berg. Wachten is in ieder geval geen optie meer; de klok tikt en proactief handelen is de enige manier om risico’s te beheersen en straks boetes te vermijden. Dit concrete stappenplan helpt u de theorie om te zetten naar de praktijk.

Zie dit traject niet als een bureaucratische horde, maar als een strategische kans. Door nu de juiste stappen te zetten, bouwt u niet alleen aan compliance, maar ook aan vertrouwen bij uw klanten. U legt een solide, verantwoorde basis voor toekomstige innovatie.

Stap 1 Inventariseer al uw AI-systemen

De allereerste, cruciale stap: weten waar u precies mee werkt. U kunt de impact van de nieuwe Europese wetgeving pas bepalen als u een compleet beeld heeft van alle AI-toepassingen binnen uw organisatie. En dat zijn er vaak meer dan u denkt.

Begin met het opzetten van een AI-register. Dit is een levend document waarin u alle AI-systemen vastlegt. Denk hierbij aan:

Zelf ontwikkelde AI: Algoritmes en modellen die uw eigen teams hebben gebouwd, of het nu voor interne processen is of voor producten die de klant gebruikt.
Ingekochte AI: Software van derde partijen waar AI in verwerkt zit. Dit kan van alles zijn, van een geavanceerd CRM-systeem met voorspellende analyses tot wervingstools die cv’s screenen.
Geïntegreerde componenten: AI-modules of API’s (zoals die van OpenAI of Google) die u in uw eigen applicaties hebt ingebouwd.

Een veelgemaakte fout is het vergeten van ‘verborgen’ AI in standaard softwarepakketten. Een modern marketing automation platform of een geavanceerde tool voor klantenservice maakt bijna altijd gebruik van AI. Vraag dit actief na bij uw leveranciers.

Stap 2 Classificeer elk systeem op risiconiveau

Zodra het overzicht compleet is, volgt de volgende stap. U gaat elk systeem indelen volgens de risicopiramide van de AI Act. Dit vormt de kern van uw compliance-strategie, want de classificatie bepaalt direct welke verplichtingen voor welk systeem gelden.

Stel uzelf voor elk systeem de volgende vragen:

Is het systeem verboden (onaanvaardbaar risico)? Controleer of uw toepassing valt onder de verboden categorieën, zoals social scoring.
Is het een hoog-risico systeem? Bekijk of het systeem wordt ingezet in een van de in de wet genoemde hoog-risico domeinen, zoals HR, kredietverlening of medische toepassingen.
Heeft het een beperkt risico? Gaat het om een chatbot of een systeem dat deepfakes genereert? Dan gelden er specifieke transparantie-eisen.
Is het risico minimaal? Als het systeem niet in een van de bovenstaande categorieën past, valt het waarschijnlijk hieronder en zijn er geen specifieke verplichtingen.

Documenteer uw classificatie en, minstens zo belangrijk, uw onderbouwing. Deze documentatie is essentieel om aan toezichthouders te kunnen laten zien dat u een zorgvuldige afweging heeft gemaakt.

Stap 3 Voer een gap-analyse uit

Met de inventarisatie en classificatie in de hand kunt u nu een ‘gap-analyse’ uitvoeren. Dit betekent simpelweg dat u per systeem de wettelijke vereisten afzet tegen uw huidige situatie. Zo identificeert u de ‘gaten’ tussen wat de wet eist en wat uw bedrijf nu doet.

Leg de focus hierbij vooral op uw hoog-risico systemen, want daar zijn de eisen het strengst. Kijk naar concrete aspecten:

Documentatie: Heeft u de vereiste technische documentatie en een soort ‘technisch paspoort’ voor uw hoog-risico AI?
Risicomanagement: Is er een formeel en doorlopend proces om risico’s te identificeren en te beheren?
Data governance: Voldoen de gebruikte datasets aan de kwaliteitseisen? Is er een proces om bias te minimaliseren?
Menselijk toezicht: Zijn er duidelijke procedures en mechanismen voor effectief menselijk toezicht?

Wees eerlijk en kritisch in deze fase. Het doel is niet om aan te tonen dat u alles al perfect op orde heeft, maar om precies te weten waar de werkpunten liggen.

Stap 4 Maak een concreet actieplan

De laatste stap is het vertalen van de gevonden ‘gaten’ naar een concreet en geprioriteerd actieplan. Dit wordt uw routekaart naar volledige compliance met de AI Act. Wijs voor elke actie een duidelijke eigenaar en een realistische deadline aan.

Een goed actieplan zou de volgende elementen moeten bevatten:

Een AI-verantwoordelijke aanstellen: Wijs een persoon of team aan die het overzicht houdt en de implementatie coördineert.
Processen opzetten: Ontwikkel de benodigde processen voor risicomanagement, documentatie en monitoring nadat een systeem in gebruik is genomen.
Medewerkers trainen: Zorg ervoor dat de relevante teams, van ontwikkelaars tot juridische experts, op de hoogte zijn van hun verantwoordelijkheden onder de AI Act.
Communiceren met leveranciers: Neem contact op met de leveranciers van uw ingekochte AI-software. Verifieer dat zij ook aan de wet voldoen en vraag de benodigde documentatie op.

Begin met de acties die de grootste risico’s afdekken. Het aanpakken van de vereisten voor uw hoog-risico systemen moet absolute prioriteit hebben. Door deze stappen te volgen, bent u goed op weg om niet alleen aan de wet te voldoen, maar ook om AI op een verantwoorde en betrouwbare manier in te zetten voor de toekomst van uw bedrijf.

Oké, hier is de herschreven tekst. Ik heb de toon en stijl van de voorbeelden overgenomen: direct, professioneel en gericht op de zakelijke/juridische praktijk, maar toch heel leesbaar.

De AI Act: meer dan een verplichting

De komst van een nieuwe, ingrijpende wet zoals de AI Act wordt vaak met een zucht ontvangen. Het roept direct beelden op van bureaucratie, extra kosten en regels die innovatie in de weg lijken te staan. Hoewel compliance zeker een inspanning vraagt, is het een strategische fout om de nieuwe Europese wetgeving puur als een last te zien. De AI Act biedt namelijk ook unieke kansen.

Door deze wetgeving proactief te omarmen, kunt u zich als bedrijf onderscheiden in een steeds vollere markt. Het naleven van de regels is niet alleen een juridische verplichting; het is een krachtig signaal naar uw klanten, partners en investeerders. U laat ermee zien dat u ethiek en betrouwbaarheid serieus neemt.

Van noodzaak naar concurrentievoordeel

De term ‘Trustworthy AI’ wordt dankzij de AI Act meer dan een modewoord. Het wordt een meetbaar en verifieerbaar kwaliteitskenmerk. Bedrijven die kunnen aantonen dat hun AI-systemen voldoen aan de strenge Europese normen, bouwen een cruciaal concurrentievoordeel op. Vertrouwen is de valuta van de digitale economie, en deze wet geeft u een perfect raamwerk om dat vertrouwen te verdienen en te behouden.

De AI Act dwingt u om gestructureerd na te denken over de kwaliteit, veiligheid en ethische impact van uw AI-toepassingen. Dit leidt niet alleen tot betere compliance, maar uiteindelijk ook tot robuustere en effectievere producten.

In plaats van af te wachten tot de deadlines naderen, kunt u de AI Act gebruiken als een strategische routekaart voor duurzame innovatie. Het stimuleert u om uw AI-portfolio kritisch onder de loep te nemen, processen te verbeteren en te investeren in technologie die niet alleen slim is, maar ook veilig, eerlijk en transparant.

Deze proactieve houding levert directe voordelen op:

Sterkere klantrelaties: U kunt klanten garanderen dat hun data veilig is en dat de AI die u gebruikt eerlijk en betrouwbaar functioneert.
Verbeterde risicobeheersing: U identificeert en beperkt proactief de risico’s die aan AI verbonden zijn, wat uw bedrijf een stuk veerkrachtiger maakt.
Toekomstbestendige organisatie: U bouwt aan een fundament voor verantwoorde AI, wat essentieel is voor succes op de lange termijn.

De kernboodschap is helder: begin vandaag. Zorg dat u weet welke AI-systemen u gebruikt en zet deze wetgeving in als een katalysator. Zo verandert u wat een verplichting lijkt in een strategische investering in de toekomst van uw bedrijf.

Veelgestelde vragen over de AI Act

De invoering van de AI Act roept natuurlijk een hoop vragen op. De regels zijn complex en de impact kan groot zijn. Daarom hebben we hier de meest voorkomende vragen voor u op een rijtje gezet, met duidelijke en praktische antwoorden. Zo weet u direct waar u aan toe bent.

Voor wie geldt de AI Act precies?

In de kern geldt de AI Act voor bijna elke organisatie binnen de EU die AI-systemen ontwikkelt, aanbiedt of inzet voor professionele doeleinden. Het maakt daarbij niet uit of u een grote multinational bent of een MKB-bedrijf. Zelfs organisaties buiten de EU vallen onder de wet als hun AI-systeem op de Europese markt wordt aangeboden of als de output ervan binnen de EU wordt gebruikt.

De wet is dus zeker niet alleen voor techbedrijven bedoeld. Gebruikt u als adviesbureau een AI-tool om contracten te analyseren? Of zet u als marketingbureau software in die automatisch content genereert? Dan krijgt ook u te maken met de verplichtingen van de AI Act.

Is de wet ook van toepassing op AI software die we inkopen?

Ja, absoluut. De wet maakt een belangrijk onderscheid tussen de ‘aanbieder’ (de partij die de AI ontwikkelt) en de ‘gebruiker’ (uw bedrijf dat de software inzet). Hoewel de zwaarste verplichtingen bij de aanbieder liggen, heeft u als gebruiker ook eigen verantwoordelijkheden. U bent bijvoorbeeld verplicht om het AI-systeem te gebruiken volgens de instructies van de ontwikkelaar en de resultaten correct te interpreteren.

Voor hoog-risico AI-systemen geldt bovendien dat u als gebruiker moet controleren of het systeem een CE-markering draagt en is geregistreerd in de officiële EU-database. Het is dus cruciaal om dit goed na te vragen bij uw softwareleveranciers.

Hoe hoog zijn de boetes bij niet-naleving?

De boetes zijn fors en bedoeld om een afschrikwekkende werking te hebben. De sancties kunnen oplopen tot het hoogste van deze twee bedragen:

Een vast bedrag van €35 miljoen.
Een percentage van de wereldwijde jaaromzet, dat kan oplopen tot wel 7%.

De precieze hoogte van de boete hangt af van de aard en de ernst van de overtreding. Het negeren van het verbod op ‘onaanvaardbare risico’s’ wordt het zwaarst bestraft, maar ook het niet voldoen aan de regels voor hoog-risico systemen kan tot miljoenenboetes leiden.

Wat is de rol van de Autoriteit Persoonsgegevens?

In Nederland is de Autoriteit Persoonsgegevens (AP) aangewezen als de belangrijkste toezichthouder voor de AI Act. De AP gaat controleren of bedrijven de nieuwe regels naleven. Dit betekent dat zij de bevoegdheid krijgen om onderzoek te doen, informatie op te vragen en, indien nodig, de eerder genoemde hoge boetes op te leggen.

Gezien de duidelijke overlap met de AVG, waar de AP al de centrale toezichthouder is, is dit een logische stap. Hun rol wordt hiermee uitgebreid van alleen privacybescherming naar een breder toezicht op de veilige en ethische inzet van kunstmatige intelligentie.

AI compliance

AI Act: ai-systemen en compliance | Zo bereidt u zich voor