Wetgeving & EthiekUitgelicht

De EU AI Act: wat betekent het voor jouw organisatie?

Een praktische uitleg van de Europese AI-wetgeving en wat dit betekent voor bedrijven in Nederland.

1 maart 202612 min leestijd
AI ActwetgevingEUcompliance

De EU AI Act: Wat het écht betekent (zonder juridisch jargon)

De AI Act is 's werelds eerste alomvattende AI-wet. Maar de meeste samenvattingen zijn ofwel te simplistisch ("AI wordt gereguleerd!") of te complex (juridisch jargon). Dit is wat je echt moet weten.

De kernfilosofie: Risico-gebaseerd

De EU koos niet voor "reguleer alles" of "reguleer niets." In plaats daarvan: hoe hoger het risico dat een AI-systeem vormt voor fundamentele rechten, hoe strenger de regels. Dit is pragmatisch - een AI-spamfilter hoeft niet aan dezelfde eisen te voldoen als een AI die bepaalt of je een hypotheek krijgt.

De vier categorieën, praktisch uitgelegd

Verboden (Onaanvaardbaar risico)

Deze AI-toepassingen zijn simpelweg verboden in de EU:

  • Social scoring door overheden: Geen China-style "burger ratings" die bepalen welke diensten je mag gebruiken.
  • Real-time biometrische identificatie in openbare ruimtes: Geen camera's die je gezicht scannen terwijl je door het centrum loopt (met uitzonderingen voor terrorismebestrijding).
  • Emotieherkenning op werk en school: Je baas mag geen AI gebruiken om te detecteren of je "blij" bent met je werk.
  • Manipulatieve AI: Systemen ontworpen om gedrag te manipuleren op manieren die schade veroorzaken.

Ingangsdatum: Februari 2025. Dan zijn deze praktijken illegaal.

Hoog risico (Streng gereguleerd)

Dit zijn AI-systemen die significante impact kunnen hebben op mensen's levens. Ze zijn niet verboden, maar moeten aan strenge eisen voldoen:

  • Risicobeoordelingen en -management
  • Hoogwaardige trainingsdata (gedocumenteerd en bias-gecheckt)
  • Transparantie en uitlegbaarheid naar gebruikers
  • Menselijk toezicht ingebouwd
  • Accuraatheid, robuustheid, en cybersecurity
  • Registratie in EU-database

Voorbeelden:

  • AI die CV's screent voor vacatures
  • AI die creditwaardigheid beoordeelt
  • AI in medische diagnose
  • AI voor politie-surveillance
  • AI in onderwijs die leerlingen beoordeelt

Ingangsdatum: Augustus 2026 voor de meeste high-risk systemen.

Beperkt risico (Transparantieverplichtingen)

Systemen waar gebruikers moeten weten dat ze met AI interacteren:

  • Chatbots moeten duidelijk maken dat ze AI zijn
  • AI-gegenereerde content moet als zodanig gelabeld zijn
  • Deepfakes moeten gemarkeerd worden

Minimaal risico (Geen specifieke regels)

De overgrote meerderheid van AI-systemen valt hier onder: spamfilters, game-AI, aanbevelingssystemen, etc. Geen specifieke verplichtingen onder de AI Act.

General-Purpose AI (de ChatGPT-regels)

De wet heeft speciale regels voor "general-purpose AI models" - modellen die voor vele taken gebruikt kunnen worden (zoals GPT-4, Claude, Gemini):

  • Technische documentatie publiceren
  • Transparantie over trainingsdata en auteursrecht-compliance
  • Voor modellen met "systemic risk" (de allergrootste): extra veiligheidsevaluaties

Dit raakt primair de grote AI-labs, niet de gebruikers van hun diensten.

Boetes die indruk maken

  • Verboden praktijken: Tot €35 miljoen of 7% van wereldwijde jaaromzet
  • Hoog-risico overtredingen: Tot €15 miljoen of 3% van omzet
  • Onjuiste informatie aan toezichthouders: Tot €7,5 miljoen of 1% van omzet

Voor context: 7% van Microsoft's omzet is ~€15 miljard. Dit zijn serieuze bedragen.

Wat dit praktisch voor jou betekent

Als je AI-tools gebruikt (de meeste bedrijven)

Als je ChatGPT, Copilot, of andere SaaS AI-tools gebruikt, is de primaire compliance-last bij de aanbieder. Jouw verantwoordelijkheden:

  • Maak duidelijk aan gebruikers wanneer ze met AI praten
  • Label AI-gegenereerde content (deepfakes, synthetische media)
  • Als je high-risk toepassingen bouwt bovenop AI-APIs: jij bent de "deployer" en hebt verplichtingen

Als je AI-systemen ontwikkelt of deployt

  • Classificeer je systemen volgens de risicocategorieën
  • Begin nu met compliance-voorbereiding - 2026 komt snel
  • Documenteer je trainingsdata en model-keuzes
  • Implementeer menselijk toezicht waar vereist

De kritiek die je moet kennen

De AI Act is niet onomstreden. Kritiekpunten:

  • Te complex: Kleinere bedrijven kunnen de compliance-last niet aan
  • Te traag: Tegen 2026 is de AI-wereld al verder
  • Open-source benadeling: Sommige regels zijn moeilijk voor open-source modellen
  • Concurrentienadeel: EU-bedrijven krijgen regels, Chinese en Amerikaanse niet

Maar de realiteit is: dit is de wet, en Europa is een grote markt. Wie hier wil opereren, zal compliant moeten zijn.

Wil je hier met een expert over praten? Ontdek wat wij voor je kunnen betekenen - van strategie tot implementatie.

Volgend artikel

Privacy en AI: waar moet je op letten?