Stel je voor: jouw organisatie gebruikt AI om klantgegevens te analyseren. Een medewerker voert per ongeluk echte persoonsgegevens in een AI-tool zoals ChatGPT. Enkele dagen later blijkt dat deze gegevens mogelijk zijn opgeslagen op servers buiten Europa. Als dit als een datalek wordt beoordeeld, moet je dit binnen 72 uur melden aan de Autoriteit Persoonsgegevens. Veel organisaties zijn hier nog onvoldoende op voorbereid.
Sinds 2024 geldt in Europa de AI-Act: nieuwe wetgeving die regels stelt aan het verantwoord gebruik van kunstmatige intelligentie. Samen met de Algemene Verordening Gegevensbescherming (AVG) bepaalt deze wet wanneer organisaties AI mogen inzetten en welke waarborgen zij moeten treffen.
Wat is de AI-Act?
De AI-Act is een Europese verordening die regels stelt aan het ontwikkelen, aanbieden en gebruiken van AI-systemen binnen de EU. De wet wil AI veilig, transparant en betrouwbaar maken voor iedereen.
De verplichtingen gaan gefaseerd in vanaf 2026, afhankelijk van het type AI:
| Datum | Wat treedt in werking | Voorbeelden / scope | Wie geraakt?* | |
|---|---|---|---|---|
| 2 feb 2025 | Verboden AI-toepassingen (art. 5) | Sociale scoring; emotieherkenning op werk/onderwijs; biometrische categorisatie op gevoelige kenmerken; grootschalig scrapen van gezichten | Aanbieders & gebruikers | |
| 2 aug 2025 | Eerste governance-eisen voor GPAI (algemene AI-modellen) | Transparantie/documentatie over modelkenmerken en gebruik; Code of Practice richting verplichtingen | Aanbieders van GPAI, (indirect) gebruikers | |
| 2 aug 2026 | Kernverplichtingen breed van kracht | Transparantieplichten (bijv. chatbots/deepfakes); veel organisatorische plichten | Aanbieders & gebruikers (deployers) | |
| 2 aug 2026 | Hoog-risico AI (Annex III) | HR/sollicitatie, kredietwaardigheid, onderwijs/examens, zorg, kritieke infrastructuur | Vooral aanbieders (conformiteit/CE) + gebruikers (toezicht/monitoring) | |
| 2 aug 2027 | AI als onderdeel van gereguleerde producten | AI in medische hulpmiddelen, machines, speelgoed e.d. | Aanbieders van die producten + gebruikers |
* Aanbieders (providers) doen o.a. conformiteitsbeoordeling/CE vóór markttoegang. Gebruikers (deployers) moeten o.a. correct gebruik borgen, menselijk toezicht inrichten en monitoren volgens instructies.
De vier risiconiveaus van de AI-Act uitgelegd
AI-Act werkt met een risicogebaseerde aanpak: hoe groter de impact van een AI-systeem op mensenrechten, veiligheid of privacy, hoe strenger de regels.
De wet spreekt niet letterlijk over “vier niveaus”, maar onderscheidt in de praktijk vier groepen van AI-systemen, elk met hun eigen verplichtingen:
1. Onaanvaardbaar risico (verboden toepassingen)
Dit zijn AI-toepassingen die te ingrijpend worden geacht voor fundamentele rechten. Ze zijn volledig verboden (Artikel 5 AI-Act).
Voorbeelden:
Sociale scoring door overheden of bedrijven
Emotieherkenning op de werkvloer of in het onderwijs
Biometrische categorisatie op gevoelige kenmerken (zoals ras of politieke overtuiging)
Het grootschalig scrapen van gezichten uit camerabeelden
2. Hoog risico
AI-systemen met aanzienlijke gevolgen voor mensen of de maatschappij vallen onder hoog risico (Artikel 6).
Denk aan toepassingen binnen:
Sollicitatie- en wervingsprocessen
Kredietbeoordeling en financiële diensten
Gezondheidszorg en medische hulpmiddelen
Onderwijs en examensystemen
Kritieke infrastructuren of openbare diensten
Voor deze systemen gelden strikte verplichtingen: risicobeoordeling, conformiteitsbeoordeling, documentatie, menselijk toezicht en kwaliteitsbeheer.
3. Specifieke transparantieverplichtingen
Sommige AI-toepassingen zijn niet “hoog risico”, maar moeten wel transparant zijn over hun werking (Artikel 50).
Dat geldt bijvoorbeeld voor:
Chatbots: gebruikers moeten weten dat ze met AI communiceren
Deepfakes: het moet duidelijk zijn dat content met AI is gegenereerd
Emotieherkenning of biometrische classificatie buiten verboden contexten
Deze categorie wordt in samenvattingen vaak “beperkt risico” genoemd, maar dat is geen officiële term in de wet.
4. Overige AI-systemen (laag of minimaal risico)
De meeste AI-toepassingen vallen hieronder.
Voorbeelden:
Spellingscontrole
AI in videogames
Aanbevelingssystemen zonder invloed op rechten of veiligheid
Voor deze toepassingen gelden geen specifieke verplichtingen, maar organisaties worden wel aangemoedigd om vrijwillig principes van transparantie en verantwoord gebruik toe te passen.
AI-Act vs. AVG: wat is het verschil?
De AI-Act en de AVG vullen elkaar aan, maar hebben een ander doel.
De AI-Act richt zich op het AI-systeem zelf
De AVG richt zich op het gebruik van persoonsgegevens
| Aspect | AI-Act | AVG (GDPR) |
|---|---|---|
| Toepassing | Op AI-systemen (ontwikkelaars, aanbieders, gebruikers) | Op álle verwerking van persoonsgegevens |
| Doel | Zorgen voor veilige, transparante en betrouwbare AI | Bescherming van de rechten van individuen bij dataverwerking |
| Reikwijdte | AI binnen de EU-markt, ook van niet-EU-aanbieders | Alle organisaties die persoonsgegevens verwerken binnen de EU |
| Belangrijke verplichtingen | – Risicoclassificatie – Menselijk toezicht – Uitlegbaarheid – Documentatie en risicobeheer | – Grondslagen voor verwerking – Rechten van betrokkenen – Beveiliging en DPIA |
| Boetes | Tot 35 miljoen euro of 7% van wereldwijde omzet | Tot 20 miljoen euro of 4% van wereldwijde omzet |
| Wanneer van toepassing? | Bij ontwikkeling, distributie of gebruik van AI-systemen | Zodra er persoonsgegevens worden verwerkt |
De AI-Act geldt ook voor aanbieders buiten de EU die systemen hier verkopen.
Geldt dit ook voor mijn organisatie?
Waarschijnlijk wel. De AI-Act geldt in principe voor elke organisatie die AI gebruikt:
- Een HR-afdeling die AI inzet bij sollicitaties
- Een zorginstelling die medische data laat analyseren
- Een webshop die klantgedrag voorspelt
- Een gemeente die fraude met algoritmes opspoort
Of je AI zelf bouwt of inkoopt, maakt niet uit- maar de verantwoordelijkheden verschillen:
Aanbieders (ontwikkelaars of leveranciers) moeten o.a. conformiteitsbeoordelingen uitvoeren.
Gebruikers (deployers) moeten zorgen voor correct gebruik, toezicht en dataveiligheid.
Dit zijn de vijf belangrijkste verplichtingen
De AI-Act stelt duidelijke eisen aan organisaties die AI gebruiken:
Voer een risicobeoordeling uit (artikel 9 AI-Act)
Breng risico’s in kaart, vooral bij hoog-risico toepassingen.Voer een conformiteitsbeoordeling uit (artikel 43 AI-Act)
Voor hoog-risico AI is dit verplicht voordat het systeem wordt gebruikt.Leg documentatie vast (artikelen 11 en 12 AI-Act)
Beschrijf welke data worden gebruikt, hoe het model leert en beslist.Zorg voor menselijk toezicht (artikel 14 AI-Act)
Een medewerker moet beslissingen kunnen corrigeren of stoppen.Controleer leveranciers (artikelen 16–18 AI-Act)
Vraag bewijs van beveiliging, datagebruik en naleving van wetgeving.
Let op: De AI-risicobeoordeling (verplicht onder de AI-Act) is niet hetzelfde als de DPIA uit de AVG, maar kan wel worden gecombineerd
Wat zijn de grootste risico’s in de praktijk?
Onbedoelde verwerking van persoonsgegevens in generatieve AI-tools
Beslissingen van AI die niet goed uitlegbaar zijn
Ogenschijnlijk anonieme data die toch herleidbaar blijken
Vertekening in data (bias) door eenzijdige trainingssets
Onduidelijke verantwoordelijkheden tussen gebruikers en leveranciers
Generatieve AI-systemen, zoals ChatGPT, vallen onder de categorie algemene AI-modellen (GPAI) en krijgen extra eisen rond documentatie en modelinformatie
Wat moet je nu doen als organisatie?
Breng AI-gebruik in kaart.
Kijk waar en met welke data AI wordt ingezetVoer risicoanalyses uit.
Doe een DPIA bij persoonsgegevens en een AI-risicobeoordeling bij hoog risicoStel beleid op.
Leg verantwoordelijkheden en toezicht op AI vastMaak afspraken met leveranciers.
Leg AI-gebruik vast in contracten en verwerkersovereenkomstenTrain medewerkers.
Zorg dat zij weten wat ze wel en niet mogen invoerenEvalueer jaarlijks.
Controleer of maatregelen en processen nog actueel zijn
Wat gebeurt er als je niets doet?
De AI-Act kent hoge boetes tot 35 miljoen euro of 7% van de omzet. Daarnaast kan de toezichthouder AI-systemen van de markt halen. In Nederland krijgt de Autoriteit Persoonsgegevens waarschijnlijk extra AI-taken, mogelijk samen met de Rijksinspectie Digitale Infrastructuur. Toch vormt reputatieschade de grootste bedreiging: verlies van vertrouwen bij klanten en partners laat zich moeilijk herstellen.
Wat levert naleving op?
Naleving vergroot vertrouwen en transparantie in je organisatie, omdat je toont dat AI op een verantwoorde manier wordt gebruikt. Dat vergemakkelijkt samenwerking met partners en overheden en versterkt de geloofwaardigheid richting klanten en toezichthouders. Bovendien helpt naleving bij toekomstige certificering en aanbestedingen.
Samenvatting
De AI-Act geldt voor alle EU-landen, met invoering vanaf 2025 tot 2027
De regels gelden voor elke organisatie die AI gebruikt.
Hoog-risico AI vereist een conformiteitsbeoordeling.
Menselijk toezicht, uitlegbaarheid en dataminimalisatie (avg) zijn verplicht.
Boetes kunnen oplopen tot 35 miljoen euro of 7% van de omzet.
AI en privacy lopen onlosmakelijk samen. Wie nu begint met naleving van de AI-Act, bouwt vertrouwen op en voorkomt sancties en reputatieschade in de toekomst.
Wil je weten wat de AI Act voor jouw organisatie betekent? We denken graag met je mee.