Terug naar Kennisbank
EU AI Act

Wat is de EU AI Act?

15 min leestijd
Januari 2025

De EU AI Act is de eerste uitgebreide wetgeving ter wereld die artificiële intelligentie reguleert. Op 1 augustus 2024 is deze verordening in werking getreden, en sindsdien worden de regels gefaseerd van kracht. Voor MKB-bedrijven betekent dit nieuwe verplichtingen, maar ook kansen om AI verantwoord in te zetten.

Waarom heeft de EU deze wet gemaakt?

De Europese Unie wil met de AI Act twee doelen bereiken die op het eerste gezicht tegenstrijdig lijken: innovatie stimuleren én burgers beschermen tegen de risico's van AI. De wetgevers erkennen dat AI enorme voordelen kan bieden - van efficiëntere bedrijfsprocessen tot betere medische diagnoses - maar dat dezelfde technologie ook risico's met zich meebrengt.

Denk aan discriminerende algoritmes die sollicitanten afwijzen op basis van postcode of geslacht, of aan deepfakes die de democratie ondermijnen. De EU wil met deze wet een balans vinden: ruimte geven aan innovatie, maar wel met duidelijke grenzen waar AI niet mag komen.

Een belangrijke drijfveer is ook de wens om een Europees alternatief te bieden voor de ongereguleerde Amerikaanse aanpak en het staatsgestuurde Chinese model. De EU positioneert zich als de 'derde weg': AI-gebruik stimuleren, maar wel op een manier die past bij Europese waarden rond privacy, non-discriminatie en menselijke waardigheid.

Wat regelt de AI Act precies?

De kern van de AI Act is een risicogebaseerde aanpak. Niet alle AI wordt over één kam geschoren. In plaats daarvan worden AI-systemen ingedeeld in vier risicocategorieën, elk met eigen verplichtingen:

1. Verboden AI (Onaanvaardbaar risico)

Bepaalde AI-toepassingen zijn simpelweg verboden omdat ze fundamentele rechten schenden. Dit omvat:

  • Sociale scoring door overheden: Het beoordelen van burgers op basis van hun gedrag, zoals in China gebeurt
  • Manipulatieve AI: Systemen die kwetsbare personen (kinderen, ouderen, mensen met schulden) manipuleren
  • Emotieherkenning op werk en school: Het monitoren van emoties van werknemers of leerlingen is verboden
  • Biometrische categorisatie: Het indelen van mensen op basis van gevoelige kenmerken zoals etniciteit of seksuele geaardheid
  • Real-time gezichtsherkenning in openbare ruimtes: Met zeer beperkte uitzonderingen voor opsporing

Deze verboden gelden sinds 2 februari 2025. Als je organisatie dergelijke systemen gebruikt, moet je hier direct mee stoppen.

2. Hoog-risico AI

AI-systemen die significante impact kunnen hebben op fundamentele rechten of veiligheid vallen in deze categorie. Voorbeelden zijn:

  • HR en recruitment: AI voor CV-screening, sollicitant-ranking of prestatiebeoordeling
  • Onderwijs: Systemen die examens beoordelen of toelatingen bepalen
  • Financiële diensten: Kredietscoring en verzekeringspremieberekening
  • Justitie: Risico-inschatting bij rechtszaken
  • Vitale infrastructuur: AI in water, gas, elektriciteit

Voor hoog-risico AI gelden strenge eisen: risicobeoordeling, kwaliteitsmanagement, logging, menselijk toezicht, en registratie in een EU-database. De volledige compliance-eisen worden van kracht op 2 augustus 2026.

3. Beperkt risico (Transparantieverplichtingen)

AI-systemen die interacteren met mensen of content genereren moeten transparant zijn:

  • Chatbots: Gebruikers moeten weten dat ze met AI praten
  • Deepfakes: AI-gegenereerde video's, audio of afbeeldingen moeten gelabeld worden
  • AI-gegenereerde tekst: Als tekst door AI is geschreven en voor publiek is bestemd, moet dit duidelijk zijn

4. Minimaal risico

De overgrote meerderheid van AI-toepassingen valt in deze categorie en mag vrij worden gebruikt. Denk aan spamfilters, AI in games, of voorraadbeheersystemen. Er gelden geen specifieke verplichtingen, al moet je wel de algemene wetgeving (AVG, consumentenrecht) naleven.

Wanneer gaan welke regels in?

De AI Act wordt gefaseerd ingevoerd. Dit zijn de belangrijkste data:

  • 2 februari 2025: Verboden AI-praktijken en AI-geletterdheid verplichting
  • 2 augustus 2025: General Purpose AI (ChatGPT, Claude), transparantieverplichtingen
  • 2 augustus 2026: Volledige regels voor hoog-risico AI
  • 2 augustus 2027: Alle bepalingen volledig van kracht inclusief handhaving

Voor een gedetailleerd overzicht, zie ons artikel over de EU AI Act tijdlijn en deadlines.

Geldt de AI Act ook voor MKB?

Ja, de AI Act geldt voor alle organisaties die AI gebruiken of aanbieden in de EU, ongeacht hun grootte. Een bedrijf met 5 medewerkers dat AI-software gebruikt voor CV-screening valt net zo goed onder de wet als een multinational.

De wetgever heeft wel rekening gehouden met de beperkte middelen van kleinere bedrijven. Er zijn enkele verlichtingen voor MKB:

  • Regulatory sandboxes: Toegang tot testomgevingen waar je AI kunt ontwikkelen onder begeleiding van toezichthouders
  • Proportionele documentatie: In sommige gevallen verminderde administratieve lasten
  • Ondersteuning: Nationale autoriteiten moeten MKB helpen met compliance
  • Gedragscodes: Brancheorganisaties mogen gezamenlijke codes opstellen

Toch is de bottom line helder: ook als MKB'er moet je weten welke AI je gebruikt en of deze voldoet aan de wet.

Wat betekent dit concreet voor jouw bedrijf?

De impact van de AI Act hangt af van hoe je AI gebruikt. Voor de meeste MKB-bedrijven komt het neer op een aantal concrete acties:

Stap 1: Maak een AI-inventarisatie

Breng in kaart welke AI je organisatie gebruikt. Dit gaat verder dan ChatGPT - denk ook aan:

  • Software met ingebouwde AI (CRM-systemen, marketingtools)
  • Automatische besluitvorming (credit checks, fraude-detectie)
  • Chatbots op je website
  • AI-tools die medewerkers zelf gebruiken

Stap 2: Classificeer het risico

Bepaal voor elk AI-systeem in welke risicocategorie het valt. De meeste tools vallen onder minimaal risico, maar let op bij HR-software, klantbeoordeling of automatische besluitvorming.

Stap 3: Controleer op verboden AI

Controleer of je geen verboden AI-toepassingen gebruikt. Dit lijkt vanzelfsprekend, maar sommige bedrijven gebruiken emotieherkenning of discriminerende algoritmes zonder het te beseffen.

Stap 4: Implementeer transparantie

Als je chatbots gebruikt of AI-gegenereerde content publiceert, zorg dat dit duidelijk is voor gebruikers.

Stap 5: Train je medewerkers

De AI-geletterdheid verplichting betekent dat medewerkers die met AI werken, moeten begrijpen hoe de technologie werkt en wat de risico's zijn.

Welke boetes riskeer je?

De AI Act kent stevige boetes:

  • Verboden AI: Tot €35 miljoen of 7% van de wereldwijde omzet
  • Niet-naleving hoog-risico regels: Tot €15 miljoen of 3% van de omzet
  • Onjuiste informatie verstrekken: Tot €7,5 miljoen of 1% van de omzet

Voor MKB gelden de genoemde percentages, met lagere absolute maxima. Desalniettemin kunnen de boetes substantieel zijn.

Meer over sancties lees je in ons artikel over EU AI Act boetes.

Hoe verhoudt de AI Act zich tot de AVG?

De AI Act en de AVG (Algemene Verordening Gegevensbescherming) vullen elkaar aan:

  • De AVG regelt de bescherming van persoonsgegevens
  • De AI Act regelt de veiligheid en betrouwbaarheid van AI-systemen

In de praktijk betekent dit dat je aan beide moet voldoen. Als je AI gebruikt voor persoonlijke data, gelden zowel de AVG-eisen (rechtsgrond, dataminimalisatie) als de AI Act-eisen (transparantie, risicobeheer).

Praktische tips voor MKB

"Begin klein. De meeste MKB-bedrijven hoeven geen grote compliance-programma's op te tuigen. Start met een inventarisatie, controleer op verboden AI, en bouw van daaruit verder."

Concrete tips:

  1. Begin vandaag: De eerste deadline (verboden AI) is al gepasseerd. Controleer direct of je compliant bent.
  2. Documenteer: Houd bij welke AI je gebruikt en waarom. Dit helpt bij toekomstige audits.
  3. Betrek leveranciers: Vraag je softwareleveranciers naar AI Act-compliance. Zij zijn vaak de "aanbieder" in de zin van de wet.
  4. Maak AI-beleid: Een simpel AI-beleid helpt je team om verantwoord met AI om te gaan.
  5. Blijf up-to-date: De wet is nieuw en er komt nog veel guidance. Volg de ontwikkelingen.

Wat als je AI-software inkoopt?

Als je AI-software afneemt van een leverancier, zijn de verantwoordelijkheden verdeeld:

  • De aanbieder (leverancier) is verantwoordelijk voor de technische compliance van het systeem
  • De gebruiker (jij) is verantwoordelijk voor correct gebruik en het naleven van gebruiksvoorschriften

In de praktijk betekent dit: vraag je leverancier om documentatie over AI Act-compliance, en volg de gebruiksaanwijzingen nauwgezet op.

Conclusie

De EU AI Act is een ingrijpende wet die de manier waarop we AI gebruiken fundamenteel verandert. Voor MKB-bedrijven hoeft dit geen nachtmerrie te zijn. Door nu te beginnen met een inventarisatie, verboden AI te vermijden, en stap voor stap te werken aan compliance, kun je de wet zien als een kans om AI verantwoord en effectief in te zetten.

Wil je weten waar jouw organisatie staat? Doe onze gratis EU AI Act scan en krijg direct inzicht in je risicoprofiel en concrete actiepunten.

Gerelateerde artikelen

EU AI Act Tijdlijn: Alle Deadlines

4 min leestijd

De 4 Risicocategorieën Uitgelegd

6 min leestijd

AI-geletterdheid: Nieuwe Verplichting

5 min leestijd

Wil je weten hoe je ervoor staat?

Doe de gratis scan en ontdek direct welke verplichtingen op je organisatie van toepassing zijn.

EU AI Act ScanAVG Scan