Europese AI-wet (AI-Act): wat betekent deze wet voor jouw organisatie?

Wat is de AI Act?

De AI-Act is de nieuwe Europese wet die regels stelt aan zowel de ontwikkeling als het gebruik van kunstmatige intelligentie. De wet kijkt daarbij niet naar de gebruikte techniek (zoals machine learning, taalmodellen of expertsystemen), maar naar de impact die een toepassing heeft. Hoe groter het effect op mensen of samenleving, hoe strenger de regels.

Het uitgangspunt van de verordening is dat AI verantwoord en veilig moet worden ingezet. Om dat te bereiken moeten organisaties hun AI-systemen indelen in verschillende risiconiveaus, zodat passende beheersmaatregelen kunnen worden getroffen. De AI-Act maakt onderscheid tussen vier niveaus: minimaal risico, gelimiteerd risico, hoog risico en onaanvaardbaar risico.

Voor toepassingen met een laag of gelimiteerd risico gelden weinig tot geen aanvullende eisen, terwijl voor hoog-risico AI-systemen concrete verplichtingen gelden op het gebied van documentatie, menselijk toezicht, logging en grondrechtenbescherming. Toepassingen die als onaanvaardbaar risico worden aangemerkt – zoals sociale scoring – zijn verboden.

Daarnaast bevat de verordening specifieke aanvullende eisen voor algemene AI-systemen (General Purpose AI, zoals grote taal- of beeldmodellen), juist omdat deze breed inzetbaar zijn en downstream in allerlei andere toepassingen terecht kunnen komen.

Geldt de AI-Act ook voor mijn organisatie?

Veel organisaties gaan er nog steeds vanuit dat de AI-Act alleen relevant is voor techbedrijven die zelf AI-modellen ontwikkelen. Dat is echt een misvatting. De wet is namelijk nadrukkelijk ook van toepassing op organisaties die AI toepassen in hun eigen processen. In de AI-Act worden verschillende rollen onderscheiden: aanbieders, gebruiksverantwoordelijken, importeurs, distributeurs en productfabrikanten

Concreet betekent dit bijvoorbeeld dat ziekenhuizen die triagetools gebruiken, gemeenten die algoritmen inzetten voor prioritering, HR-afdelingen die AI gebruiken voor voorselectie of financiële instellingen die een risicoscore genereren, zelf verantwoordelijk zijn voor naleving van de AI-Act. Ook wanneer het systeem is ingekocht bij een derde partij.

Let op: het vaststellen of je onder de AI-Act valt, blijkt in de praktijk vaak complexer dan op het eerste gezicht lijkt. Alles begint bij de vraag of er überhaupt sprake is van een AI-systeem in de zin van de verordening en dat is lang niet altijd het geval. Daarnaast kan een organisatie die in eerste instantie slechts als “gebruiker” optreedt, onder bepaalde omstandigheden toch als aanbieder worden aangemerkt. Dat gebeurt bijvoorbeeld wanneer het systeem onder de eigen naam of het eigen merk wordt aangeboden, of wanneer er zodanige wijzigingen worden doorgevoerd dat het oorspronkelijke doel van de leverancier wijzigt. In zo’n situatie verschuift de verantwoordelijkheid en komen aanzienlijk zwaardere verplichtingen op de organisatie te rusten.

Wil je helder hebben of jouw organisatie onder de AI-Act valt en welke verplichtingen daar concreet uit voortvloeien? Met onze AI-Act Compliance scan brengen we dat op een toegankelijke en gestructureerde manier voor je in kaart. We inventariseren de AI-toepassingen binnen jouw organisatie, toetsen die aan de verordening (inclusief risicoclassificatie en rolbepaling) en vertalen de uitkomsten naar een duidelijke set vervolgstappen waarmee je gericht aan de slag kunt.

Hoe bepaal ik in welke risicocategorie mijn AI-systeem valt?

De AI-Act werkt, zoals eerder aangegeven, met een risicogebaseerde benadering. Dat betekent dat je als organisatie jouw AI-systemen moet indelen in een van de officieel vastgestelde risicocategorieën. Die indeling is cruciaal, omdat hieruit direct volgt welke verplichtingen gelden. Het is dus belangrijk dat die indeling correct gebeurt en hier geen fouten worden gemaakt. 

In de AI-verordening worden vier categorieën onderscheiden:

Onaanvaardbaar risico
Dit zijn systemen die een ernstig risico vormen voor grondrechten of fundamentele waarden. Ze zijn daarom volledig verboden.

Hoog risico
AI-systemen die een hoog risico vormen voor de gezondheid, veiligheid of grondrechten van personen. Denk bijvoorbeeld aan AI-toepassingen in de gezondheidszorg of in het onderwijs. Voor deze toepassingen geldt een uitgebreid pakket aan verplichtingen. De kwalificatie “hoog risico” vindt plaats op basis van artikel 6 in combinatie met bijlage III van de verordening.

Beperkt risico (transparantieplicht)
AI-systemen die beperkt risico met zich meebrengen, moeten voldoen aan een transparantieverplichting. Denk hierbij bijvoorbeeld aan chatbots.

Minimaal of geen risico
AI-systemen met een verwaarloosbaar risico vallen buiten het toepassingsbereik van de AI-Act. Er gelden dan géén verplichtingen, al kunnen aanbieders of gebruikers er natuurlijk wel voor kiezen om vrijwillige gedragscodes toe te passen.

Het bepalen van de juiste risicocategorie begint dus altijd met een duidelijke analyse van wat het AI-systeem precies doet en welk effect de output heeft op de personen of processen waarop het betrekking heeft. Het is verstandig om dat niet alleen technisch, maar ook juridisch te beoordelen. In de praktijk zijn er namelijk verschillende uitzonderingen en nuances, waardoor een toepassing die op het eerste gezicht hoog-risico lijkt, uiteindelijk helemaal niet binnen die categorie valt of juist wel. Een zorgvuldige beoordeling voorkomt dat je te zware (of juist te lichte) eisen toepast en zorgt ervoor dat je het AI-systeem op de juiste manier onder de verordening kwalificeert.

Welke AI-systemen zijn verboden?

De AI-Act bevat een aantal duidelijke verboden. Het gaat om AI-systemen die zó ingrijpend zijn voor de grondrechten van personen, dat ze in de Europese Unie helemaal niet mogen worden gebruikt. Deze verboden staan in artikel 5 van de verordening en zijn gebaseerd op het uitgangspunt dat AI nooit mag worden ingezet voor manipulatie, uitbuiting, sociale controle of willekeurige surveillance.

Kort samengevat zijn de volgende AI-toepassingen verboden:

• Manipulatieve AI: systemen die gebruikmaken van subliminale of doelbewust misleidende technieken om het gedrag van personen te beïnvloeden (bijv. zonder dat iemand het zelf doorheeft).
• Uitbuiting van kwetsbaarheden: AI die bewust gebruikmaakt van kwetsbaarheden van kinderen, ouderen of andere kwetsbare groepen met als doel hun gedrag te sturen.
• Social scoring: AI die mensen beoordeelt of rangschikt op basis van hun gedrag of persoonlijke kenmerken, waardoor iemand een ongunstige behandeling krijgt (zoals bij het Chinese sociale kredietsysteem).
• AI die op basis van profilering het risico op crimineel gedrag voorspelt, zonder objectieve of verifieerbare feiten.
• Ongerichte scraping voor gezichtsherkenning: AI die grote databases met gezichtsafbeeldingen opbouwt via het automatisch “scrapen” van internet of CCTV-beelden.
• Emotieherkenning op het werk of in het onderwijs, tenzij dit strikt noodzakelijk is om medische of veiligheidsredenen.
• AI die biometrische gegevens gebruikt om gevoelige informatie af te leiden, zoals ras, religie, seksuele geaardheid of politieke voorkeur.
• Realtime biometrische identificatie in de publieke ruimte door opsporingsdiensten (zoals het live scannen van gezichten op straat), behalve in zeer beperkte uitzonderingssituaties, bijvoorbeeld bij het gericht zoeken naar een vermist slachtoffer.

Gebruik je als organisatie – bewust of onbewust – een AI-systeem dat in een van deze categorieën valt, dan mag dit sinds 2 februari 2025 niet meer worden ingezet.

AI-Act: wat moet mijn organisatie doen bij hoog-risico AI?

De AI-Act maakt hierin o.a. een onderscheid tussen aanbieders van hoog-risico AI-systemen (organisaties die de AI zelf ontwikkelen en op de markt brengen) en gebruikers van hoog-risico AI-systemen (organisaties die de technologie gebruiken in hun eigen processen). In beide gevallen gelden er verschillende wettelijke verplichtingen.

In de praktijk betekent het gebruik van een hoog-risico AI-systeem bijvoorbeeld dat je als organisatie het systeem uitsluitend mag inzetten volgens de instructies van de leverancier, dat er menselijk toezicht moet worden aangesteld (met duidelijke rollen en bevoegdheden), dat de kwaliteit en relevantie van de gebruikte data moet zijn geborgd en dat de werking van het systeem actief wordt gemonitord.

Ook moet vooraf worden beoordeeld welke gevolgen het gebruik van het systeem kan hebben voor de grondrechten van betrokken personen. Zo moet onder meer worden gekeken naar de duur van het gebruik, het soort proces waarin het systeem wordt toegepast en de mogelijke impact op specifieke groepen of individuen.

Als aanbieder van een hoog-risico AI-systeem gelden enkele aanvullende verplichtingen. In dat geval moet je al vóór het op de markt brengen kunnen aantonen dat het systeem voldoet aan alle wettelijke eisen uit de AI-Act. Denk aan het opstellen van volledige technische documentatie, het inrichten van een risicobeheersysteem, het borgen van de kwaliteit van trainings- en testdata en het uitvoeren van een formele conformiteitsbeoordeling (soms door een externe ‘notified body’). Pas wanneer deze beoordeling met succes is afgerond, mag het AI-systeem worden ingezet of op de markt worden gebracht en moet er een EU-verklaring van conformiteit worden opgesteld.

AI-Act verplichtingen voor gebruikers van AI-systemen

De verplichtingen voor gebruikers van AI-systemen onder de AI-Act zijn niet voor iedere toepassing hetzelfde. Welke verplichtingen gelden, hangt namelijk af van de risicocategorie van het systeem (minimaal, beperkt, hoog of onaanvaardbaar risico).

Daarom is het essentieel om éérst een inventarisatie te maken van welke AI-systemen binnen de organisatie worden gebruikt en vervolgens per systeem te bepalen in welke risicocategorie het valt. Pas daarna kun je vaststellen welke juridische verplichtingen op jou als gebruiker van toepassing zijn (bijvoorbeeld menselijk toezicht, logging of grondrechtenanalyse bij hoog-risico AI).

Zijn wij verplicht een conformiteitsbeoordeling (CE) uit te voeren onder de AI-Act?

Dat hangt ervan af of jouw organisatie aanbieder is van een hoog-risico AI-systeem (lees hier meer over de verplichtingen voor leveranciers & ontwikkelaars van AI).

Voor aanbieders van hoog-risico AI-systemen is de belangrijkste verplichting onder de AI-Act het uitvoeren van een conformiteitsbeoordeling. Die beoordeling moet plaatsvinden vóórdat het systeem op de markt wordt gebracht of door anderen gebruikt kan worden. Afhankelijk van de toepassing mag de aanbieder deze beoordeling zelf uitvoeren, of moet dit verplicht worden gedaan door een aangemelde instantie (notified body).

Tijdens de conformiteitsbeoordeling wordt beoordeeld of het AI-systeem voldoet aan alle materiële eisen van de AI-Act. Het gaat daarbij onder meer om:

• een goed ingericht risico- en kwaliteitsmanagementsysteem;
• representatieve datasets (geen bias);
• duidelijke technische documentatie en logmogelijkheden;
• menselijk toezicht tijdens het gebruik;
• voldoende robuustheid, accuratesse en cybersecurity.

Als het systeem aan alle eisen voldoet, stelt de aanbieder een conformiteitsverklaring op en registreert hij het AI-systeem in de openbare Europese databank (die momenteel nog in ontwikkeling is). De verklaring moet vervolgens ten minste tien jaar worden bewaard, zodat de toezichthouder deze – indien nodig – kan opvragen.

Waar begin je als organisatie als je AI-Act compliant wilt worden?

Simpel: eerst moet je weten welke AI-toepassingen je eigenlijk gebruikt. Dat klinkt vanzelfsprekend, maar in de praktijk blijken er vaak meer AI-modules in processen te zitten dan organisaties denken, zeker bij ingekochte tooling of SaaS-oplossingen. Pas als je weet wát je gebruikt, kun je bepalen of het onder de AI-Act valt én in welke risicocategorie het terechtkomt.

Onze ervaring is dat het helpt om hier heel praktisch naar te kijken:

• Welke AI-toepassingen gebruiken we? (en wie in de organisatie gebruikt ze)?
• Welke rol hebben wij? → hebben wij het systeem ontwikkeld (aanbieder) of gebruiken we het in onze processen (gebruiker)?
• Welke risicocategorie past bij het systeem? → minimaal, beperkt, hoog risico of zelfs verboden
• En welke verplichtingen horen daar dan bij?
    → als gebruiker: menselijk toezicht, logging, grondrechtenanalyse, transparantie
    → als aanbieder: documentatie, datagovernance, conformiteitsbeoordeling

Veelgestelde vragen over de AI Act