AI Act: wat Nederlandse bedrijven nu moeten regelen
De EU AI Act stelt nieuwe eisen aan AI-gebruik door bedrijven. Ontdek welke verplichtingen gelden, wanneer ze ingaan, en welke stappen je nu moet nemen.
Je gebruikt ChatGPT voor marketingteksten en een AI-tool voor cv-screening. Allebei vallen straks onder de EU AI Act, de eerste uitgebreide AI-wetgeving ter wereld. De boetes lopen op tot 35 miljoen euro, en de eerste deadlines naderen snel.
Het probleem: AI-regelgeving wordt realiteit
De meeste Nederlandse bedrijven gebruiken inmiddels AI-tools. Van ChatGPT voor marketingteksten tot geautomatiseerde cv-screening bij werving. Maar slechts een fractie weet welke regels er gelden voor AI-gebruik.
De EU AI Act verandert dat fundamenteel. Deze AI verordening is sinds 1 augustus 2024 van kracht en stelt concrete eisen aan elk bedrijf dat AI ontwikkelt, aanbiedt of inzet. De boetes bij niet-naleving lopen op tot 35 miljoen euro of 7% van de wereldwijde omzet.
Kernpunt: De AI Act geldt niet alleen voor AI-ontwikkelaars. Ook bedrijven die AI-tools gebruiken (deployers) vallen onder de AI regelgeving. Dit raakt vrijwel elke organisatie in Nederland.
De risicogebaseerde aanpak: vier niveaus
De AI Act classificeert AI-systemen in vier risicocategorieën. Elke categorie brengt andere verplichtingen met zich mee voor AI compliance.
1. Verboden AI-praktijken
Bepaalde toepassingen van AI zijn simpelweg niet toegestaan:
- Social scoring systemen die mensen beoordelen op basis van gedrag
- Manipulatieve AI die kwetsbare groepen uitbuit
- Real-time biometrische identificatie in openbare ruimtes (met beperkte uitzonderingen)
- Emotieherkenning op de werkvloer of in het onderwijs
2. Hoog-risico AI-systemen
Dit zijn AI-systemen die significante impact hebben op mensen. Denk aan AI voor werving en selectie, kredietbeoordeling, onderwijs en medische diagnostiek.
Verplichtingen voor hoog-risico AI-systemen:
| Verplichting | Wat het inhoudt |
|---|---|
| Risicomanagementsysteem | Doorlopende identificatie en beperking van risico's |
| Data governance | Eisen aan kwaliteit, relevantie en representativiteit van trainingsdata |
| Technische documentatie | Gedetailleerde beschrijving van het systeem en de werking |
| Logging | Automatische registratie van relevante gebeurtenissen |
| Transparantie | Gebruikers informeren dat ze met AI te maken hebben |
| Menselijk toezicht | Mogelijkheid voor menselijke interventie en override |
| Nauwkeurigheid en robuustheid | Systeem moet betrouwbaar en veilig functioneren |
3. AI-systemen met beperkt risico
Hierbij gelden voornamelijk transparantieverplichtingen. Voorbeelden zijn chatbots en AI-gegenereerde content. Gebruikers moeten weten dat ze met AI communiceren of dat content door AI is gemaakt.
4. Minimaal risico
De meeste AI-toepassingen vallen in deze categorie. Spamfilters, AI in videogames en aanbevelingssystemen hebben geen aanvullende verplichtingen. Vrijwillige gedragscodes worden wel gestimuleerd.
Tijdlijn: welke EU AI Act verplichtingen gaan wanneer in?
De AI Act wordt gefaseerd ingevoerd. Markeer deze data in je agenda:
- Februari 2025: Verboden AI-praktijken worden van kracht. De AI-geletterdheidseis gaat in voor alle organisaties.
- Augustus 2025: Regels voor general-purpose AI (GPAI) modellen worden van kracht, inclusief modellen zoals GPT-4 en Gemini.
- Augustus 2026: Verplichtingen voor hoog-risico AI-systemen worden volledig van kracht. Dit is de belangrijkste deadline voor de meeste bedrijven.
- Augustus 2027: Regels voor hoog-risico systemen die ook onder andere EU-wetgeving vallen, zoals medische apparatuur en financiele producten.
Tip voor bedrijven: Begin nu met voorbereiden, ook als de meeste verplichtingen pas in 2026 of 2027 ingaan. De AI-geletterdheidseis geldt al sinds februari 2025 en vereist dat medewerkers voldoende kennis hebben van AI.
Concrete stappen voor MKB-bedrijven
Het hoeft niet ingewikkeld te zijn. Volg dit stappenplan om je organisatie voor te bereiden op de AI regelgeving.
Stap 1: Maak een AI-inventarisatie
Breng in kaart welke AI-systemen je organisatie gebruikt. Denk breder dan alleen ChatGPT:
- Marketingtools met AI (zoals Jasper, HubSpot AI)
- Recruitmentsoftware met geautomatiseerde screening
- Boekhoudsoftware met AI-categorisatie
- Klantenservice chatbots
- AI-functies in bestaande bedrijfssoftware
Stap 2: Classificeer het risico
Bepaal per AI-systeem in welke risicocategorie het valt. Gebruik de officiële lijst van hoog-risico toepassingen uit de AI Act Nederland als referentie. Bij twijfel, classificeer hoger dan lager.
Stap 3: Documenteer en registreer
Leg voor elk AI-systeem vast:
- Het doel en de toepassing
- De leverancier en het type systeem
- De risicoklassificatie
- Welke data het systeem verwerkt
- Wie verantwoordelijk is binnen de organisatie
Stap 4: Wijs verantwoordelijkheden toe
Benoem een AI-verantwoordelijke of AI-officer. Bij kleinere organisaties kan dit een bestaande functie zijn die erbij wordt genomen. Zorg dat deze persoon overzicht houdt op AI-gebruik, contact is voor de toezichthouder en AI-geletterdheid in de organisatie bewaakt.
Stap 5: Investeer in AI-geletterdheid
De AI Act vereist dat medewerkers die AI-systemen bedienen voldoende kennis hebben. Organiseer trainingen en zorg dat kennis actueel blijft, ons artikel over AI-skills ontwikkelen bij medewerkers biedt hiervoor een concreet raamwerk. Dit is geen eenmalige actie maar een doorlopend proces.
Veelgemaakte fouten bij voorbereiding
Voorkom deze valkuilen bij het voorbereiden op AI compliance:
- "Wij zijn te klein voor de AI Act." De verordening geldt voor alle organisaties, ongeacht grootte. De verplichtingen zijn wel proportioneel: MKB-bedrijven krijgen bepaalde vrijstellingen voor documentatie.
- "Wij ontwikkelen geen AI, dus het geldt niet voor ons." De AI Act kent verplichtingen voor zowel aanbieders (providers) als gebruikers (deployers). Wie AI-tools inzet voor bedrijfsprocessen, valt er ook onder.
- "We wachten tot het verplicht is." De AI-geletterdheidseis geldt nu al. Stel nu alvast een AI-beleid op. Bovendien kost het opzetten van documentatie en processen tijd. Beginnen in de laatste maand voor een deadline is een recept voor problemen.
- "Onze AI-leverancier regelt het wel." Leveranciers hebben hun eigen verplichtingen, maar als gebruiker ben je zelf verantwoordelijk voor correct gebruik, menselijk toezicht en transparantie richting betrokkenen.
Expert tip: Begin met een AI-inventarisatie. De meeste organisaties ontdekken dat ze meer AI-systemen gebruiken dan ze dachten. Dit overzicht is de basis voor alle vervolgstappen richting AI compliance.
Lees ook
- AI-beleid voor je organisatie: praktisch template
- AVG-checklist voor dagelijks AI-gebruik
- AI en auteursrecht: wat je moet weten
Veelgestelde vragen
Geldt de AI Act ook voor AI-tools van Amerikaanse leveranciers?
Ja. De AI Act werkt op basis van het marktprincipe: elke AI-toepassing die in de EU wordt aangeboden of gebruikt, valt onder de AI verordening. Het maakt niet uit waar de leverancier gevestigd is. Dit geldt voor tools als ChatGPT, Claude, Gemini en alle andere AI-diensten.
Wat zijn de boetes bij niet-naleving van de AI Act Nederland?
De boetes zijn aanzienlijk. Voor verboden AI-praktijken gelden boetes tot 35 miljoen euro of 7% van de wereldwijde omzet. Voor overige overtredingen gelden boetes tot 15 miljoen euro of 3% van de omzet. Voor onjuiste informatie aan toezichthouders geldt maximaal 7,5 miljoen euro of 1% van de omzet.
Wie houdt toezicht op naleving in Nederland?
De Autoriteit Persoonsgegevens (AP) is aangewezen als toezichthouder voor de AI Act in Nederland. Zij kunnen handhavend optreden bij overtredingen. Daarnaast werken zij samen met Europese toezichthouders via de European AI Board.
Hulp nodig bij AI implementatie?
Neem contact op voor een gratis intakegesprek en ontdek hoe AI jouw werk en team kan versterken.