De eerste AI-wet ter wereld
Op 1 augustus 2024 trad de EU AI Act officieel in werking — de eerste uitgebreide wetgeving voor kunstmatige intelligentie ter wereld. De verordening introduceert een risicogebaseerde benadering: hoe hoger het risico van een AI-systeem, hoe strenger de regels.
Voor Nederlandse bedrijven die AI ontwikkelen, implementeren of gebruiken, is het essentieel om te begrijpen in welke categorie hun systemen vallen. De classificatie bepaalt welke verplichtingen gelden en welke deadlines van toepassing zijn.
De 4 risiconiveaus
De AI Act verdeelt AI-systemen in vier categorieën, elk met eigen regels:
1. Onaanvaardbaar risico — verboden
AI-systemen die als onaanvaardbaar risico worden geclassificeerd, zijn verboden in de EU. Dit betreft:
| Verboden toepassing | Toelichting | |---|---| | Social scoring door overheden | Beoordeling van burgers op basis van sociaal gedrag | | Realtime biometrische identificatie op afstand | Gezichtsherkenning in openbare ruimten (uitzonderingen voor opsporing) | | Manipulatie van kwetsbare groepen | AI die misbruik maakt van kwetsbaarheid (leeftijd, handicap) | | Voorspellend politiewerk op individueel niveau | Profiling op basis van persoonlijkheidskenmerken | | Emotieherkenning op werk en school | Aflezen van emoties via AI in bedrijven en onderwijsinstellingen | | Ongerichte scraping voor gezichtsdatabases | Verzamelen van gezichtsbeelden van internet of camera's |
Deadline: deze verboden gelden sinds 2 februari 2025.
2. Hoog risico — strenge eisen
Dit is de meest uitgebreide categorie. Hoog-risico AI-systemen mogen worden ingezet, maar onder strikte voorwaarden.
Bijlage III: specifieke toepassingsgebieden
| Sector | Voorbeeld | |---|---| | Biometrie | Identificatie/verificatie op afstand | | Kritieke infrastructuur | AI-besturing van energie, water, verkeer | | Onderwijs | Toelatingsbesluiten, fraudedetectie bij examens | | Werkgelegenheid | Screening CV's, promotiebesluiten, prestatiebeoordeling | | Essentiële diensten | Creditscoring, bepaling sociale uitkeringen, ziektekostenverzekering | | Rechtshandhaving | Leugendetectie, risicobeoordeling recidive | | Migratie | Asielaanvragen beoordelen, grensbewaking | | Rechtspraak | Ondersteuning bij juridische interpretatie |
Bijlage I: als veiligheidscomponent
AI-systemen die als veiligheidscomponent fungeren in producten die onder bestaande EU-wetgeving vallen (medische hulpmiddelen, machines, voertuigen, speelgoed, liften, etc.).
3. Beperkt risico — transparantieverplichtingen
AI-systemen met beperkt risico moeten aan transparantieverplichtingen voldoen:
| Verplichting | Van toepassing op | |---|---| | Melden dat gebruiker met AI interageert | Chatbots, virtuele assistenten | | Labelen van AI-gegenereerde content | Deepfakes, AI-tekst, AI-afbeeldingen | | Melden van emotieherkenning | Systemen die emoties detecteren |
Gebruikers moeten altijd weten dat ze met een AI-systeem te maken hebben.
4. Minimaal risico — geen specifieke eisen
De meeste AI-systemen vallen in deze categorie en zijn vrij te gebruiken zonder aanvullende verplichtingen:
- Spamfilters
- AI in videogames
- Aanbevelingssystemen (met uitzondering van zeer grote platforms)
- Voorraadoptimalisatie
Wel wordt een vrijwillige gedragscode aangemoedigd.
Verplichtingen voor hoog-risico AI
Als uw AI-systeem als hoog risico wordt geclassificeerd, gelden uitgebreide verplichtingen:
Voor aanbieders (ontwikkelaars)
| Verplichting | Toelichting | |---|---| | Risicobeheersysteem | Doorlopend proces van risico-identificatie en -mitigatie | | Data governance | Trainingsdata moet representatief, relevant en foutvrij zijn | | Technische documentatie | Gedetailleerde beschrijving van ontwerp, prestaties en beperkingen | | Logging | Automatische registratie van werking voor traceerbaarheid | | Transparantie | Gebruikersinformatie over mogelijkheden en beperkingen | | Menselijk toezicht | Mogelijkheid voor menselijke tussenkomst en correctie | | Nauwkeurigheid en robuustheid | Voldoen aan prestatie-eisen, bestand tegen manipulatie | | Cybersecurity | Bescherming tegen aanvallen die de werking beïnvloeden | | Conformiteitsbeoordeling | Certificering vóór marktintroductie | | EU-registratie | Registratie in de EU-database voor hoog-risico AI |
Voor gebruikers (deployers)
| Verplichting | Toelichting | |---|---| | Gebruiken volgens instructies | Conform de technische documentatie | | Menselijk toezicht | Competente personen aanwijzen voor oversight | | Inputdata monitoren | Relevantie en kwaliteit van invoergegevens bewaken | | Logboek bewaren | Automatisch gegenereerde logs minimaal 6 maanden bewaren | | Transparantie | Betrokkenen informeren over AI-gebruik | | DPIA | Effectbeoordeling onder AVG als persoonsgegevens worden verwerkt |
Tijdlijn implementatie
| Datum | Wat | |---|---| | 1 augustus 2024 | Inwerkingtreding | | 2 februari 2025 | Verbod op onaanvaardbaar risico | | 2 augustus 2025 | Regels voor general-purpose AI (GPAI) | | 2 augustus 2026 | Meeste verplichtingen hoog-risico AI | | 2 augustus 2027 | Hoog-risico AI als veiligheidscomponent |
Handhaving
In Nederland wordt de handhaving voorbereid. Verwacht wordt dat de Autoriteit Persoonsgegevens, de Rijksinspectie Digitale Infrastructuur en sectorale toezichthouders betrokken worden.
Boetes:
- Onaanvaardbaar risico / verboden praktijken: tot 35 miljoen euro of 7% omzet
- Niet-naleving hoog-risico eisen: tot 15 miljoen euro of 3% omzet
- Onjuiste informatie aan autoriteiten: tot 7,5 miljoen euro of 1,5% omzet
Stappenplan voor uw organisatie
- Inventariseer alle AI-systemen die u ontwikkelt of gebruikt
- Classificeer elk systeem volgens de risiconiveaus
- Beoordeel de gap tussen huidige praktijk en AI Act-vereisten
- Prioriteer op basis van risiconiveau en deadline
- Implementeer de vereiste maatregelen (governance, documentatie, monitoring)
- Monitor wijzigingen in de regelgeving en guidance van toezichthouders
Scan uw website gratis met WarDek — OWASP, NIS2, AVG, AI Act compliance in één scan.