EU AI Act: wat jij vóór 2 augustus moet regelen

In dit artikel:

De EU AI Act is sinds juli 2024 een bindende Europese verordening die AI-systemen reguleert op basis van risico voor mensen en maatschappij. Belangrijke data: publicatie 12 juli 2024, inwerkingtreding augustus 2024, en de cruciale nalevingsdeadline voor hoog-risicoverplichtingen is 2 augustus 2026 — een mogelijke uitstelpoging mislukte op 28 april 2026, dus die datum staat voorlopig vast. De wet geldt voor iedereen in de EU die AI gebruikt in een organisatie, ook wanneer je die tools alleen afneemt als dienst.

Wat verandert concreet?
- Risicogebaseerde indeling: verboden AI (nooit toegestaan, zoals heimelijke manipulatie of realtime biometrisch toezicht), hoog-risico AI (systemen die fundamentele rechten of belangrijke beslissingen raken), beperkt-risico AI (transparantieplicht, bijvoorbeeld chatbots of AI-gegenereerde content) en minimaal risico (de meeste productiviteitstools).
- Vanaf 2 augustus 2026 treden de nalevingsvereisten voor hoog-risico systemen in werking: documentatie, risicomanagement, menselijk toezicht, transparantie en registratie in de EU-database. Ook de transparantie-eisen voor beperkt-risico gelden dan.
- Sancties zijn substantieel: boetes voor overtredingen van hoog-risico regels kunnen oplopen tot 15 miljoen euro of 3% van de wereldwijde omzet; bij verboden AI tot 35 miljoen euro of 7% van de omzet. Voor mkb is er een proportionele berekening, maar geen vrijstelling.

Wie is verantwoordelijk?
- De wet maakt onderscheid tussen aanbieders (ontwikkelaars) en gebruikers (organisaties die AI inzetten). Veel ondernemers beseffen dit niet: ook als je een kant-en-klare tool koopt, blijf je als gebruiker verantwoordelijk voor hoe de AI wordt ingezet en welke gevolgen dat heeft.

Praktische voorbeelden van toolclassificatie
- Generatieve modellen (bijv. grote taalmodellen): vaak laag risico voor interne tekstverwerking, maar wanneer hun output direct beslissingen over mensen beïnvloedt, verschuift de verantwoordelijkheid naar de gebruiker.
- Klantenservicechatbots: meestal beperkt risico; je moet expliciet aangeven dat het om AI gaat.
- Wervings- of selectie-AI: vrijwel altijd hoog-risico; werkgevers moeten aantonen dat systemen eerlijk en verklaarbaar zijn.
- Boeking/boekhoudautomatisering en bonherkenning: doorgaans minimaal risico, tenzij ze beslissingen over mensen maken.
- Krediet- of betalingsrisico-waardering: hoog-risico en expliciet genoemd in de wet.

Waarom dit belangrijk is
- Naast het afdwingen van rechten en veiligheid biedt naleving ook commerciële kansen: transparantie en verantwoorde toepassing bouwen vertrouwen bij klanten, medewerkers en partners en kunnen onderscheidend werken.

Drie directe stappen voor ondernemers
1. Maak een AI-inventarisatie: welke tools gebruikt je organisatie, door wie en waarvoor?
2. Classificeer het risico per tool: kan het systeem beslissingen over mensen maken? Dan is het hoog-risico.
3. Controleer transparantie: staat bij chatbots en AI-content duidelijk vermeld dat het AI is? Zijn medewerkers geïnformeerd?

Kort gezegd: veel bedrijven hoeven geen ingrijpende technische herbouw te doen, maar moeten wél weten welke AI ze gebruiken en hoe. Begin nu met inventariseren en documenteren; 2 augustus 2026 is snel dichterbij dan het lijkt en handhaving wordt serieus genomen.