De Europese AI Act is de eerste brede EU-verordening voor kunstmatige intelligentie en legt vast wanneer AI verboden is, wanneer het als hoog risico geldt en welke verplichtingen dan gelden. Het doel: veilige, transparante AI die fundamentele rechten respecteert.
Wat is de EU AI Act?
De EU AI Act (AI-verordening) introduceert één Europees kader voor het ontwikkelen, aanbieden en gebruiken van AI-systemen binnen de EU. De wet richt zich op het beperken van schade, het versterken van vertrouwen in AI en het borgen van rechten zoals non-discriminatie, privacy en menselijke autonomie. Voor organisaties betekent dit: beter inzicht in waar AI wordt ingezet, welke risico’s daarbij horen en welke maatregelen aantoonbaar zijn genomen.
Belangrijke definities en risicoclassificatie
De kern van de AI Act is risicogebaseerde regulering. AI-systemen worden ingedeeld in vier niveaus, met oplopende eisen naarmate het risico groter is:
- Verboden risico: AI-toepassingen die onaanvaardbare schade veroorzaken.
- Hoog risico: AI in gevoelige contexten met grote impact op veiligheid en rechten.
- Beperkt risico: vooral transparantieverplichtingen richting gebruikers.
- Minimaal risico: weinig tot geen extra verplichtingen.
Welke AI-toepassingen zijn verboden of hoog risico?
Verboden praktijken omvatten onder meer manipulatieve of misleidende AI die gedrag op schadelijke wijze stuurt, social scoring door overheden of organisaties, bepaalde voorspelde risicobeoordelingen voor criminaliteit, en realtime biometrische identificatie op afstand in publieke ruimtes (met zeer beperkte uitzonderingen in handhavingscontext).
Hoogrisico-AI betreft toepassingen in domeinen waar fouten of bias direct grote gevolgen kunnen hebben, zoals toegang tot essentiële diensten, selectieprocessen, onderwijs, werk, kredietwaardigheid, kritieke infrastructuur en bepaalde rechtshandhavings- en migratieprocessen. De precieze kwalificatie hangt af van de functie, de context en de beoogde inzet.
Verplichtingen voor aanbieders, leveranciers en gebruikers
Voor hoogrisico-AI gelden stevige eisen, waaronder risicomanagement, kwaliteits- en datagovernance, technische documentatie, logboeken, transparantie-informatie en menselijk toezicht. In veel gevallen is een conformiteitsbeoordeling vereist voordat het systeem op de markt komt of in gebruik wordt genomen.
Gebruikers (deployers) krijgen eveneens verantwoordelijkheden, zoals het correct gebruiken volgens instructies, het monitoren van prestaties en het melden of registreren van ernstige incidenten waar relevant. Bij beperkt risico draait het vooral om duidelijke transparantie, bijvoorbeeld wanneer mensen met AI interacteren.
Invoering in Nederland
De AI Act treedt stapsgewijs in werking. In Nederland gelden sinds februari 2025 de eerste bepalingen. De volledige toepassing is gepland per 2 augustus 2027. De handhaving loopt via nationale toezichthouders en aangewezen instanties, afhankelijk van het toepassingsgebied.
Handhaving, sancties en praktische stappen
De AI Act kent stevige sancties bij overtredingen, met nadruk op verboden praktijken en niet-naleving bij hoogrisico-AI. Praktisch starten organisaties het best met een AI-inventaris, risicoclassificatie per use case, een besluit over rol (aanbieder of gebruiker), en het inrichten van governance: documentatie, monitoring, incidentproces en training voor teams die AI ontwerpen of inzetten.
