Als klantenserviceorganisatie moet je voor AI Act-compliance allereerst in kaart brengen welke AI-systemen je gebruikt, in welke risicocategorie ze vallen en welke verplichtingen daarbij horen. De EU AI Act (Verordening (EU) 2024/1689) is de eerste alomvattende AI-regulering ter wereld en geldt voor iedereen die AI-systemen maakt, gebruikt of inzet binnen de EU. In dit artikel beantwoorden we de meest gestelde vragen over wat compliance concreet betekent voor jouw organisatie, van risicoclassificatie tot documentatie en aansprakelijkheid. Bekijk ook onze pagina over AI-gedreven intelligentie voor meer context over hoe AI praktisch wordt ingezet in klantcontact.
Welke AI-systemen in klantenservice vallen onder de AI Act?
De meeste AI-systemen die je als klantenserviceorganisatie inzet, vallen onder de AI Act, maar het risiconiveau verschilt sterk per toepassing. Chatbots en virtuele assistenten die transparant communiceren dat ze geautomatiseerd zijn, vallen doorgaans in de categorie beperkt risico. Systemen die klanten profileren of beslissingen nemen over toegang tot diensten, kunnen als hoog-risico worden geclassificeerd.
Concreet zijn er vier risiconiveaus: onaanvaardbaar risico (verboden), hoog risico (streng gereguleerd), beperkt risico (lichte transparantieverplichtingen) en minimaal risico (grotendeels ongereguleerd). Voor klantenservice zijn de meest relevante categorieën:
- Chatbots en virtuele assistenten: beperkt risico, maar je bent verplicht om gebruikers te informeren dat ze met een AI-systeem communiceren.
- Systemen die klanten scoren of profileren: altijd hoog-risico, ongeacht het doel. Denk aan tools die klantgedrag analyseren om prioriteit of toegang te bepalen.
- AI voor personeelsbeheer of roostering: valt onder de hoog-risicocategorie van Annex III (werkgelegenheid en personeelsbeheer).
- Emotieherkenning bij medewerkers of klanten: verboden op de werkplek, behoudens strikt omschreven uitzonderingen voor medische of veiligheidsdoeleinden.
- Systemen voor noodoproepen of toegang tot essentiële diensten: hoog-risico op grond van Annex III.
Een systeem dat uitsluitend een enge procedurele of voorbereidende taak vervult en geen significant risico voor grondrechten vormt, kan buiten de hoog-risicocategorie vallen. Dit vereist echter wel dat je dit als organisatie onderbouwd documenteert.
Wat zijn de verplichtingen voor hoog-risico AI-toepassingen?
Als een AI-systeem in jouw klantenservice als hoog-risico wordt geclassificeerd, gelden uitgebreide verplichtingen op het gebied van transparantie, documentatie, menselijk toezicht en risicobeheer. Deze verplichtingen gelden voor zowel de aanbieder als de gebruiker (deployer) van het systeem, elk in hun eigen rol.
De belangrijkste verplichtingen voor hoog-risico AI zijn:
- Risicomanagementsysteem: je moet gedurende de gehele levenscyclus van het systeem risico’s identificeren, analyseren en mitigeren.
- Technische documentatie: gedetailleerde beschrijving van het systeem, het beoogde doel, de trainingsdata en de prestaties.
- Logging en traceerbaarheid: automatische logging van gebeurtenissen zodat toezichthouders achteraf kunnen controleren hoe beslissingen tot stand zijn gekomen.
- Transparantie naar gebruikers: duidelijke instructies over hoe het systeem werkt, wat de beperkingen zijn en hoe menselijk toezicht is georganiseerd.
- Menselijk toezicht: er moet altijd een mens in staat zijn om in te grijpen, het systeem te pauzeren of beslissingen te corrigeren.
- Nauwkeurigheid, robuustheid en cybersecurity: het systeem moet aantoonbaar nauwkeurig zijn en bestand zijn tegen fouten en misbruik.
Systemen die profilering van natuurlijke personen uitvoeren, zijn altijd hoog-risico. Dit is een harde regel zonder uitzonderingen, dus het is belangrijk om goed te inventariseren of jouw systemen dit doen.
Wanneer moet je voldoen aan de AI Act als organisatie?
De AI Act kent een gefaseerde inwerkingtreding. Vanaf 2 februari 2025 gelden al de verboden op onaanvaardbare AI-praktijken en de verplichting tot AI-geletterdheid binnen je organisatie. De meeste verplichtingen voor hoog-risicosystemen worden van kracht per 2 augustus 2026.
De tijdlijn die voor klantenserviceorganisaties het meest relevant is, ziet er als volgt uit:
- 2 februari 2025 (al van kracht): verboden praktijken zijn niet meer toegestaan, en je bent verplicht om medewerkers die met AI werken voldoende AI-geletterd te maken.
- 2 augustus 2025 (al van kracht): verplichtingen voor aanbieders van General Purpose AI-modellen (zoals grote taalmodellen) zijn actief. Boetebepalingen gelden ook al.
- 2 augustus 2026: de meeste verplichtingen voor hoog-risicosystemen uit Annex III worden van kracht. Dit is de belangrijkste deadline voor de meeste klantenserviceorganisaties.
- 2 augustus 2027: verplichtingen voor hoog-risico AI als veiligheidscomponent van gereguleerde producten worden actief.
In 2026, het huidige jaar, is het dus zaak om serieus aan de slag te gaan met je compliance-traject als je hoog-risicosystemen gebruikt. Wacht niet tot de deadline, want het opzetten van documentatie, risicomanagement en interne processen kost meer tijd dan je denkt.
Wie is verantwoordelijk voor AI Act compliance: leverancier of gebruiker?
Zowel de aanbieder (de partij die het AI-systeem ontwikkelt of op de markt brengt) als de deployer (de organisatie die het systeem inzet) heeft eigen verplichtingen onder de AI Act. Als klantenserviceorganisatie ben je in de meeste gevallen deployer, maar dat ontslaat je niet van verantwoordelijkheid.
De verdeling van verantwoordelijkheden werkt als volgt:
- De aanbieder is verantwoordelijk voor de conformiteitsbeoordeling, technische documentatie, CE-markering (voor hoog-risicosystemen) en het informeren van deployers over de capaciteiten en beperkingen van het systeem.
- De deployer (jij als organisatie) is verantwoordelijk voor het correct gebruiken van het systeem conform de instructies van de aanbieder, het organiseren van menselijk toezicht, het informeren van medewerkers en klanten, en het melden van ernstige incidenten.
Er is een belangrijk aandachtspunt: als je als organisatie een AI-systeem substantieel aanpast, je eigen naam erop zet, of het beoogde doel zodanig wijzigt dat het hoog-risico wordt, word je zelf aanbieder met alle bijbehorende verplichtingen. Dit is een veelgemaakte misvatting die kan leiden tot onverwachte aansprakelijkheid.
Controleer bij elke AI-tool die je inkoopt of de leverancier aantoonbaar compliant is. Vraag naar technische documentatie, conformiteitsverklaringen en hoe zij omgaan met de verplichtingen onder de AI Act.
Hoe documenteer je AI-gebruik voor toezichthouders?
Voor toezichthouders moet je als organisatie kunnen aantonen welke AI-systemen je gebruikt, waarvoor, hoe menselijk toezicht is georganiseerd en hoe je risico’s beheert. Goede documentatie is de ruggengraat van AI Act-compliance en begint met een heldere inventarisatie van alle AI-toepassingen binnen je organisatie.
Een praktische aanpak voor documentatie omvat de volgende stappen:
- AI-inventarisatie: maak een overzicht van alle AI-systemen die je gebruikt, inclusief chatbots, routeringsalgoritmen, analysesoftware en eventuele ingebouwde AI in je CRM of contactcenterplatform.
- Risicoclassificatie per systeem: bepaal voor elk systeem het risiconiveau op basis van de criteria uit de AI Act. Leg de redenering vast, ook als je concludeert dat een systeem geen hoog-risico vormt.
- Gebruik-logboek: houd bij hoe en waarvoor elk systeem wordt ingezet, wie er toegang toe heeft en hoe beslissingen worden genomen of ondersteund.
- Incident- en klachtenregistratie: documenteer eventuele fouten, klachten van klanten of medewerkers en hoe je hierop hebt gereageerd.
- Menselijk toezicht: leg vast wie verantwoordelijk is voor toezicht op elk systeem en hoe ingrijpen in de praktijk werkt.
- Bewaarplicht: technische documentatie en conformiteitsverklaringen van aanbieders moet je tien jaar bewaren.
AI-geletterdheid van medewerkers is ook een documentatieplicht. Je moet kunnen aantonen dat medewerkers die met AI-systemen werken, voldoende kennis hebben om de output te beoordelen en te begrijpen wanneer menselijk ingrijpen noodzakelijk is.
Wat zijn de gevolgen van niet-naleving van de AI Act?
De boetes voor niet-naleving van de AI Act zijn aanzienlijk en zijn al van kracht. Voor het overtreden van de verboden praktijken uit Artikel 5 kan een boete worden opgelegd van maximaal 35 miljoen euro of 7% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is.
De boetestructuur kent drie niveaus:
- Verboden praktijken (Artikel 5): maximaal 35 miljoen euro of 7% van de wereldwijde jaaromzet.
- Non-conformiteit met overige verplichtingen: maximaal 15 miljoen euro of 3% van de wereldwijde jaaromzet.
- Onjuiste of misleidende informatie aan autoriteiten: maximaal 7,5 miljoen euro of 1% van de wereldwijde jaaromzet.
Naast financiële boetes zijn er ook reputatierisico’s. Toezichthouders kunnen besluiten om handhavingsacties openbaar te maken, wat het vertrouwen bij klanten en medewerkers kan schaden. In Nederland worden de handhavingsbevoegdheden belegd bij nationale markttoezichtautoriteiten, wat betekent dat de interpretatie en prioritering per lidstaat kan verschillen.
Voor kleinere organisaties geldt dat bij boetes altijd het laagste bedrag van het percentage of het vaste bedrag van toepassing is. Toch is ook een lagere boete een stevige financiële klap, los van de operationele verstoring die een onderzoek met zich meebrengt.
Hoe Pegamento helpt met AI Act compliance in klantenservice
AI Act-compliance is geen eenmalig project maar een doorlopend proces dat vraagt om de juiste technologie, heldere processen en aantoonbaar toezicht. Wij helpen klantenserviceorganisaties om AI verantwoord in te zetten, met oplossingen die zijn opgebouwd uit bewezen modules zonder kostbaar maatwerk. Onze Agentic AI voor customer service is een goed voorbeeld: waar traditionele RPA werkte met uitvoerende bots die instructies opvolgden, positioneren wij dit tegenwoordig als Agentic AI, zelfdenkende assistenten die zelfstandig initiatief nemen, context begrijpen en handelen zonder dat elke stap vooraf geprogrammeerd hoeft te zijn.
Wat je bij ons kunt verwachten op het gebied van AI compliance:
- Transparante systemen: onze oplossingen zijn ontworpen met menselijk toezicht als uitgangspunt, niet als bijzaak.
- Alles onder één dak: van implementatie tot beheer en ondersteuning, één aanspreekpunt zonder complex leveranciersmanagement.
- Documentatie-ondersteuning: we helpen je bij het in kaart brengen van AI-gebruik en het opzetten van de benodigde registraties.
- ISO 27001 gecertificeerd: informatiebeveiliging staat bij ons voorop, aangevuld met ISO 9001 en ISO 26000 voor kwaliteit en maatschappelijke verantwoordelijkheid.
- Risicoclassificatie: samen beoordelen we welke systemen onder welke categorie vallen en wat dat voor jouw organisatie betekent.
Wil je weten waar jouw organisatie staat op het gebied van AI Act-compliance en hoe je stap voor stap de juiste maatregelen treft? Neem contact met ons op en we denken graag met je mee.
Veelgestelde vragen
Moet ik als kleine of middelgrote klantenserviceorganisatie ook voldoen aan de AI Act?
Ja, de AI Act geldt voor alle organisaties die AI-systemen gebruiken binnen de EU, ongeacht de omvang. Er is wel een beperkte uitzondering voor micro-ondernemingen bij sommige verplichtingen, maar de kernverplichtingen zoals het naleven van verboden praktijken en het waarborgen van AI-geletterdheid gelden ook voor kleine organisaties. Juist voor kleinere organisaties is het verstandig om vroeg te beginnen, omdat de capaciteit om documentatie en processen op te zetten doorgaans beperkter is.
Hoe weet ik of de AI die al ingebouwd zit in mijn CRM of contactcenterplatform ook onder de AI Act valt?
Ja, ook ingebouwde AI-functionaliteiten in platforms zoals je CRM of contactcenteroplossing vallen onder de AI Act als ze aan de definitie van een AI-systeem voldoen. Vraag je leverancier expliciet welke AI-componenten in het platform zijn verwerkt, hoe deze zijn geclassificeerd en of de leverancier een conformiteitsverklaring kan overleggen. Als deployer ben jij mede verantwoordelijk voor het correct gebruik van deze systemen, ook al heb je ze niet zelf gebouwd.
Wat is het verschil tussen een AI-systeem en gewone automatisering, en hoe weet ik welke categorie mijn tool heeft?
De AI Act hanteert een specifieke definitie: een AI-systeem is een systeem dat op basis van input redeneert, voorspelt, aanbevelingen doet of beslissingen neemt op een manier die verder gaat dan eenvoudige regelgebaseerde automatisering. Traditionele RPA die vaste regels volgt zonder leren of redeneren, valt doorgaans buiten de definitie. Twijfel je over een specifiek systeem? Raadpleeg de officiële definitie in Artikel 3 van de AI Act en leg je redenering vast in je documentatie, ook als je concludeert dat het géén AI-systeem is.
Wat moet ik praktisch regelen rondom de AI-geletterdheidsplicht die al geldt sinds februari 2025?
De AI-geletterdheidsplicht houdt in dat je aantoonbaar moet zorgen dat medewerkers die met AI-systemen werken voldoende kennis hebben om de output te begrijpen, kritisch te beoordelen en te herkennen wanneer menselijk ingrijpen nodig is. Praktisch betekent dit: stel een basistraining op over de AI-tools die je gebruikt, documenteer wie welke training heeft gevolgd en zorg dat medewerkers weten hoe ze fouten of afwijkingen kunnen signaleren en escaleren. Een interne kennissessie of e-learning module is al een goede eerste stap die je kunt documenteren.
Wat moet ik doen als een klant vraagt of hij met een AI-systeem praat en hoe leg ik dit correct vast?
Onder de AI Act ben je verplicht om gebruikers te informeren wanneer ze met een AI-systeem communiceren, zoals een chatbot of virtuele assistent. Dit moet duidelijk, begrijpelijk en tijdig gebeuren, bij voorkeur aan het begin van de interactie. Leg in je documentatie vast hoe en wanneer deze melding wordt gedaan, in welk kanaal en via welke formulering. Zorg ook dat klanten altijd de mogelijkheid hebben om een menselijke medewerker te bereiken, en documenteer hoe dit in de praktijk is georganiseerd.
Hoe ga ik om met een AI-systeem dat ik van een leverancier inkoop maar waarvan ik twijfel of het compliant is?
Vraag je leverancier proactief om een conformiteitsverklaring, technische documentatie en een toelichting op hoe zij invulling geven aan de verplichtingen onder de AI Act. Leg deze informatie vast in je eigen documentatie en maak compliance-vereisten onderdeel van je inkoopcontracten en Service Level Agreements. Als een leverancier geen duidelijkheid kan geven over compliance, is dat een serieus risicosignaal: als deployer kun je namelijk ook aansprakelijk worden gesteld als je een niet-compliant systeem blijft inzetten.
Kan ik mijn bestaande privacydocumentatie (AVG/GDPR) hergebruiken voor AI Act-compliance, of moet ik alles opnieuw opbouwen?
Je kunt bestaande AVG-documentatie zeker als vertrekpunt gebruiken, maar de AI Act stelt aanvullende en deels andere eisen. Zo vereist de AI Act specifieke technische documentatie over het AI-systeem zelf, een risicomanagementsysteem gericht op grondrechten en veiligheid, en logging van beslissingen die verder gaat dan wat de AVG vereist. Praktisch advies: gebruik je bestaande registers en DPIA-methodiek als basis, maar vul deze aan met de AI Act-specifieke elementen zoals risicoclassificatie, menselijk toezicht en bewaarplicht voor technische documentatie van tien jaar.
Gerelateerde artikelen
- Waarom daalt je NPS – en wat kun je er concreet aan doen?
- Hoe bescherm je klantdata in een omnichannel contactcenter met data soevereiniteit?
- Welke vragen moet een AI-assistent altijd doorverbinden naar een mens?
- Wanneer loont een AI-assistent voor MKB Plus organisaties?
- Hoe meet je de nauwkeurigheid van AI-assistent antwoorden?


