De EU AI Act verplicht organisaties die AI ontwikkelen, importeren of inzetten om te voldoen aan een reeks wettelijke eisen die afhangen van het risiconiveau van het gebruikte AI-systeem. De verplichtingen variëren van transparantie-eisen voor eenvoudige chatbots tot uitgebreide conformiteitsbeoordelingen voor systemen die ingrijpen in grondrechten. In dit artikel beantwoorden we de meest gestelde vragen over de verplichtingen, de tijdlijn en de gevolgen van niet-naleving. Wil je alvast weten hoe AI jouw organisatie kan ondersteunen? Lees dan meer over AI-gedreven intelligentie en wat dat in de praktijk betekent.
Voor welke organisaties geldt de EU AI Act?
De EU AI Act geldt voor elke organisatie die AI-systemen ontwikkelt, op de markt brengt, importeert of inzet binnen de Europese Unie, ongeacht waar het bedrijf gevestigd is. Ook organisaties buiten de EU vallen onder de wet als hun AI-systemen worden gebruikt door mensen of bedrijven in de EU.
De wet onderscheidt verschillende rollen met elk eigen verantwoordelijkheden:
- Aanbieders zijn organisaties die een AI-systeem ontwikkelen en op de markt brengen. Zij dragen de zwaarste verplichtingen.
- Deployers zijn organisaties die een bestaand AI-systeem inzetten voor eigen gebruik of voor klanten.
- Importeurs moeten vóór marktintroductie verifiëren dat de conformiteitsbeoordeling is uitgevoerd, dat de CE-markering aanwezig is en dat de documentatie tien jaar bewaard blijft.
- Distributeurs controleren of de vereiste documenten aanwezig zijn en staken de verspreiding bij vermoeden van non-conformiteit.
Een belangrijk aandachtspunt: een distributeur, importeur, deployer of derde partij wordt zelf aanbieder met alle bijbehorende verplichtingen wanneer hij zijn naam op een systeem zet, een substantiële wijziging aanbrengt of het beoogde doel zodanig verandert dat een systeem in de hoog-risico categorie valt. Organisaties buiten de EU zijn bovendien verplicht een gemachtigde vertegenwoordiger in de EU aan te wijzen.
Hoe worden AI-systemen ingedeeld in risicocategorieën?
De EU AI Act hanteert vier risiconiveaus: verboden AI, hoog-risico AI, AI met beperkt risico en AI met minimaal of geen risico. De indeling bepaalt welke verplichtingen van toepassing zijn. De meeste AI-toepassingen die vandaag in gebruik zijn, vallen in de laagste categorie en blijven grotendeels ongereguleerd.
Verboden AI-toepassingen
Bepaalde AI-toepassingen zijn volledig verboden omdat ze een onaanvaardbaar risico vormen voor grondrechten en menselijke waardigheid. Deze verboden zijn van kracht sinds 2 februari 2025 en omvatten onder andere:
- Subliminale of manipulatieve technieken die buiten iemands bewustzijn gedrag sturen en aanzienlijke schade veroorzaken
- Het uitbuiten van kwetsbaarheden op grond van leeftijd, handicap of sociaaleconomische situatie
- Social scoring door overheden
- Predictive policing uitsluitend op basis van profilering
- Het aanleggen van gezichtsherkenningsdatabases via ongerichte scraping
- Emotieherkenning op de werkplek of in onderwijsinstellingen (behoudens medische of veiligheidsuitzonderingen)
- Biometrische categorisatie om gevoelige kenmerken zoals ras, politieke opvattingen of seksuele geaardheid af te leiden
- Real-time biometrische identificatie op afstand in openbare ruimten voor rechtshandhaving, met uitzondering van strikt omschreven situaties
Hoog-risico en lager-risico toepassingen
Hoog-risico AI is gedefinieerd in Artikel 6 van de wet op twee manieren: het systeem is een veiligheidscomponent van een product dat onder Europese harmonisatiewetgeving valt, of het valt onder één van de acht gebruikssituaties uit Annex III. Die acht domeinen zijn biometrie, kritieke infrastructuur, onderwijs en beroepsopleiding, werkgelegenheid en personeelsbeheer, toegang tot essentiële diensten (waaronder kredietwaardigheid en noodoproepen), rechtshandhaving, migratie en grenscontrole, en rechtsbedeling en democratische processen. Systemen die profilering van natuurlijke personen uitvoeren, zijn altijd hoog-risico, zonder uitzondering.
AI met beperkt risico valt onder lichtere transparantieverplichtingen, zoals de meldplicht bij chatbots. AI met minimaal risico, denk aan spamfilters of aanbevelingssystemen voor entertainment, is volledig ongereguleerd.
Welke verplichtingen gelden voor hoog-risico AI-systemen?
Aanbieders en deployers van hoog-risico AI-systemen moeten voldoen aan een uitgebreid pakket aan verplichtingen voordat het systeem op de markt gebracht of in gebruik genomen mag worden. De kern bestaat uit risicobeheer, datakwaliteit, technische documentatie en menselijk toezicht.
De belangrijkste verplichtingen zijn:
- Risicomanagementsysteem: een doorlopend systeem dat risico’s identificeert, analyseert en beheerst gedurende de volledige levenscyclus van het systeem
- Datakwaliteitseisen: trainings-, validatie- en testdata moeten voldoen aan kwaliteitscriteria op het gebied van relevantie, representativiteit en vrijheid van fouten
- Technische documentatie: gedetailleerde documentatie over het ontwerp, de werking en de prestaties van het systeem
- Transparantie en gebruikersinformatie: deployers moeten voldoende informatie ontvangen om het systeem verantwoord te kunnen gebruiken
- Menselijk toezicht: het systeem moet zo ontworpen zijn dat mensen het kunnen monitoren, begrijpen en indien nodig kunnen ingrijpen
- Nauwkeurigheid, robuustheid en cybersecurity: het systeem moet consistent presteren en bestand zijn tegen pogingen tot manipulatie
- Conformiteitsbeoordeling: afhankelijk van het type systeem door de aanbieder zelf of door een derde partij
- Registratie in de EU-databank: hoog-risico systemen moeten geregistreerd worden in een centrale Europese database
Een Annex III-systeem dat uitsluitend een enge procedurele of voorbereidende taak vervult en geen significant risico voor grondrechten vormt, kan buiten de hoog-risico categorie vallen, mits de aanbieder dit onderbouwd documenteert.
Wat zijn de transparantieverplichtingen voor AI-chatbots en -assistenten?
AI-systemen met beperkt risico, zoals chatbots en virtuele assistenten, moeten gebruikers duidelijk informeren dat zij met een AI-systeem communiceren en niet met een mens. Deze transparantieverplichting geldt zodra er sprake is van direct contact tussen het systeem en een eindgebruiker.
De meldplicht houdt in dat gebruikers op het moment van interactie op de hoogte worden gesteld. Dit is niet vereist als het voor een redelijk persoon evident is dat hij met een AI-systeem te maken heeft, bijvoorbeeld in een duidelijk gemarkeerde geautomatiseerde klantenserviceomgeving.
Voor General Purpose AI-modellen (GPAI), zoals grote taalmodellen, gelden aanvullende verplichtingen. Alle aanbieders van GPAI-modellen moeten:
- Technische documentatie opstellen en actueel houden conform Annex XI
- Downstream-aanbieders informeren over capaciteiten en beperkingen conform Annex XII
- Een beleid voeren om de Auteursrechtrichtlijn na te leven
- Een samenvatting van de gebruikte trainingsdata publiek beschikbaar stellen
Aanbieders van modellen onder een vrije en open-source licentie zijn vrijgesteld van de documentatie- en informatieverplichtingen, tenzij het model een systeemrisico vormt. Een GPAI-model wordt aangemerkt als model met systeemrisico wanneer de cumulatieve trainingscompute groter is dan 10 tot de macht 25 floating-point operations (FLOP). Bij het bereiken van die drempel moet de aanbieder de Europese Commissie binnen twee weken informeren.
Wanneer moeten organisaties voldoen aan de EU AI Act?
De EU AI Act kent een gefaseerde implementatietijdlijn. Niet alle verplichtingen gelden tegelijk, wat organisaties de ruimte geeft om stapsgewijs te voldoen. De meest urgente deadlines zijn al verstreken of staan voor de deur in 2026.
De belangrijkste mijlpalen zijn:
- 2 februari 2025: de verboden AI-praktijken uit Artikel 5 zijn van kracht geworden. Organisaties die verboden toepassingen gebruikten, hadden op deze datum al moeten stoppen.
- 2 augustus 2025: de verplichtingen voor aanbieders van GPAI-modellen zijn ingegaan. Dit geldt voor organisaties die grote taalmodellen of vergelijkbare generatieve AI-systemen aanbieden.
- 2026 en later: de volledige verplichtingen voor hoog-risico AI-systemen worden van kracht. Organisaties die hoog-risico systemen inzetten, hebben deze periode nodig om risicomanagementsystemen, documentatie en conformiteitsbeoordelingen op orde te brengen.
Tot geharmoniseerde normen beschikbaar zijn, kunnen aanbieders een gedragscode (Code of Practice) volgen om een vermoeden van conformiteit te verkrijgen. Dit biedt praktische houvast voor organisaties die nu al stappen willen zetten.
Wat zijn de sancties bij niet-naleving van de AI Act?
De EU AI Act voorziet in aanzienlijke boetes voor organisaties die de regels overtreden. De hoogte van de sanctie hangt af van de ernst van de overtreding en de omvang van de organisatie, waarbij voor grote bedrijven hogere absolute bedragen gelden.
De boetestructuur is als volgt opgebouwd:
- Verboden AI-praktijken: boetes tot 35 miljoen euro of 7% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is
- Overige inbreuken op de verplichtingen: boetes tot 15 miljoen euro of 3% van de wereldwijde jaaromzet
- Onjuiste informatie verstrekken aan toezichthouders: boetes tot 7,5 miljoen euro of 1% van de wereldwijde jaaromzet
Voor kleine en middelgrote ondernemingen gelden lagere maximumbedragen. Naast financiële sancties kunnen toezichthouders ook tijdelijke of permanente marktverboden opleggen voor non-conforme AI-systemen. De handhaving ligt bij nationale toezichthouders in samenwerking met het Europese AI Office, dat specifiek verantwoordelijk is voor toezicht op GPAI-modellen.
Hoe Pegamento helpt bij AI-compliance en slimme inzet van AI
Navigeren door de verplichtingen van de EU AI Act is complex, zeker als je tegelijkertijd AI wilt inzetten om je organisatie efficiënter te maken. Wij helpen Nederlandse organisaties om beide doelen te combineren: verantwoord en compliant AI inzetten die ook daadwerkelijk waarde levert.
Wat wij voor je kunnen betekenen:
- Agentic AI-assistenten die zelfstandig initiatief nemen en handelen, niet alleen instructies opvolgen. Dit is wat wij positioneren als de evolutie van traditionele RPA naar Agentic AI voor customer service: zelfdenkende assistenten die complexe taken autonoom afhandelen.
- Oplossingen op maat met standaard bouwblokken, zodat je geen kostbaar maatwerk nodig hebt maar toch een oplossing krijgt die precies aansluit op jouw processen en systemen.
- Alles onder één dak: van advies over risicoklassificatie en documentatie tot implementatie, beheer en ondersteuning, zonder complex leveranciersmanagement of silo’s.
- ISO 27001-gecertificeerde werkwijze als fundament voor informatiebeveiliging, aangevuld met ISO 9001 en ISO 26000 voor kwaliteit en maatschappelijke verantwoordelijkheid.
Wil je weten hoe jouw organisatie de stap naar verantwoorde AI kan zetten en tegelijkertijd voldoet aan de EU AI Act? Neem contact op en we denken graag met je mee.
Veelgestelde vragen
Hoe weet ik zeker in welke risicocategorie mijn AI-systeem valt?
Begin met het controleren of je systeem voorkomt in Annex III van de EU AI Act, dat de acht hoog-risico domeinen beschrijft. Controleer daarna of het systeem profilering van natuurlijke personen uitvoert — dat is altijd hoog-risico. Als je twijfelt, is het sterk aan te raden een formele risicoanalyse te laten uitvoeren en dit schriftelijk te documenteren, want de bewijslast ligt bij de aanbieder.
Wij gebruiken een AI-tool van een externe leverancier. Zijn wij dan ook verantwoordelijk voor compliance?
Ja, als deployer ben je medeverantwoordelijk. Je bent verplicht om te controleren of de aanbieder aan zijn verplichtingen heeft voldaan, de tool te gebruiken conform het beoogde doel, en menselijk toezicht te waarborgen. Let op: zodra je de tool aanpast, je eigen naam erop zet, of het gebruik buiten het oorspronkelijke doel uitbreidt, word je zelf aangemerkt als aanbieder met alle bijbehorende zware verplichtingen.
Wat is de eerste concrete stap die mijn organisatie nu moet zetten?
Start met een AI-inventarisatie: breng alle AI-systemen in kaart die je organisatie momenteel ontwikkelt, gebruikt of overweegt in te zetten. Classificeer elk systeem op basis van de risicocategorieën uit de EU AI Act. Zo krijg je direct inzicht in welke deadlines voor jou relevant zijn en waar de hoogste prioriteit ligt voor compliance-maatregelen.
Geldt de meldplicht voor chatbots ook als we die alleen intern gebruiken, bijvoorbeeld voor medewerkers?
De transparantieverplichting richt zich op situaties waarbij eindgebruikers direct interacteren met een AI-systeem. Bij intern gebruik waarbij medewerkers weten dat ze met een AI-tool werken, kan de uitzondering gelden dat het 'voor een redelijk persoon evident' is. Toch is het verstandig om ook bij interne tools een duidelijke AI-melding op te nemen, zowel voor compliance als voor vertrouwen binnen de organisatie.
Wat houdt een 'substantiële wijziging' precies in, en wanneer word ik daardoor ineens aanbieder?
De EU AI Act definieert een substantiële wijziging als een aanpassing die invloed heeft op de conformiteit van het systeem of waarbij het beoogde doel verandert, waardoor het systeem in een hogere risicocategorie terechtkomt. Praktische voorbeelden zijn het hertrainen van een model op nieuwe data, het uitbreiden van functionaliteit naar een hoog-risico toepassing, of het integreren in een nieuw systeem dat grondrechten raakt. Bij twijfel is juridische toetsing vóór de wijziging essentieel.
Hoe verhoudt de EU AI Act zich tot de AVG? Moeten we die verplichtingen apart beheren?
De EU AI Act en de AVG vullen elkaar aan maar zijn aparte regelgevingen met eigen verplichtingen. De AVG regelt de bescherming van persoonsgegevens, terwijl de AI Act zich richt op de veiligheid en betrouwbaarheid van AI-systemen zelf. In de praktijk overlappen ze bij hoog-risico AI die persoonsgegevens verwerkt — denk aan vereisten rond datakwaliteit en transparantie. Een geïntegreerde compliance-aanpak die beide wetten samenbrengt is efficiënter dan ze volledig gescheiden te behandelen.
Wat als mijn organisatie nu al een hoog-risico systeem in gebruik heeft dat nog niet compliant is?
De volledige verplichtingen voor hoog-risico systemen gaan in 2026 van kracht, wat betekent dat je nu nog tijd hebt om orde op zaken te stellen. Gebruik deze periode om prioriteit te geven aan het opzetten van een risicomanagementsysteem, het opstellen van technische documentatie en het inrichten van menselijk toezicht. Wacht hier niet mee tot de deadline nadert: conformiteitsbeoordelingen en het aanpassen van bestaande systemen kosten meer tijd dan organisaties doorgaans verwachten.


