De AI Act legt voor klantenservice-organisaties concrete AI transparantieverplichtingen op die afhangen van het risiconiveau van het systeem dat je inzet. Gaat het om AI die beslissingen neemt over klanten, toegang tot diensten beoordeelt of profilering uitvoert, dan val je al snel in de hoog-risico categorie met bijbehorende documentatie- en meldplichten. In dit artikel beantwoorden we de meest gestelde vragen over wat de AI Act concreet betekent voor jouw klantenservice-afdeling.
Welke klantenservice-systemen vallen onder de AI Act?
Klantenservice-systemen vallen onder de AI Act als ze AI gebruiken om beslissingen te ondersteunen of te nemen die klanten direct raken. Chatbots en virtuele assistenten die alleen informatie geven, vallen onder de lichtere transparantieverplichtingen. Systemen die klanten beoordelen, profileren of toegang tot diensten bepalen, worden als hoog-risico geclassificeerd.
De AI Act onderscheidt vier risiconiveaus. Voor klantenservice zijn vooral twee niveaus relevant:
- Hoog-risico AI: systemen die beslissen over toegang tot essentiële diensten, kredietwaardigheid beoordelen of profilering van klanten uitvoeren. Denk aan geautomatiseerde scoringsmodellen voor klantsegmentatie of systemen die bepalen welke klant welk aanbod krijgt.
- Beperkt-risico AI: chatbots, voicebots en andere AI-systemen die direct communiceren met klanten. Hier geldt een transparantieverplichting: klanten moeten weten dat ze met een AI-systeem praten.
Systemen die puur procedureel of voorbereidend werk doen en geen significant risico voor grondrechten vormen, kunnen buiten de hoog-risico categorie vallen. Maar systemen die profilering van klanten uitvoeren, zijn altijd hoog-risico, ongeacht hoe beperkt die profilering lijkt.
Wat moet een bedrijf precies melden als het AI gebruikt in klantcontact?
Als je AI inzet in klantcontact, moet je klanten actief informeren wanneer ze met een AI-systeem communiceren. Dit geldt voor chatbots, voicebots en andere geautomatiseerde systemen die direct met mensen in gesprek gaan. Klanten moeten dit weten voordat of op het moment dat het gesprek begint.
Gebruik je hoog-risico AI, dan gaan de verplichtingen verder. Als deployer, de partij die het systeem onder eigen gezag inzet, moet je:
- Het systeem gebruiken conform de gebruiksaanwijzing van de aanbieder
- Menselijk toezicht toewijzen aan bekwame en getrainde personen
- Logs minimaal zes maanden bewaren
- Medewerkers informeren voordat het systeem in gebruik wordt genomen (Artikel 26(7))
- Waar van toepassing een gegevensbeschermingseffectbeoordeling (DPIA) uitvoeren
Klanten die aan een beslissing van een hoog-risico systeem zijn onderworpen, hebben op grond van Artikel 86 het recht om een uitleg te vragen van de bepalende factoren achter die beslissing. Als je dus een AI-systeem gebruikt dat bepaalt of een klant recht heeft op een dienst of aanbod, moet je die uitleg kunnen geven.
Geldt de AI Act ook voor AI-systemen van externe leveranciers?
Ja, de AI Act geldt ook als je AI-systemen van externe leveranciers inzet. Als organisatie die het systeem onder eigen gezag gebruikt, ben je een deployer met eigen verplichtingen. Je kunt de verantwoordelijkheid niet volledig bij de leverancier leggen.
Bovendien is er een belangrijk aandachtspunt: je kunt ongemerkt zelf aanbieder worden. Dat gebeurt wanneer je:
- Je eigen naam of merk op een AI-systeem zet
- Een substantiële wijziging aanbrengt in het systeem
- Het beoogde doel zo aanpast dat het systeem hoog-risico wordt
In die gevallen neem je alle verplichtingen van een aanbieder over, inclusief technische documentatie, conformiteitsbeoordeling en CE-markering. Het is daarom verstandig om bij de aanschaf van AI-tools voor klantenservice contractueel vast te leggen wie welke verantwoordelijkheid draagt en te controleren of de aanbieder beschikt over de juiste documentatie en conformiteitsverklaringen.
Wat zijn de gevolgen als je niet voldoet aan de transparantievereisten?
Niet voldoen aan de transparantievereisten van de AI Act kan leiden tot aanzienlijke boetes. Non-conformiteit met de algemene verplichtingen, waaronder transparantie, kan worden bestraft met maximaal 15 miljoen euro of 3% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is.
De boetestructuur kent drie niveaus:
- Overtredingen van verboden praktijken: maximaal 35 miljoen euro of 7% van de wereldwijde jaaromzet
- Non-conformiteit met overige verplichtingen: maximaal 15 miljoen euro of 3%
- Onjuiste of misleidende informatie aan autoriteiten: maximaal 7,5 miljoen euro of 1%
Voor kleinere organisaties geldt steeds het laagste bedrag van het percentage of het vaste maximum. De meeste verplichtingen voor hoog-risico systemen worden per 2 augustus 2026 afdwingbaar. De transparantieverplichting voor chatbots en de verboden praktijken zijn echter al van kracht sinds 2 februari 2025. Toezicht en handhaving liggen bij nationale markttoezichtautoriteiten, wat kan betekenen dat prioriteiten per lidstaat verschillen.
Hoe verschilt de AI Act van de AVG voor klantenservice-organisaties?
De AI Act en de AVG vullen elkaar aan, maar richten zich op verschillende risico’s. De AVG beschermt persoonsgegevens en regelt hoe je die mag verwerken. De AI Act reguleert het gedrag en de werking van AI-systemen zelf, ongeacht of er persoonsgegevens bij betrokken zijn.
In de praktijk overlappen ze op meerdere punten:
- Beide vereisen een DPIA bij hoog-risico verwerkingen of hoog-risico AI-systemen
- Beide geven betrokkenen het recht op uitleg over geautomatiseerde beslissingen
- Beide stellen eisen aan de kwaliteit en representativiteit van data
Het verschil zit in de focus. De AVG vraagt: welke gegevens verwerk je en op welke grondslag? De AI Act vraagt: hoe werkt het systeem, welke risico’s brengt het mee, en is er voldoende menselijk toezicht? Voor klantenservice-organisaties betekent dit dat je beide kaders naast elkaar moet leggen. Een chatbot die klantgegevens verwerkt, heeft te maken met de AVG voor de gegevensverwerking én met de AI Act voor de transparantieverplichting richting de klant.
Welke stappen kan een klantenservice-afdeling nu al zetten?
Een klantenservice-afdeling kan nu al concrete stappen zetten om AI Act-compliant te worden, ook als de meeste hoog-risico verplichtingen pas per augustus 2026 volledig afdwingbaar zijn. De transparantieverplichting voor chatbots en virtuele assistenten geldt namelijk al.
Praktische stappen die je direct kunt zetten:
- Maak een AI-register: breng in kaart welke AI-systemen je gebruikt in klantcontact, wat ze doen en welke rol jij daarin hebt (deployer, aanbieder of distributeur).
- Controleer klantcommunicatie: zorg dat klanten altijd weten wanneer ze met een AI-systeem communiceren, via een duidelijke melding aan het begin van een chatgesprek of telefonische interactie.
- Beoordeel het risiconiveau: bepaal per systeem of het hoog-risico is, met name als het profilering uitvoert of beslissingen neemt over toegang tot diensten.
- Controleer leverancierscontracten: leg vast wie welke verantwoordelijkheid draagt en vraag leveranciers om documentatie over conformiteit.
- Train medewerkers: de AI-geletterdheidsplicht (Artikel 4) is al van kracht. Zorg dat medewerkers die met AI-systemen werken begrijpen wat die systemen doen en wat de grenzen zijn.
- Bewaar logs: stel processen in om interactielogs minimaal zes maanden te bewaren voor hoog-risico systemen.
Hoe eerder je begint, hoe minder je later hoeft bij te sturen. De conformiteitseisen voor hoog-risico Annex III-systemen worden per 2 augustus 2026 afdwingbaar, maar voorbereiding kost tijd.
Hoe Pegamento helpt met AI-compliance in klantenservice
Voldoen aan de AI Act vraagt om een helder overzicht van welke systemen je inzet, hoe ze werken en welke verantwoordelijkheden daarbij horen. Wij helpen klantenservice-organisaties om AI op een verantwoorde en transparante manier in te zetten, zonder dat je verzandt in complex leveranciersmanagement of een onduidelijke verantwoordelijkheidsverdeling.
Wat we concreet bieden:
- Overzichtelijke AI-oplossingen voor klantenservice waarbij transparantie richting klanten standaard is ingebouwd
- Agentic AI-assistenten die niet alleen instructies opvolgen, maar zelfstandig initiatief nemen, een evolutie van uitvoerende RPA-bots naar zelfdenkende assistenten die we positioneren als Agentic AI
- Alles onder één dak: van implementatie tot beheer en ondersteuning, zodat je één aanspreekpunt hebt en geen silo’s tussen systemen en leveranciers
- Oplossingen op maat met standaard bouwblokken, zodat je snel kunt schalen zonder kostbaar maatwerk
- Ondersteuning bij het inrichten van menselijk toezicht en logging, conform de eisen van de AI Act
- ISO 27001-gecertificeerde informatiebeveiliging als fundament, aangevuld met ISO 9001 en ISO 26000
Wil je weten hoe jouw klantenservice-afdeling er nu voor staat en welke stappen nodig zijn om compliant te worden? Neem contact op en we denken graag met je mee.
Veelgestelde vragen
Hoe weet ik of mijn chatbot als 'hoog-risico' wordt geclassificeerd onder de AI Act?
Een chatbot is hoog-risico als hij niet alleen informatie geeft, maar ook beslissingen ondersteunt of neemt die klanten direct raken, zoals het bepalen van toegang tot diensten, het uitvoeren van profilering of het beoordelen van kredietwaardigheid. Een eenvoudige FAQ-bot die vragen beantwoordt, valt doorgaans onder de lichtere transparantieverplichtingen. Twijfel je over de classificatie van jouw systeem? Laat dan een risicoanalyse uitvoeren door een specialist, want een verkeerde inschatting kan leiden tot het mislopen van verplichte documentatie en toezichtmaatregelen.
Wat is de minimale manier om te voldoen aan de transparantieverplichting voor chatbots die al geldt vanaf februari 2025?
De minimale vereiste is dat klanten duidelijk en tijdig worden geïnformeerd dat ze met een AI-systeem communiceren, en dit moet gebeuren vóór of op het moment dat het gesprek begint. In de praktijk betekent dit een korte, begrijpelijke melding aan het begin van een chatgesprek of telefonische interactie, zoals: 'U spreekt met een virtuele assistent.' Let op: de melding moet oprecht en ondubbelzinnig zijn — een verborgen vermelding in de algemene voorwaarden is niet voldoende.
Wat moet ik doen als een klant vraagt om uitleg over een beslissing die door een AI-systeem is genomen?
Op grond van Artikel 86 van de AI Act heeft een klant het recht om een uitleg te vragen over de bepalende factoren achter een beslissing van een hoog-risico AI-systeem. Je moet in staat zijn om in begrijpelijke taal toe te lichten welke factoren de beslissing hebben beïnvloed, zonder dat je daarvoor de volledige technische werking van het model hoeft bloot te leggen. Zorg er daarom voor dat je bij de leverancier of interne beheerder toegang hebt tot voldoende informatie over de beslissingslogica, en train medewerkers in het geven van deze uitleg.
Hoe leg ik contractueel de verantwoordelijkheden vast met mijn AI-leverancier?
Zorg ervoor dat in het contract met je leverancier expliciet is vastgelegd wie de aanbieder is en wie de deployer, en welke verplichtingen bij welke partij liggen. Vraag de leverancier om technische documentatie, conformiteitsverklaringen en informatie over hoe het systeem getraind is en hoe het werkt. Voeg ook afspraken toe over wat er gebeurt bij een substantiële wijziging van het systeem, want dat kan betekenen dat jij onverwacht de aanbiedersrol overneemt met alle bijbehorende verplichtingen.
Geldt de AI-geletterdheidsplicht ook voor medewerkers die AI-tools alleen indirect gebruiken?
Artikel 4 van de AI Act verplicht organisaties om te zorgen dat medewerkers die met AI-systemen werken een voldoende niveau van AI-geletterdheid hebben, afgestemd op hun rol en de risico's van het systeem. Dit geldt in de eerste plaats voor medewerkers die direct met AI-systemen werken of toezicht houden op geautomatiseerde beslissingen. Voor medewerkers die AI alleen indirect raken, is een basisniveau van begrip wenselijk maar minder strikt vereist — het is echter verstandig om ook hen te informeren over wat de systemen doen en waar de grenzen liggen.
Wat zijn de meest voorkomende fouten die klantenservice-organisaties maken bij het implementeren van AI Act-compliance?
Een veelgemaakte fout is aannemen dat de volledige verantwoordelijkheid bij de leverancier ligt, terwijl je als deployer altijd eigen verplichtingen houdt. Andere veelvoorkomende fouten zijn: geen AI-register bijhouden, de transparantiemelding te laat of te onduidelijk plaatsen, en vergeten dat de AI-geletterdheidsplicht en de transparantieverplichting voor chatbots al van kracht zijn. Organisaties wachten ook vaak te lang met voorbereiding op de hoog-risico verplichtingen van augustus 2026, terwijl een gedegen AI-register en risicoanalyse al maanden in beslag kunnen nemen.
Moet ik een nieuwe DPIA uitvoeren als ik al een DPIA heb gedaan in het kader van de AVG?
Niet per se, maar je bestaande DPIA dekt waarschijnlijk niet alle vereisten van de AI Act. De AVG-DPIA richt zich op risico's voor persoonsgegevens, terwijl de AI Act ook vraagt om een beoordeling van de werking van het systeem, de kwaliteit van trainingsdata, en de aanwezigheid van menselijk toezicht. Het is raadzaam om je bestaande DPIA aan te vullen of een gecombineerde beoordeling uit te voeren die beide kaders dekt, zodat je geen overlap mist én geen gaten laat vallen.


