De EU AI Act heeft tanden. Bij overtreding van de regels kunnen nationale toezichthouders aanzienlijke boetes opleggen. Veel ondernemers onderschatten hoe hoog deze kunnen zijn. In dit artikel leggen we het sanctiestelsel uit en geven we praktische tips om boetes te voorkomen.
Hoe hoog zijn de boetes?
De AI Act kent drie niveaus van boetes, afhankelijk van de ernst van de overtreding.
Het hoogste niveau geldt voor het gebruik van verboden AI-systemen. Dit zijn systemen met een onaanvaardbaar risico, zoals sociale kredietsystemen of bepaalde vormen van biometrische identificatie. De maximale boete hiervoor is 35 miljoen euro of 7 procent van de wereldwijde jaaromzet, waarbij de hoogste van de twee van toepassing is.
Het tweede niveau geldt voor overtredingen van verplichtingen rondom hoog-risico AI-systemen. Denk aan het ontbreken van de vereiste documentatie, het niet uitvoeren van een conformiteitsbeoordeling, of het gebrek aan menselijk toezicht. De maximale boete hier is 15 miljoen euro of 3 procent van de jaaromzet.
Het derde niveau geldt voor het verstrekken van onjuiste of misleidende informatie aan toezichthouders. De maximale boete is 7,5 miljoen euro of 1,5 procent van de jaaromzet.
Voor MKB-bedrijven gelden proportionele maatregelen. De wet geeft toezichthouders de opdracht rekening te houden met de omvang van de onderneming. Een boete van 35 miljoen euro is voor een klein bedrijf niet realistisch, maar een boete van 3 procent van de jaaromzet kan wel degelijk pijnlijk zijn.
Wie legt de boetes op?
Elke EU-lidstaat moet een nationale toezichthouder aanwijzen die belast is met de handhaving van de AI Act. In Nederland is dat naar verwachting een combinatie van bestaande toezichthouders, mogelijk onder coördinatie van de Autoriteit Persoonsgegevens of een nieuwe instantie. De toezichthouders hebben vergaande bevoegdheden: ze mogen inspecties uitvoeren, documenten opvragen en boetes opleggen.
Voor grensoverschrijdende gevallen werken nationale toezichthouders samen via het Europees AI-bureau, dat in 2024 is opgericht bij de Europese Commissie. Dit bureau heeft ook een rol bij het toezicht op grote AI-modellen (general-purpose AI).
Wanneer begint handhaving?
De toezichthouders zijn bevoegd te handhaven zodra de betreffende verplichtingen van kracht zijn. De AI-geletterdheidsplicht (Artikel 4) geldt al sinds 2 februari 2025 en kan nu al worden gehandhaafd. Voor hoog-risico AI-systemen begint actieve handhaving naar verwachting na augustus 2026, wanneer alle verplichtingen volledig gelden.
Dat betekent echter niet dat u kunt wachten tot augustus 2026. Toezichthouders kunnen ook nu al onderzoek starten als er klachten zijn of als er incidenten plaatsvinden met AI-systemen.
Boetes voorkomen: wat moet u doen?
De beste manier om boetes te voorkomen is aantoonbare compliance. Dit betekent concreet: een up-to-date AI-register met alle systemen die u gebruikt, documentatie per systeem over het doel, de risicos en de genomen maatregelen, bewijs dat uw medewerkers AI-training hebben gevolgd, een AI-beleid dat beschrijft hoe uw organisatie omgaat met AI, en voor hoog-risico systemen: conformiteitsbeoordelingen en procedures voor menselijk toezicht.
Aantoonbaarheid is cruciaal. Het gaat er niet alleen om dat u de regels naleeft, maar ook dat u kunt bewijzen dat u dit doet. Een inspecteur die uw organisatie bezoekt, vraagt om documentatie. Als u die niet kunt overleggen, staat u direct zwak.
Proportionaliteit en good faith
De wet erkent dat niet elke overtreding uit opzet of nalatigheid voortkomt. Toezichthouders mogen rekening houden met de ernst van de overtreding, of het om een eerste overtreding gaat, de mate van medewerking bij het onderzoek, en de genomen herstelmaatregelen.
Organisaties die aantoonbaar bezig zijn met compliance, maar er nog niet volledig zijn, staan veel sterker dan organisaties die het probleem hebben genegeerd. Begin dus nu, ook als u nog niet alles op orde heeft.
Waar begint u?
Start met de gratis AI Risicoscanner op AIComplianceHub.nl. In vijf minuten heeft u een eerste beeld van uw risicoprofiel en de bijbehorende verplichtingen. Van daaruit kunt u stap voor stap uw compliance opbouwen: een AI-register, documentatie en een AI-geletterdheidsstraining voor uw team.
Hoe eerder u begint, hoe meer tijd u heeft om alles goed in te richten. En mocht er een toezichthouder langskomen, dan staat u er goed voor.