De EU AI Act is de eerste uitgebreide wetgeving ter wereld die het gebruik van kunstmatige intelligentie reguleert. De verordening is op 1 augustus 2024 officieel in werking getreden en wordt stapsgewijs van kracht. Voor ondernemers in Nederland betekent dit dat u moet nagaan of en hoe deze wet op uw organisatie van toepassing is.
De wet heeft als doel om ervoor te zorgen dat AI-systemen die in de Europese Unie worden gebruikt veilig zijn, fundamentele rechten respecteren en transparant functioneren. Tegelijkertijd wil de EU innovatie niet belemmeren. Het resultaat is een risicogebaseerde aanpak: hoe hoger het risico van een AI-systeem, hoe strenger de regels.
Voor wie geldt de AI Act?
De AI Act geldt voor iedereen die AI-systemen ontwikkelt, aanbiedt of gebruikt binnen de EU. Dit betekent dat niet alleen technologiebedrijven ermee te maken krijgen, maar ook gewone bedrijven die AI-tools inzetten. Denk aan een accountantskantoor dat AI gebruikt voor fraudedetectie, een zorginstelling die AI inzet voor diagnostiek, of een webshop die productaanbevelingen doet via een algoritme.
De wet maakt onderscheid tussen verschillende rollen. Een aanbieder (provider) is de partij die een AI-systeem ontwikkelt of op de markt brengt. Een gebruiksverantwoordelijke (deployer) is de partij die een AI-systeem inzet binnen zijn organisatie. De meeste MKB-bedrijven in Nederland vallen in de categorie gebruiksverantwoordelijke, omdat zij AI-tools van derden gebruiken in hun bedrijfsvoering.
De vier risicocategorieen
De kern van de AI Act is een indeling in vier risicocategorieen. Elk AI-systeem valt in een van deze categorieen, en de verplichtingen hangen af van de categorie.
De eerste categorie is onaanvaardbaar risico. Dit zijn AI-systemen die verboden zijn omdat ze een onacceptabel gevaar vormen voor mensen. Voorbeelden zijn sociale kredietsystemen door overheden, realtime biometrische identificatie in openbare ruimtes (met enkele uitzonderingen voor rechtshandhaving), manipulatieve AI die kwetsbare groepen exploiteert, en AI die emoties herkent op de werkplek of in het onderwijs (met enkele uitzonderingen). Vanaf 2 februari 2025 zijn deze systemen verboden.
De tweede categorie is hoog risico. Dit zijn AI-systemen die een aanzienlijk risico vormen voor gezondheid, veiligheid of fundamentele rechten. Voorbeelden zijn AI in medische apparatuur, AI voor kredietbeoordeling, AI voor personeelswerving en -selectie, AI in het onderwijs voor beoordeling van studenten, en AI-systemen die worden gebruikt in kritieke infrastructuur. Voor deze systemen gelden strenge verplichtingen, zoals een conformiteitsbeoordeling, technische documentatie, menselijk toezicht en een risicobeheersysteem.
De derde categorie is beperkt risico. Dit betreft AI-systemen waarbij transparantie het belangrijkste is. Denk aan chatbots en AI die tekst, beeld of geluid genereert. De belangrijkste verplichting is dat gebruikers moeten weten dat ze met AI te maken hebben. U moet dus duidelijk aangeven wanneer content door AI is gegenereerd.
De vierde categorie is minimaal risico. Het overgrote deel van AI-toepassingen valt in deze categorie. Denk aan spamfilters, AI in videogames en zoekmachines. Hiervoor gelden geen specifieke verplichtingen vanuit de AI Act, hoewel de algemene beginselen van de wet natuurlijk wel van toepassing blijven.
Waarom zou MKB zich hier druk om maken?
Veel ondernemers denken dat de AI Act vooral relevant is voor grote techbedrijven. Dat is een misverstand. De wet geldt voor elke organisatie die AI gebruikt, ongeacht de grootte. En de boetes zijn niet mals: tot 35 miljoen euro of 7 procent van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is.
Daarnaast is er de AI-geletterdheidsplicht uit Artikel 4. Deze verplichting geldt al sinds 2 februari 2025 en houdt in dat iedereen die met AI werkt voldoende kennis moet hebben van AI en de bijbehorende risicos. Dit geldt voor alle organisaties, ongeacht welke risicocategorie hun AI-systemen hebben.
Maar het gaat niet alleen om boetes. Klanten, partners en toezichthouders verwachten steeds vaker dat organisaties verantwoord omgaan met AI. Een goed AI-register en de juiste documentatie laten zien dat u dit serieus neemt.
Wat moet u nu doen?
De eerste stap is inventariseren welke AI-systemen u gebruikt. Veel organisaties zijn zich er niet eens van bewust hoeveel AI-tools ze inzetten. Denk niet alleen aan de voor de hand liggende toepassingen, maar ook aan AI die is ingebouwd in bestaande software.
Vervolgens moet u per systeem vaststellen in welke risicocategorie het valt en wat uw rol is (aanbieder of gebruiksverantwoordelijke). Op basis daarvan kunt u bepalen welke verplichtingen gelden en welke documentatie u moet opstellen.
Dit klinkt misschien overweldigend, maar het hoeft niet ingewikkeld te zijn. Met de juiste hulpmiddelen kunt u dit stapsgewijs aanpakken. Onze AI Risicoscanner helpt u om in vijf minuten te ontdekken waar u staat. Van daaruit kunt u een compleet AI-register opbouwen en de benodigde documentatie genereren.
Begin niet te laat. De deadlines naderen en het kost tijd om alles goed in te richten. Hoe eerder u begint, hoe meer rust u heeft als de verplichtingen daadwerkelijk ingaan.