Uitgebreide gids

De complete gids voor EU-AI-Act-naleving

Alles wat u moet weten over de baanbrekende AI-verordening van Europa. Van risicoclassificatie tot technische vereisten: deze gids legt uit wat uw organisatie moet weten vóór de handhavingsdeadline van augustus 2026.

25 min lezen

Bijgewerkt in januari 2025

Beoordeeld door experts

PDF-versie downloaden

Wat is de EU AI Act?

De EU Artificial Intelligence Act (Regulation (EU) 2024/1689) is het eerste alomvattende juridische kader ter wereld voor kunstmatige intelligentie. Aangenomen in juni 2024, stelt het geharmoniseerde regels vast voor de ontwikkeling, het in de handel brengen en het gebruik van AI-systemen binnen de Europese Unie.

De verordening hanteert een risicogebaseerde aanpak en deelt AI-systemen in vier risiconiveaus in met evenredige vereisten. Dit betekent dat strengere verplichtingen gelden voor AI-systemen die grotere risico's vormen voor gezondheid, veiligheid of grondrechten.

De AI Act is van toepassing op:

Aanbieders die AI-systemen op de EU-markt brengen of in gebruik nemen
Gebruiksverantwoordelijken die AI-systemen binnen de EU inzetten
Importeurs en distributeurs in de AI-toeleveringsketen
Niet-EU-entiteiten waarvan de AI-output in de EU wordt gebruikt

De extraterritoriale reikwijdte betekent dat organisaties buiten de EU moeten voldoen als hun AI-systemen personen binnen EU-lidstaten beïnvloeden — vergelijkbaar met hoe de GDPR van toepassing is op gegevensverwerking.

Belangrijke data & tijdlijn

De EU AI Act hanteert een gefaseerde implementatieaanpak, waarbij verschillende bepalingen op verschillende momenten van toepassing worden zodat organisaties zich kunnen voorbereiden.

1 augustus 2024

Inwerkingtreding

De EU AI Act is officieel in werking getreden

2 februari 2025

Verbod op verboden AI

Het verbod op AI-systemen met onaanvaardbaar risico wordt van kracht

2 augustus 2025

GPAI-regels van toepassing

De regels voor AI-modellen voor algemene doeleinden worden van toepassing

2 augustus 2026

Volledige handhaving

Alle bepalingen worden van toepassing, inclusief de vereisten voor high-risk AI

2 augustus 2027

Deadline voor bestaande systemen

Bestaande high-risk AI-systemen moeten in overeenstemming worden gebracht

Kritieke deadline

2 augustus 2026 is het moment waarop de volledige handhaving voor high-risk AI-systemen begint. Organisaties zouden nu met hun nalevingsinspanningen moeten beginnen om deze deadline te halen. De meeste nalevingsprogramma's vergen 6-12 maanden voor een correcte implementatie.

Systeem voor risicoclassificatie

De EU AI Act stelt een piramide van risiconiveaus vast, met vereisten die evenredig zijn aan de mogelijke schade die een AI-systeem kan veroorzaken. Inzicht in de classificatie van uw systeem is de eerste stap naar naleving.

Onaanvaardbaar risico

Volledig verboden

AI-systemen die een duidelijke bedreiging vormen voor veiligheid, bestaansmiddelen of rechten

•Sociale scoring door overheidsinstanties

•Biometrische identificatie in realtime in openbare ruimten (met uitzonderingen)

•Manipulatie van kwetsbare groepen

•Uitbuiting van onbewust gedrag

High Risk

Strenge nalevingsvereisten

AI-systemen die worden gebruikt in kritieke gebieden en mensen aanzienlijk kunnen beïnvloeden

•Kredietscoring en leningsbeslissingen

•Werving en HR-beslissingen

•Onderwijsevaluaties

•Rechtshandhaving en grenscontrole

•Beheer van kritieke infrastructuur

Beperkt risico

Transparantievereisten

AI-systemen met specifieke transparantieverplichtingen

•Chatbots en conversationele AI

•Systemen voor emotieherkenning

•Deepfake-generatoren

•Door AI gegenereerde content

Minimaal risico

Vrijwillige gedragscodes

AI-systemen zonder specifieke regelgevende vereisten

•Spamfilters

•AI-ondersteunde videogames

•Voorraadbeheer

•De meeste consumententoepassingen

Verboden AI-praktijken

De AI Act verbiedt bepaalde AI-praktijken volledig die worden geacht een onaanvaardbaar risico voor de grondrechten te vormen. Deze verboden zijn op 2 februari 2025 van kracht geworden.

Verboden toepassingen (Article 5)

Subliminale manipulatie die schade veroorzaakt

Uitbuiting van kwetsbare groepen

Sociale scoring door overheidsinstanties

Biometrische identificatie op afstand in realtime in openbare ruimten (met beperkte uitzonderingen)

Emotieherkenning op het werk/in het onderwijs (uitzonderingen gelden)

Biometrische categorisering op basis van gevoelige kenmerken

Ongerichte scraping voor databases voor gezichtsherkenning

Voorspellend politiewerk uitsluitend op basis van profilering

Opmerking: Sommige verboden kennen beperkte uitzonderingen voor rechtshandhaving met voorafgaande gerechtelijke toestemming en voor specifieke scenario's van ernstige misdrijven. Organisaties dienen juridisch advies in te winnen voor grensgevallen.

High-risk AI-systemen

High-risk AI-systemen vallen onder de meest uitgebreide vereisten van de AI Act. Ze zijn gedefinieerd in de Annexes I en III van de verordening.

Categorieën van Annex III

Biometrische systemen

Biometrische identificatie op afstand, categorisering

Kritieke infrastructuur

Energie, vervoer, water, digitale infrastructuur

Onderwijs & opleiding

Beoordeling van studenten, toegangsbeslissingen, fraudedetectie

Werkgelegenheid

Werving, HR-beslissingen, prestatiemonitoring

Essentiële diensten

Kredietscoring, hulpdiensten, recht op uitkeringen

Rechtshandhaving

Risicobeoordeling, bewijsbeoordeling, criminaliteitsanalyse

Migratie & grenzen

Verificatie van reisdocumenten, visumverwerking

Justitie & democratie

Ondersteuning bij juridisch onderzoek, gerechtelijke ondersteuning

Belangrijk: veiligheidscomponenten

AI-systemen die worden gebruikt als veiligheidscomponenten in producten die onder de EU-harmonisatiewetgeving (Annex I) vallen, worden automatisch als high-risk geclassificeerd. Dit omvat AI in machines, speelgoed, medische hulpmiddelen, voertuigen, luchtvaart, scheepsuitrusting en meer.

Verplichtingen per rol

De AI Act kent verschillende verplichtingen toe afhankelijk van uw rol in de AI-waardeketen. De meeste organisaties zijn ofwel aanbieder (die AI ontwikkelt) ofwel gebruiksverantwoordelijke (die AI inzet).

Aanbieders

Organisaties die AI-systemen ontwikkelen of op de markt brengen

Een risicobeheersysteem invoeren

Datagovernance en -kwaliteit waarborgen

Technische documentatie opstellen

Mogelijkheden voor menselijk toezicht inbouwen

Vereiste nauwkeurigheid en robuustheid bereiken

Registreren in de EU-databank

Conformiteitsbeoordeling uitvoeren

Gebruiksverantwoordelijken

Organisaties die AI-systemen in een professionele hoedanigheid gebruiken

Systemen gebruiken volgens de instructies

Ervoor zorgen dat menselijk toezicht wordt uitgeoefend

Risico's tijdens het gebruik monitoren

Vereiste logbestanden bijhouden

Effectbeoordelingen uitvoeren (voor high-risk)

Betrokken personen informeren

Importeurs

Organisaties die niet-EU AI-systemen op de markt brengen

De conformiteitsbeoordeling van de aanbieder verifiëren

Ervoor zorgen dat de CE-markering is aangebracht

Controleren of de technische documentatie bestaat

Verifiëren dat de aanbieder bereikbaar is

Documentatie 10 jaar bewaren

Distributeurs

Organisaties in de toeleveringsketen (geen aanbieder of importeur)

De CE-markering verifiëren vóór distributie

Verifiëren dat de vereiste documentatie het systeem vergezelt

Ervoor zorgen dat opslag/transport de naleving niet in gevaar brengt

Samenwerken met markttoezicht

Technische vereisten voor high-risk AI

High-risk AI-systemen moeten gedurende hun hele levenscyclus voldoen aan specifieke technische vereisten. Deze vereisten vormen de kern van wat aanbieders moeten implementeren.

Risicobeheersysteem

Article 9

Continu, iteratief proces gedurende de hele levenscyclus van het AI-systeem

Bekende en voorzienbare risico's identificeren en analyseren

Risico's van bedoeld gebruik en misbruik inschatten en evalueren

Maatregelen ter beperking van risico's implementeren

Risicobeheersingen testen en valideren

Datagovernance

Article 10

Waarborgen dat trainings-, validatie- en testdatasets voldoen aan kwaliteitscriteria

Relevante, representatieve en foutloze gegevens

Passende statistische eigenschappen

Rekening houden met specifieke geografische, contextuele of gedragsmatige omstandigheden

Detectie en correctie van vertekeningen

Technische documentatie

Article 11, Annex IV

Uitgebreide documentatie die naleving aantoont

Algemene beschrijving van het AI-systeem

Ontwerpspecificaties en systeemarchitectuur

Beschrijving van de trainingsmethoden

Validatie- en testprocedures

Documentatie van het risicobeheer

Registratie

Article 12

Automatische registratie van gebeurtenissen tijdens het gebruik

Traceerbaarheid van het functioneren van het AI-systeem mogelijk maken

Risico's identificeren en monitoring na het in de handel brengen faciliteren

Logbestanden gedurende een passende periode bewaard

Toegankelijk voor de bevoegde autoriteiten

Transparantie

Article 13

Gebruiksverantwoordelijken in staat stellen outputs op passende wijze te interpreteren en te gebruiken

Duidelijke gebruiksinstructies

Mogelijkheden en beperkingen

Verwacht nauwkeurigheidsniveau

Bekende omstandigheden die de prestaties beïnvloeden

Menselijk toezicht

Article 14

Doeltreffend menselijk ingrijpen tijdens het gebruik mogelijk maken

Mogelijkheden en beperkingen van het systeem begrijpen

Het gebruik monitoren en anomalieën identificeren

Outputs correct interpreteren

De werking van het systeem opheffen of onderbreken

Nauwkeurigheid, robuustheid & beveiliging

Article 15

Passende prestatieniveaus bereiken

Verklaarde nauwkeurigheidsniveaus in de instructies

Veerkracht tegen fouten en inconsistenties

Bescherming tegen manipulatie (vijandige aanvallen)

Cyberbeveiliging gedurende de hele levenscyclus

Sancties & handhaving

De EU AI Act voorziet in aanzienlijke administratieve boetes bij niet-naleving, volgens een gelaagde structuur die vergelijkbaar is met de GDPR.

Niveau 1: Overtredingen met verboden AI

Tot € 35 miljoen of 7% van de wereldwijde jaaromzet

Voor overtredingen die verboden AI-praktijken betreffen (afhankelijk van welk bedrag hoger is)

Niveau 2: Niet-naleving van vereisten

Tot € 15 miljoen of 3% van de wereldwijde jaaromzet

Voor overtredingen van de vereisten voor high-risk AI of GPAI-verplichtingen (afhankelijk van welk bedrag hoger is)

Niveau 3: Onjuiste informatie

Tot € 7,5 miljoen of 1,5% van de wereldwijde jaaromzet

Voor het verstrekken van onjuiste of misleidende informatie aan autoriteiten (afhankelijk van welk bedrag hoger is)

Overwegingen voor kmo's

De verordening bevat bepalingen voor kleine en middelgrote ondernemingen. Voor kmo's en start-ups worden boetes berekend op basis van het laagste bedrag van het percentage of het vaste bedrag. Lidstaten zijn ook verplicht regelgevingssandboxes en ondersteuningsmechanismen aan te bieden.

Naleving bereiken

Een systematische aanpak van EU-AI-Act-naleving volgt doorgaans deze fasen. Organisaties zouden nu moeten beginnen om gereed te zijn tegen augustus 2026.

Inventarisatie

Alle AI-systemen in alle bedrijfsonderdelen inventariseren

Classificatie

Risiconiveaus beoordelen per categorie van Annex III

Gap-analyse

Nalevingslacunes ten opzichte van de vereisten identificeren

Herstel

Technische en governance-maatregelen implementeren

Typische tijdlijn

De meeste organisaties hebben 6-12 maanden nodig om voor high-risk AI-systemen auditklare naleving te bereiken. Dit omvat:

2-4 weken voor de initiële inventarisatie en classificatie
4-8 weken voor de implementatie van de technische vereisten
2-4 weken voor documentatie en het opzetten van governance
Doorlopende monitoring en continue verbetering

Klaar om uw nalevingstraject te starten?

Download onze gratis checklist met 47 vereisten of spreek met een expert over de specifieke nalevingsbehoeften van uw organisatie.

Gerelateerde bronnen

EU-AI-Act-nalevingschecklist

47 vereisten in een downloadbaar checklistformaat

EU-AI-Act-nalevingsdienst

End-to-end nalevingsondersteuning door experts

Casestudy: financiële dienstverlening

Hoe wij naleving voor 47 AI-systemen hebben bereikt

Bronnen/Gids