De EU AI Act is het eerste uitgebreide wettelijk kader ter wereld dat het gebruik van kunstmatige intelligentie reguleert. De wet introduceert een risicogebaseerde aanpak waarbij transparantie, veiligheid, uitlegbaarheid en menselijk toezicht centraal staan. Organisaties die AI ontwikkelen of toepassen krijgen duidelijke verplichtingen rondom datakwaliteit, governance, monitoring en documentatie. De impact is aanzienlijk: van high-risk modellen tot generatieve AI en bedrijfsprocessen waarin algoritmen een rol spelen. Hieronder vatten we de belangrijkste elementen van de EU AI Act samen in tien praktische bullets, zodat u snel ziet wat dit voor uw organisatie betekent.
- Risicogeoriënteerde benadering
AI-systemen worden ingedeeld in risicocategorieën: verboden (“unacceptable”), hoog risico (“high-risk”), transparantievereisten (“transparency risks”) en lagere/geen extra risico’s. Organisaties moeten voor ieder systeem
- Toepassingsgebied & extraterritoriale impact
De regels gelden niet alleen voor bedrijven in de EU, maar ook voor die buiten de EU die AI-systemen op de EU-markt brengen of gebruik laten zijn binnen de EU. Dit betekent dat multinationals buiten Nederland ook eraan mee moeten doen als zij (door)leveren in de EU.
- Verplichtingen voor aanbieders, deployers, importeurs & distributeurs
Verschillende partijen in de keten hebben verschillende verantwoordelijkheden. IT moet zorgen voor technische compliance; Finance/risico voor de rapportage & audit trails; management/IT voor governance etc.
- High-risk AI systemen
extra strenge eisen – Voor systemen die volgens Annex III of high-risk veiligheidscategorieën vallen, gelden uitgebreide vereisten: risk management, monitoring, datakwaliteit, documentatie, conformiteitstesten, regelmatig herzien van modellen.
- Transparantieverplichtingen voor AI-toepassingen met ‘lagere’ risico’s
Voor AI-systemen met beperkte of transparantie‐risico’s gelden verplichtingen zoals: duidelijk maken aan gebruikers dat zij te maken hebben met AI, informatie over de werking, beperkingen, etc.
- Algoritmen met systeemimpact / general-purpose AI
Speciale regels voor “foundation models” / general-purpose AI: wie een model aanbiedt moet technische documentatie bijhouden, ervoor zorgen dat downstream gebruikers weten wat de beperkingen zijn, en bij modellen met systemisch risico moet extra getest, gemonitord en (potentieel) gecertificeerd worden.
- Naleving & handhaving
Lidstaten moeten toezichthouders aanwijzen; er komt een EU AI Office; harmonisatie via normen; toezicht op naleving én sancties (boetes) bij overtreding.
- Sancties flinke bedragen
De boetes kunnen aanzienlijk zijn: afhankelijk van risico-categorie, variërend tot tientallen miljoenen euro’s of percentage van de wereldwijde jaaromzet (GAT) van de onderneming. Voor bedragen lees de wet, maar de mogelijke schade bij non-compliance is groot.
- Gefaseerde inwerkingtreding & overgangstermijnen
De meeste verplichtingen gelden pas na enige tijd (24 tot 36 maanden na inwerkingtreding) voor bestaande AI-systemen. Nieuwe high-risk toepassingen krijgen minder tijd om compliant te worden. Belangrijk: gebruik die overgangsperiode om voor te bereiden.
- Ondersteuning voor mkb’s & innovatie
Er worden “regulatory sandboxes” opgezet, speciale ondersteuning, standaarden komen, tools/templates etc. Kleine bedrijven krijgen enige verlichting of gefaseerde verplichtingen waar mogelijk.
