Kernpunten: Sinds 2 februari 2025 zijn bepaalde AI-systemen verboden en is AI-geletterdheid verplicht. Boetes kunnen oplopen tot €35 miljoen of 7% van de wereldwijde jaaromzet. De meeste Nederlandse bedrijven gebruiken laag-risico AI en hoeven alleen aan basisverplichtingen te voldoen — maar proactieve compliance kan een significant concurrentievoordeel opleveren.
Wat is de EU AI Act en waarom is het nu relevant?
De EU AI Act is de eerste uitgebreide AI-wetgeving ter wereld. Deze Europese verordening stelt regels voor de ontwikkeling, verkoop en het gebruik van kunstmatige intelligentie binnen de Europese Unie, met een tweeledig doel: innovatie stimuleren én burgers en bedrijven beschermen tegen de risico's van AI.
De verordening is op 1 augustus 2024 officieel in werking getreden en wordt gefaseerd van kracht, wat betekent dat verschillende verplichtingen op verschillende momenten gaan gelden. Voor Nederlandse bedrijven is dit niet iets voor de toekomst — de eerste verplichtingen gelden al sinds februari 2025, en de Nederlandse overheid heeft aangegeven de AI Act als prioriteit te beschouwen.
De Autoriteit Persoonsgegevens fungeert als coördinerend toezichthouder en is actief bezig met handhavingsvoorbereidingen. In een visiedocument heeft de regering aangegeven dat de AI Act in Nederland nu al als geldende wet wordt gezien, wat betekent dat toezichthouders zich voorbereiden om te handhaven nog voordat alle Europese deadlines zijn verstreken. Wachten is simpelweg geen optie meer.
De vier risicocategorieën uitgelegd
De AI Act werkt met een risicogebaseerde aanpak waarbij de strengheid van de eisen toeneemt naarmate het risico van een AI-toepassing hoger wordt. Dit resulteert in vier categorieën die elk hun eigen verplichtingen kennen.
Onaanvaardbaar risico: wat is verboden?
Bepaalde AI-toepassingen zijn simpelweg verboden omdat ze fundamentele rechten schenden. Dit omvat AI-systemen die menselijk gedrag manipuleren op manieren die schade kunnen veroorzaken, social scoring systemen door overheden, real-time biometrische identificatie in openbare ruimtes (met beperkte uitzonderingen voor rechtshandhaving), AI voor emotieherkenning op de werkplek of in het onderwijs, en voorspellende politiesystemen gebaseerd op profilering.
Het is essentieel om te beseffen dat deze systemen sinds 2 februari 2025 verboden zijn. Het gebruik of aanbieden ervan kan direct leiden tot handhaving, met boetes die kunnen oplopen tot €35 miljoen of 7% van de wereldwijde jaaromzet — afhankelijk van welk bedrag hoger is.
Hoog risico: strenge eisen, maar niet onmogelijk
AI-systemen die significant impact kunnen hebben op veiligheid of fundamentele rechten vallen onder strenge eisen. Denk hierbij aan AI voor HR en recruitment (cv-screening, sollicitatiegesprekken, promotiebesluiten), kredietbeoordeling (hypotheken, leningen, creditcards), onderwijs (toelating of prestatiebeoordeling), essentiële diensten (toegang tot gezondheidszorg of sociale voorzieningen), en kritieke infrastructuur (transport, energie, watervoorziening).
Voor deze systemen gelden vanaf 2 augustus 2026 uitgebreide verplichtingen rondom risicobeheer, documentatie, menselijk toezicht en conformiteitsbeoordeling. Dit klinkt overweldigend, maar de meeste Nederlandse bedrijven — vooral in het MKB — gebruiken deze typen AI niet. Het is echter cruciaal om dit te verifiëren binnen uw eigen organisatie.
Beperkt risico: transparantie als kernverplichting
AI-systemen waarmee mensen direct in contact komen, zoals chatbots of generatieve AI, vallen onder transparantieverplichtingen. Gebruikers moeten weten dat ze met AI te maken hebben, AI-gegenereerde content moet als zodanig herkenbaar zijn, en deepfakes moeten duidelijk worden gemarkeerd.
Deze verplichtingen zijn minder uitgebreid dan voor hoog-risico systemen, maar niet-naleving kan nog steeds leiden tot sancties. Bovendien draagt transparantie bij aan het vertrouwen van klanten in uw organisatie — een aspect dat steeds belangrijker wordt in een markt waar AI-schandalen regelmatig het nieuws halen.
Minimaal risico: de baseline
AI-toepassingen zonder bijzondere risico's — denk aan spamfilters, AI in videogames, of logistieke optimalisatie — vallen onder minimale of geen specifieke verplichtingen. Wel geldt voor alle AI-gebruikers, ongeacht de risicocategorie, de verplichting tot AI-geletterdheid.
AI-geletterdheid: verplicht sinds 2 februari 2025
Een van de meest directe verplichtingen uit de AI Act is artikel 4: AI-geletterdheid. Sinds 2 februari 2025 moeten alle organisaties die AI ontwikkelen of gebruiken zorgen dat hun medewerkers voldoende kennis en bewustzijn hebben van AI. Dit gaat verder dan weten wat ChatGPT is.
Volgens de Autoriteit Persoonsgegevens en de Europese Commissie moet een effectief AI-geletterdheidsprogramma basiskennis omvatten over wat AI is en hoe het werkt, risicobewustzijn over de potentiële gevaren van AI-systemen, ethische overwegingen voor eerlijke en verantwoorde inzet, praktische vaardigheden voor correct gebruik in dagelijkse werkzaamheden, en inzicht in de rechten en plichten onder de AI Act.
De vereiste diepgang hangt af van de functie en het type AI-systeem. Medewerkers die alleen eenvoudige AI-tools gebruiken — zoals een chatbot voor klantenservice — hebben basistraining nodig. Medewerkers die werken met hoog-risico AI-systemen, zoals HR-selectietools, hebben uitgebreidere training nodig. Leidinggevenden en beslissers over AI-implementatie hebben strategisch inzicht nodig over zowel de mogelijkheden als de risico's.
Het goede nieuws is dat AI-geletterdheid niet per se een dure externe training vereist. De Autoriteit Persoonsgegevens heeft een actieplan gepubliceerd met concrete stappen die organisaties kunnen nemen, en veel kennis kan intern worden opgebouwd door medewerkers die al ervaring hebben met AI-tools.
Concrete stappenplan voor compliance
Compliance met de AI Act is geen eenmalige actie maar een doorlopend proces. Het begint met een grondige AI-inventarisatie: breng alle AI-toepassingen binnen uw organisatie in kaart en documenteer welke tools worden gebruikt, door wie, waarvoor, van welke leveranciers ze komen, en welke data ze verwerken.
De tweede stap is risicocategorisering. Bepaal voor elk AI-systeem in welke categorie het valt. Als het een verboden toepassing betreft, stop dan direct. Als het hoog risico is, bereid u voor op uitgebreide compliance. Bij transparantieverplichtingen implementeert u de benodigde mededelingen. Is het minimaal risico, dan focust u op AI-geletterdheid.
Vervolgens voert u een gap-analyse uit door uw huidige situatie te vergelijken met de vereisten. Heeft u documentatie over uw AI-systemen? Is er menselijk toezicht ingericht? Zijn medewerkers voldoende opgeleid? Heeft u een verantwoordelijke aangewezen? De antwoorden op deze vragen bepalen waar uw prioriteiten liggen.
Op basis van deze analyse maakt u een implementatieplan met concrete deadlines en verantwoordelijken. Op korte termijn pakt u AI-geletterdheid aan en controleert u op verboden systemen. Op middellange termijn richt u documentatie en risicobeheer in voor eventuele hoog-risico systemen. Op lange termijn bouwt u een governance-structuur voor continue monitoring.
Tot slot zorgt u voor structurele borging door een AI-verantwoordelijke aan te wijzen, AI-compliance te integreren in bestaande governance (denk aan uw AVG-structuur), en periodieke reviews te plannen.
Boetes en handhaving: de risico's concreet gemaakt
De AI Act kent een gedifferentieerd boetesysteem dat vergelijkbaar is met de AVG, maar met potentieel nog hogere bedragen. Voor het gebruik van verboden AI-systemen geldt een maximum van €35 miljoen of 7% van de wereldwijde omzet. Niet-naleving van verplichtingen voor hoog-risico AI kan leiden tot boetes van €15 miljoen of 3% van de omzet. Voor het niet naleven van transparantie-eisen geldt hetzelfde maximum. Het verstrekken van onjuiste informatie aan toezichthouders kan resulteren in boetes tot €7,5 miljoen of 1% van de omzet.
De boete wordt berekend als het hoogste van beide bedragen. Voor een middelgroot bedrijf met €50 miljoen omzet betekent de hoogste boetecategorie een potentiële boete van €3,5 miljoen — een bedrag dat voor veel organisaties existentieel zou zijn.
In Nederland is de Autoriteit Persoonsgegevens aangewezen als coördinerend toezichthouder, in samenwerking met de Rijksinspectie Digitale Infrastructuur en sectorspecifieke toezichthouders zoals de AFM, DNB en IGJ. Op Europees niveau houdt het AI Office toezicht op grote AI-modellen zoals ChatGPT en andere general-purpose AI.
Het is relevant om te weten dat toezichthouders bij het bepalen van boetes rekening houden met verzachtende factoren: de ernst en duur van de overtreding, eerdere overtredingen, de omvang en het marktaandeel van de organisatie, en de mate van samenwerking met toezichthouders. Specifiek worden MKB's en startups proportioneel behandeld — een overtreding door een klein bedrijf zal niet automatisch leiden tot dezelfde boete als bij een multinational.
Checklist: is uw organisatie AI Act-compliant?
Voor de basisverplichtingen die nu al gelden, controleert u of u heeft geïnventariseerd welke AI-systemen u gebruikt, of u zeker weet dat u geen verboden AI-systemen gebruikt, of medewerkers die met AI werken basistraining hebben gehad, of u kunt aantonen dat u werkt aan AI-geletterdheid, en of u bij chatbots en generatieve AI gebruikers informeert dat ze met AI te maken hebben.
Organisaties die hoog-risico AI gebruiken moeten vóór augustus 2026 aanvullend controleren of ze een risicobeheerssysteem hebben, technische documentatie beschikbaar is, logging en traceerbaarheid zijn ingericht, menselijk toezicht is geborgd, een conformiteitsbeoordeling is uitgevoerd of gepland, en registratie in de EU-database is voorbereid.
Op governance-niveau is het essentieel dat een verantwoordelijke is aangewezen voor AI-compliance, AI-beleid is gedocumenteerd, er een proces is voor periodieke review, en leveranciers zijn geïnformeerd over uw compliance-eisen.
De tijdlijn: wanneer moet wat geregeld zijn?
De gefaseerde invoering kent enkele cruciale data. Op 2 februari 2025 zijn verboden AI-systemen niet meer toegestaan en is AI-geletterdheid verplicht geworden. Op 2 augustus 2025 worden de regels voor general-purpose AI van kracht, worden nationale toezichthouders volledig operationeel, en kunnen boetes worden opgelegd. Op 2 augustus 2026 worden alle verplichtingen voor hoog-risico AI-systemen van kracht. En op 2 augustus 2027 moeten hoog-risico AI-systemen als onderdeel van producten — zoals machines en medische apparatuur — voldoen aan alle eisen.
Compliance als concurrentievoordeel
De AI Act brengt verplichtingen met zich mee, maar biedt ook kansen voor organisaties die vroeg investeren in compliance. Aantoonbaar verantwoord AI-gebruik versterkt het vertrouwen van klanten en partners, vooral in een markt waar AI-schandalen regelmatig het nieuws halen. Compliance wordt daarmee een onderscheidende factor.
De verplichte documentatie, het risicobeheer en het menselijk toezicht leiden daarnaast tot beter beheerste AI-implementaties. Dit vermindert operationele risico's en verbetert de kwaliteit van AI-gestuurde beslissingen — waarde die verder reikt dan alleen compliance.
Bovendien geldt de AI Act voor de gehele EU-markt. Compliance opent daarmee deuren naar 450 miljoen consumenten en miljoenen bedrijven. En de regulatory sandbox bepalingen bieden mogelijkheden om innovatieve AI-oplossingen te ontwikkelen en testen onder begeleiding van toezichthouders, wat vooral waardevol kan zijn voor organisaties die aan de voorhoede van AI-innovatie willen staan.
Praktische hulpmiddelen
De Nederlandse en Europese overheid bieden diverse hulpmiddelen om organisaties op weg te helpen. De Beslishulp AI-verordening van Digitale Overheid bepaalt aan de hand van vragen of de verordening op uw toepassing van toepassing is. Het Actieplan AI-geletterdheid van de Autoriteit Persoonsgegevens biedt een stappenplan voor het opzetten van AI-geletterdheid binnen uw organisatie. En de AI Act Compliance Checker van de Europese Commissie is een online tool voor een eerste compliance-check.
Volgende stappen
De AI Act is een feit en afwachten is geen strategie meer. De drie belangrijkste acties die u vandaag kunt ondernemen zijn het starten met inventarisatie van welke AI-systemen binnen uw organisatie worden gebruikt, het plannen van AI-geletterdheid zodat medewerkers de juiste training krijgen, en het bepalen van uw risicoprofiel door te identificeren of u hoog-risico AI-systemen gebruikt.
Heeft u behoefte aan ondersteuning bij uw AI Act-compliance? Stratalytic helpt organisaties met het in kaart brengen van AI-gebruik, het opzetten van governance-structuren, en het implementeren van verantwoorde AI. Neem contact op voor een vrijblijvend gesprek.
