beginnerBusiness & Strategie

5 min leestijd

EU AI Act

EU AI-Verordening (Regulation 2024/1689)

Simpele Uitleg

De EU AI Act is de eerste wet ter wereld die kunstmatige intelligentie reguleert. Stel je de AVG/GDPR voor, maar dan voor AI. Net zoals de AVG regels stelt voor hoe bedrijven met persoonsgegevens omgaan, stelt de AI Act regels voor hoe bedrijven AI-systemen mogen ontwikkelen en gebruiken. De wet deelt AI in vier risicocategorieën in: van verboden (zoals social scoring) tot minimaal risico (zoals spamfilters).

Technische Definitie

De EU AI Act (Regulation 2024/1689) is op 1 augustus 2024 in werking getreden en wordt gefaseerd geïmplementeerd tot augustus 2027. De verordening hanteert een risicogebaseerde aanpak met vier niveaus: onaanvaardbaar risico (verboden sinds februari 2025), hoog risico (compliance verplicht vanaf augustus 2026), beperkt risico (transparantieverplichtingen) en minimaal risico (ongereguleerd). Boetes lopen op tot €35 miljoen of 7% van de wereldwijde jaaromzet. De Autoriteit Persoonsgegevens en Rijksinspectie Digitale Infrastructuur zijn in Nederland de toezichthouders.

Waarom Dit Belangrijk Is

Elke organisatie die AI gebruikt of ontwikkelt in de EU krijgt te maken met deze wet — en dat is vrijwel elk modern bedrijf. Gebruik je ChatGPT voor klantenservice? AI voor het screenen van sollicitanten? Een algoritme voor kredietbeoordeling? Dan moet je weten welke regels gelden.

De wet is al deels van kracht. Sinds 2 februari 2025 zijn bepaalde AI-toepassingen verboden en geldt de verplichting tot AI-geletterdheid voor alle medewerkers die met AI werken. Vanaf augustus 2026 gelden de strenge eisen voor hoog-risico AI-systemen.

De boetes zijn fors — tot 7% van je wereldwijde omzet, hoger dan de AVG-boetes. In de ChatGPT, Claude & Gemini Masterclass leer je hoe je AI verantwoord inzet binnen de kaders van de wet. Voor teams die breed AI willen implementeren biedt de AI als Teamsport training handvatten voor compliant werken.

Hoe Het Werkt

De wet werkt als een verkeerslicht voor AI-systemen. Elk AI-systeem krijgt een risiconiveau, en bij elk niveau horen andere regels.

Rood (verboden) zijn AI-systemen die fundamentele rechten schenden. Denk aan social scoring zoals in China, of AI die mensen manipuleert via onbewuste technieken. Deze zijn simpelweg niet toegestaan.

Oranje (hoog risico) zijn systemen die grote impact hebben op mensen. AI die sollicitanten screent, krediet beoordeelt, medische diagnoses stelt, of examens beoordeelt. Voor deze systemen gelden strenge eisen: risicoanalyse, technische documentatie, menselijk toezicht, en een conformiteitsbeoordeling.

Geel (beperkt risico) vraagt vooral transparantie. Chatbots moeten melden dat je met AI praat. Deepfakes moeten als zodanig worden gemarkeerd.

Groen (minimaal risico) is ongereguleerd. Spamfilters, AI in games, voorraadbeheersystemen — die mogen gewoon. Wel geldt voor alle niveaus de AI-geletterdheid verplichting: je medewerkers moeten begrijpen hoe de AI werkt die ze gebruiken.

De Autoriteit Persoonsgegevens houdt in Nederland toezicht en heeft al praktische handleidingen gepubliceerd om bedrijven te helpen.

Use Cases

HR en werving

CV-screeningsoftware en AI die sollicitanten rankt valt onder hoog risico. HR-teams moeten zorgen voor menselijk toezicht, non-discriminatie checks, en documentatie. De AI voor HR teams training bereidt teams hierop voor.

Klantenservice met chatbots

Een AI-chatbot voor klantenservice valt onder beperkt risico. De belangrijkste eis: klanten moeten weten dat ze met AI praten, niet met een mens. Daarnaast geldt de AI-geletterdheid eis voor medewerkers die de chatbot beheren.

Financiële dienstverlening

Kredietbeoordeling en verzekeringsprijsbepaling via AI is hoog risico. Banken en verzekeraars moeten conformiteitsbeoordelingen uitvoeren, transparant zijn over de beslislogica, en menselijk toezicht garanderen.

Marketing en content

AI-gegenereerde content en deepfakes vallen onder beperkt risico. Marketingteams moeten AI-gegenereerde beelden en teksten als zodanig markeren. In de AI als Teamsport training leer je hoe je dit praktisch organiseert.

Voorbeelden

Vergelijking met de AVG/GDPR

De AVG beschermt persoonsgegevens met boetes tot 4% van de omzet. De AI Act gaat verder: boetes tot 7% en het reguleert AI-systemen ongeacht of er persoonsgegevens bij betrokken zijn. Beide wetten gelden tegelijkertijd — gebruik je AI om persoonsgegevens te verwerken, dan moet je aan beide voldoen.

Tijdlijn voor bedrijven

Februari 2025: verboden AI-praktijken en AI-geletterdheid al van kracht. Augustus 2025: GPAI-regels en boeteregime actief. Augustus 2026: hoog-risico eisen volledig van toepassing. Augustus 2027: ook voor AI ingebed in gereguleerde producten (medische apparaten, machines).

MKB-vriendelijke aanpak

De wet houdt rekening met het MKB. Kleine en middelgrote bedrijven betalen altijd het lagere boetebedrag. Er komen regulatory sandboxes waar bedrijven hun AI-systemen kunnen testen. De Nederlandse overheid heeft specifieke handleidingen voor het MKB gepubliceerd.

Veelgemaakte Fouten

"De AI Act gaat pas in 2026 in, dus ik heb nog tijd"

Niet waar. De AI-geletterdheid verplichting en het verbod op bepaalde AI-praktijken gelden al sinds februari 2025. De Autoriteit Persoonsgegevens voert in 2026 een gerichte controle uit bij Nederlandse organisaties.

"Wij gebruiken alleen ChatGPT, dus dit geldt niet voor ons"

De AI Act geldt voor iedereen die AI inzet (deployers), niet alleen voor wie AI bouwt (providers). Als je ChatGPT of Claude gebruikt voor bedrijfsprocessen, ben je deployer en moet je aan de relevante eisen voldoen.

"Dit is hetzelfde als de AVG"

De AI Act en AVG zijn complementaire wetten. De AVG gaat over data, de AI Act over AI-systemen zelf. Gebruikt je AI persoonsgegevens, dan gelden beide. De AI Act verwijst meer dan 30 keer naar de AVG in de wettekst.

Tools Die Dit Gebruiken

ChatGPTClaudeGeminiMicrosoft Copilotalle AI-systemen op de EU-markt

Veelgestelde Vragen

Wanneer gaat de EU AI Act volledig in?

De wet wordt gefaseerd ingevoerd. Verboden AI-praktijken en AI-geletterdheid gelden al sinds februari 2025. Hoog-risico eisen worden volledig van kracht in augustus 2026. Voor AI in gereguleerde producten (medische apparaten) geldt augustus 2027 als deadline.

Gelden er uitzonderingen voor het MKB?

Ja, MKB-bedrijven betalen altijd het lagere boetebedrag bij overtredingen. Er komen regulatory sandboxes voor het testen van AI-systemen. Daarnaast publiceert de Nederlandse overheid specifieke handleidingen voor kleinere organisaties.

Wie houdt toezicht in Nederland?

De Autoriteit Persoonsgegevens (AP) en de Rijksinspectie Digitale Infrastructuur (RDI) zijn de coördinerende toezichthouders. Daarnaast houden sectorspecifieke toezichthouders mee: de AFM en DNB voor financiële diensten, de NZa voor de zorg.

Wat is het verschil tussen provider en deployer?

Een provider ontwikkelt of traint het AI-systeem (zoals OpenAI of Anthropic). Een deployer gebruikt het systeem in de praktijk (jouw bedrijf). Beide hebben verplichtingen, maar providers dragen de zwaarste last bij hoog-risico systemen.

Gerelateerde Termen

AI-Geletterdheid Hoog-Risico AI Deepfake AI Governance Guardrails

Wil je deze term in de praktijk leren toepassen?

Bekijk Trainingen Plan Kennismaking