De EU AI Act
Europa heeft spelregels voor AI. Ze gelden nu al, ook voor gewone organisaties die ChatGPT of Copilot gebruiken. Hier lees je wat ze inhouden, in gewone taal.
Wat is de AI Act?
De AI Act is een Europese wet die regels stelt voor het gebruik en de ontwikkeling van kunstmatige intelligentie. Vergelijk het met veiligheidseisen voor auto's: hoe gevaarlijker de situatie, hoe strenger de regels.
Het doel is dat AI in Europa veilig, betrouwbaar en eerlijk is. Niet om AI te verbieden, maar om de risico's in goede banen te leiden. De wet is officieel ingegaan op 1 augustus 2024 en de verplichtingen worden stapsgewijs ingevoerd.
Wat gaat wanneer in?
2 februari 2025: Al van kracht
Verbod op onaanvaardbare AI-toepassingen. En: de plicht dat medewerkers die AI gebruiken, dat ook verantwoord kunnen doen (AI-geletterdheid).
2 augustus 2025
Regels voor AI-modellen voor algemeen gebruik, zoals GPT-4, Claude en vergelijkbare grote taalmodellen.
2 augustus 2026
Vanaf 2 augustus 2026 gelden de regels voor de meeste hoog-risico AI-systemen, én transparantieverplichtingen voor bepaalde AI-toepassingen, zoals chatbots en AI-gegenereerde content. Welke verplichting precies van toepassing is, hangt af van de toepassing.
2 augustus 2027
Aanvullende regels voor hoog-risico AI die is ingebouwd in gereguleerde producten, zoals bepaalde medische hulpmiddelen en machines. Voor de meeste hoog-risico AI-systemen gelden de regels al vanaf 2 augustus 2026.
Vier risicocategorieën
De AI Act werkt met risicoclassificaties. Hoe hoger het risico voor mensen, hoe zwaarder de verplichtingen. Niet de tool bepaalt de categorie; de toepassing bepaalt het.
Verboden
Volledig verboden per 2 februari 2025. Te gevaarlijk of te manipulatief om ooit toe te staan.
- Sociale scoring door overheden
- AI die mensen manipuleert zonder dat ze het doorhebben
- Real-time gezichtsherkenning in openbare ruimtes (op enkele uitzonderingen na)
- Emotieherkenning op de werkvloer of in het onderwijs
- Voorspellend politiewerk op basis van persoonsprofiel
Hoog risico
AI ingezet op plekken waar veel op het spel staat: baan, gezondheid, vrijheid van mensen. Zware compliance-eisen.
- CV-screening en personeelsbeoordeling
- Kredietwaardigheids- en hypotheekbeoordeling
- Medische diagnostiek
- AI bij rechterlijke beslissingen
- Grenscontrole en visumaanvragen
- AI die leerlingen beoordeelt
Beperkt risico
Sommige AI-toepassingen kennen transparantieverplichtingen, bijvoorbeeld chatbots, deepfakes en bepaalde AI-gegenereerde content. Welke verplichtingen gelden, hangt af van de toepassing en context.
- Klantenservice-chatbots
- Generatieve AI (hangt af van het gebruik)
- Deepfakes en synthetische beeld-, audio- of videocontent
- AI die teksten of afbeeldingen maakt
Minimaal risico
De grote meerderheid van AI-toepassingen. Geen extra verplichtingen naast bestaande wetgeving.
- Spamfilters
- Aanbevelingsalgoritmen (Netflix, Spotify)
- AI in games
- Slimme zoekfuncties
Gewone tools, echte regels
Niet de tool bepaalt de categorie; de toepassing bepaalt het. ChatGPT kan minimaal risico zijn, of hoog risico. Afhankelijk van hoe je het gebruikt.
ChatGPT: persoonlijk gebruik
Je gebruikt ChatGPT zelf, voor eigen werk. Geen beslissingen over anderen.
ChatGPT: CV's beoordelen voor sollicitaties
Dezelfde tool, maar nu ingezet om te beslissen wie door mag naar de volgende ronde.
Klantenservice-chatbot op je website
Klanten weten niet altijd dat ze met AI praten; dat moet je verplicht aangeven.
Microsoft Copilot voor HR-beslissingen
Zodra Copilot ingezet wordt bij personeelsbeoordelingen, promoties of ontslag valt het onder hoog risico.
AI die medewerkers beoordeelt op emoties of stemming
Emotieherkenning op de werkvloer is volledig verboden per 2 februari 2025, ongeacht het doel of de tool.
Systeem dat klanten onbewust beïnvloedt in hun keuzes
AI die mensen manipuleert zonder dat ze het doorhebben, via nudging, onderbewuste prikkels of misbruik van kwetsbaarheden, is verboden.
Wat is een "AI-systeem"?
De wet definieert een AI-systeem als software die op basis van input autonoom output genereert, zonder dat een mens elke stap goedkeurt.
Maar dat begrip gaat verder dan je denkt. Ook een workflow of proces waarbij AI een stap uitvoert valt onder de wet, voor die stap.
Wat valt WEL onder de AI Act?
- Chatbots en generatieve AI
- Systemen die aanbevelingen doen
- Algoritmen die beslissingen nemen of voorbereiden
- Workflows waarbij AI automatisch een stap uitvoert
Wat valt NIET onder de AI Act?
- ❌ Eenvoudige zoekfuncties
- ❌ Spreadsheets met handmatige formules
- ❌ Systemen die uitsluitend vaste regels volgen zonder autonomie
Transparantieverplichtingen
Van kracht per 2 augustus 2026. Geldt voor iedereen die AI inzet, niet alleen grote bedrijven.
Chatbots
Gebruikers moeten bij de start weten dat ze met AI communiceren. Dit geldt ook voor je klantenservice-chatbot.
AI-gegenereerde content
Publiek informerende teksten die met AI zijn gemaakt, moeten als zodanig worden gelabeld.
Deepfakes
Synthetische video, audio of andere AI-gegenereerde content moet in beginsel herkenbaar zijn als AI-gegenereerd, behalve waar de wet een uitzondering toelaat, zoals bij satire of kunst.
Emotieherkenning
Als je AI inzet die emoties of biometrische kenmerken herkent, moeten betrokkenen hierover geïnformeerd worden.
Wat moet jij weten?
- Je mag AI gebruiken, maar jij bent verantwoordelijk voor de uitkomst
- Weet je niet of een tool veilig is voor een taak? Vraag het na
- AI voor beslissingen over mensen? Dan gelden strengere regels
- Begrijp wat het systeem doet, wat de grenzen zijn en wat de risico's zijn
- AI die persoonsgegevens verwerkt, raakt ook de AVG
Verder lezen
AI Act én AVG: allebei tegelijk
Zodra een AI-systeem persoonsgegevens verwerkt, gelden zowel de AI Act als de AVG. Dat is bij de meeste zakelijke AI-toepassingen het geval.
De AI Act gaat over de veiligheid van het AI-systeem zelf. De AVG gaat over de bescherming van de persoonsgegevens die daarin verwerkt worden. Twee aparte compliance-trajecten, naast elkaar.
Lees ook over de AVG →