Wat is de EU AI Act?
De EU AI Act, officieel Verordening (EU) 2024/1689, stelt regels aan het ontwikkelen en gebruiken van kunstmatige intelligentie in de Europese Unie. Het doel is dat AI veilig en betrouwbaar is en de grondrechten respecteert. Omdat het een verordening is, werkt de wet rechtstreeks in alle lidstaten, dus ook in Nederland.
De kern van de wet is een risicogebaseerde aanpak: hoe groter het risico van een AI-toepassing, hoe strenger de eisen. Zo blijven laagrisico-toepassingen vrijwel onbelast, terwijl systemen die mensen direct raken aan strikte voorwaarden moeten voldoen.
Voor wie geldt de AI Act?
De wet onderscheidt verschillende rollen. De twee belangrijkste voor het MKB zijn de aanbieder en de gebruiksverantwoordelijke.
| Rol | Wie ben je? | Voorbeeld |
|---|---|---|
| Aanbieder (provider) | Je ontwikkelt AI of brengt het onder je naam op de markt | Een softwarebedrijf met een eigen AI-functie |
| Gebruiksverantwoordelijke (deployer) | Je gebruikt AI in je werk | Een MKB-bedrijf dat een AI-tool inzet voor werving |
De meeste organisaties zijn gebruiksverantwoordelijke. Ook dan krijg je eigen verplichtingen, ook al heb je het systeem niet zelf gebouwd. Twijfel je over je rol? Lees deployer of provider of doe de gratis risicoscan.
De vier risicocategorieën
- Verboden (onaanvaardbaar risico): praktijken zoals social scoring door overheden of manipulatieve systemen zijn verboden (Artikel 5).
- Hoog risico: AI in gevoelige domeinen uit Bijlage III, zoals werving, onderwijs of kritieke infrastructuur, met de strengste verplichtingen.
- Beperkt risico: systemen die met mensen communiceren of content genereren, met transparantieplichten (Artikel 50).
- Minimaal risico: de meeste toepassingen, met nauwelijks extra eisen.
De belangrijkste deadlines
De AI Act treedt gefaseerd in werking. Let op: data kunnen verschuiven, onder meer door de aangekondigde Digital Omnibus.
| Datum | Wat | Status |
|---|---|---|
| 2 februari 2025 | AI-geletterdheid (Art. 4) en verboden praktijken (Art. 5) | Van kracht |
| 2 augustus 2025 | Verplichtingen voor GPAI-modellen | Van kracht |
| 2 augustus 2026 | Transparantieverplichtingen (Art. 50) | Gepland |
| 2 december 2027 | Hoog-risico-systemen uit Bijlage III | Gepland |
| 2 augustus 2028 | Hoog-risico-AI als productveiligheidscomponent (Bijlage I) | Gepland |
De boetes
De AI Act kent forse boetes (Artikel 99). Voor het MKB geldt telkens het laagste van het bedrag of het percentage.
| Overtreding | Maximale boete |
|---|---|
| Verboden praktijk | € 35 miljoen of 7% van de wereldwijde jaaromzet |
| Hoog-risico-overtreding | € 15 miljoen of 3% |
| Misleidende of onvolledige informatie | € 7,5 miljoen of 1% |
Wie houdt toezicht in Nederland?
In Nederland wordt het toezicht gecoördineerd door de Autoriteit Persoonsgegevens (AP) en de Rijksinspectie Digitale Infrastructuur (RDI). Daarnaast houden sectorale toezichthouders toezicht binnen hun domein, zoals DNB en AFM (financieel), de IGJ (zorg) en de Nederlandse Arbeidsinspectie.
Wat moet je nu doen?
- Breng je AI-gebruik in kaart in een register.
- Bepaal per systeem de risicocategorie en de geldende verplichtingen.
- Regel AI-geletterdheid voor je personeel, want die plicht geldt al.
- Leg vast wat je doet, zodat je compliance aantoonbaar is.
Je hoeft dit niet in één keer perfect te doen. Begin met overzicht en bouw van daaruit verder. Het UMW-platform helpt je van risicoscan tot doorlopend dashboard, en deze gids vormt het startpunt van onze kennisbank.