De EU AI Act is risicogebaseerd: niet elk AI-systeem wordt over één kam geschoren. Hoe groter het risico voor mensen en grondrechten, hoe zwaarder de eisen. Een spamfilter en een wervingsalgoritme vallen daardoor onder totaal verschillende regimes. De verordening kent vier niveaus. Wie ze begrijpt, kan per systeem inschatten wat erbij komt kijken.

Onaanvaardbaar risico: verboden praktijken

De zwaarste categorie bestaat uit AI-toepassingen die zó in strijd zijn met de Europese waarden dat ze gewoonweg verboden zijn (Artikel 5). Dit verbod geldt al sinds 2 februari 2025. Het gaat onder meer om social scoring, manipulatieve systemen die gedrag onderbewust sturen, het uitbuiten van kwetsbaarheden, en emotieherkenning op de werkvloer of in het onderwijs.

Voor het MKB is de praktische boodschap eenvoudig: zet dit soort systemen niet in. Op deze categorie staan de hoogste boetes van de hele verordening, tot € 35 miljoen of 7% van de wereldwijde jaaromzet.

Hoog risico: de strengste verplichtingen

Hoog-risico-systemen mogen wél, maar onder strikte voorwaarden. Het gaat vooral om toepassingen in de gevoelige domeinen van Bijlage III, zoals:

  • werving, selectie en HR-beslissingen;
  • toegang tot en beoordeling in onderwijs;
  • kredietwaardigheid en essentiële diensten;
  • kritieke infrastructuur, rechtshandhaving en grenscontrole.

Voor deze systemen gelden de zwaarste eisen: menselijk toezicht, monitoring, logbewaring en soms een grondrechteneffectbeoordeling (FRIA) voor gebruiksverantwoordelijken, en daarbovenop een uitgebreid pakket voor aanbieders. De meeste hoog-risico-verplichtingen worden vanaf 2 december 2027 volledig van kracht. Niet-naleving kan oplopen tot € 15 miljoen of 3% van de jaaromzet.

Beperkt risico: transparantie

Veel AI die het MKB dagelijks gebruikt valt in de categorie beperkt risico. Denk aan chatbots, virtuele assistenten en generatieve AI die teksten, beelden of audio maakt. Hier draait alles om transparantie (Artikel 50): mensen moeten weten dat ze met AI te maken hebben, en AI-gegenereerde of -gemanipuleerde content (zoals deepfakes) moet als zodanig herkenbaar zijn.

De transparantieverplichtingen van Artikel 50 worden van kracht op 2 augustus 2026. Voor bestaande generatieve-AI-content is via de aangekondigde Digital Omnibus een ruimere overgangstermijn voorgesteld (richting 2 december 2026), al is dat nog niet definitief.

Minimaal risico: geen extra eisen

Veruit de meeste AI-toepassingen vallen in de categorie minimaal risico: spamfilters, aanbevelingssystemen, AI in games en vergelijkbare tools. Hiervoor stelt de AI Act geen specifieke verplichtingen. Let op: ook deze systemen vallen onder de algemene plicht tot AI-geletterdheid (Artikel 4), die voor alle categorieën en sinds 2 februari 2025 geldt.

Hoe deel je je eigen systemen in?

De kunst is om per systeem te bepalen waar het thuishoort, want dat bepaalt je verplichtingen. Werk in deze volgorde:

  1. Verboden? Toets eerst aan Artikel 5. Valt het systeem hieronder, dan stopt het hier: niet inzetten.
  2. Hoog risico? Kijk of de toepassing in een Bijlage III-domein valt of beslissingen over personen automatiseert.
  3. Transparantieplicht? Communiceert het systeem met mensen of genereert het content, dan geldt Artikel 50.
  4. Anders minimaal: geen specifieke eisen, alleen de algemene plichten.

Deze indeling met de hand maken is foutgevoelig. Onze gratis risicoscan loopt de juiste vragen met je door en classificeert elk systeem automatisch. Wil je weten waarom dit nu al belangrijk is, lees dan de pagina waarom de AI Act. Dit artikel is voorlichting en geen juridisch advies; bij twijfelgevallen is een nadere toets verstandig.