Wat is de EU AI Act? Een overzicht voor het MKB

De EU AI Act, officieel Verordening (EU) 2024/1689, is de eerste brede Europese wet die regels stelt aan het ontwikkelen en gebruiken van kunstmatige intelligentie. Het doel is dat AI in de Europese Unie veilig, transparant en met respect voor grondrechten wordt ingezet. Omdat het een verordening is, geldt de wet rechtstreeks in alle lidstaten, dus ook in Nederland, zonder dat er aparte nationale wetgeving voor nodig is.

Voor wie geldt de AI Act?

Een veelgehoord misverstand is dat de AI Act alleen techbedrijven raakt die zelf AI ontwikkelen. Dat klopt niet. De verordening maakt onderscheid tussen verschillende rollen, en de twee belangrijkste voor het MKB zijn:

• Aanbieder (provider): je ontwikkelt een AI-systeem of laat het onder je eigen naam op de markt brengen.
• Gebruiksverantwoordelijke (deployer): je gebruikt een AI-systeem in je werk, ook als een ander het heeft gebouwd.

De meeste MKB-organisaties zijn gebruiksverantwoordelijke. Gebruik je bijvoorbeeld een AI-tool voor werving, klantcommunicatie of het opstellen van documenten, dan krijg je daar eigen verplichtingen bij, zelfs als je zelf niets ontwikkelt.

De risicogebaseerde aanpak

De AI Act werkt risicogebaseerd: hoe groter het risico van een toepassing, hoe zwaarder de eisen. Er zijn vier niveaus.

• Verboden (onaanvaardbaar risico): praktijken die in strijd zijn met de Europese waarden, zoals social scoring door overheden of manipulatieve systemen, zijn helemaal verboden (Artikel 5).
• Hoog risico: systemen die worden ingezet in gevoelige domeinen uit Bijlage III, zoals werving, onderwijs of kritieke infrastructuur, kennen de strengste verplichtingen.
• Beperkt risico: systemen die direct met mensen communiceren of content genereren, zoals chatbots en generatieve AI, vallen vooral onder transparantieplichten (Artikel 50).
• Minimaal risico: veruit de meeste AI-toepassingen, zoals spamfilters, kennen nauwelijks extra eisen.

De kunst is om per systeem te bepalen in welke categorie het valt. Dat is precies wat onze gratis risicoscan voor je doet.

Wanneer gaat wat in?

De AI Act komt gefaseerd in werking. Een aantal verplichtingen geldt al:

• Sinds 2 februari 2025: de plicht tot AI-geletterdheid (Artikel 4) en het verbod op onaanvaardbare praktijken (Artikel 5).
• Sinds 2 augustus 2025: de verplichtingen voor aanbieders van AI-modellen voor algemene doeleinden (GPAI).
• Vanaf 2 augustus 2026: de transparantieverplichtingen van Artikel 50.
• Daarna volgen de zwaardere hoog-risico-verplichtingen in 2027 en 2028.

Houd er rekening mee dat deze data kunnen verschuiven, onder meer door de aangekondigde Digital Omnibus. Op onze pagina Waarom de AI Act vind je een actuele tijdlijn.

Wat betekent dit concreet voor jou?

Begin met overzicht. Breng in kaart welke AI-systemen er binnen je organisatie worden gebruikt en bepaal per systeem de risicocategorie. Zorg daarnaast dat medewerkers voldoende AI-geletterd zijn, want die verplichting geldt nu al. Vanaf daar werk je toe naar de overige verplichtingen die op je van toepassing zijn.

Je hoeft dit niet in één keer perfect te doen. Een register, een AI-beleid en een aantal afgevinkte verplichtingen brengen je al een heel eind, en laten zien dat je serieus werk maakt van verantwoorde AI.