DE WERELD VAN AI

Eenvoudige uitleg over kunstmatige intelligentie

,

Uitleg over de EU AI Act: Risico’s en Verplichtingen voor AI-ontwikkelaars

Gepubliceerd op

Uitleg over de EU AI Act: Risico’s en Verplichtingen voor AI-ontwikkelaars

Stel je ontwikkelt of gebruikt AI-systemen in Nederland. Ineens is daar de EU AI Act, een nieuwe Europese wet die kunstmatige intelligentie in banen moet leiden. Wat verandert er voor jou als AI-ontwikkelaar? Moet je nu al je algoritmes laten keuren?

In deze blogpost leg ik uit wat de EU AI Act betekent voor Nederlandse ontwikkelaars. Je leert hoe AI-systemen worden ingedeeld op risico, welke plichten daaruit voortkomen en hoe die regels zich verhouden tot privacywetgeving zoals de AVG. Ook ga ik in op open source-projecten, handhaving in Nederland en praktische stappen om nu al in actie te komen.

De AI-verordening treedt stapsgewijs in werking. De eerste regels gelden sinds 2 februari 2025 in Nederland. Op 2 augustus 2027 is de volledige wet van toepassing. Lees verder om te ontdekken wat deze nieuwe regels voor jou betekenen, in heldere taal, zonder juridisch jargon.

Risicoklassen: van verboden tot minimaal risico

De EU AI Act hanteert een risicogebaseerde aanpak. Dat betekent dat AI-systemen in categorieën worden ingedeeld op basis van het potentiële risico voor mensen of de samenleving. Hoe hoger het risico, hoe strenger de regels. In totaal zijn er vier hoofdklassen: verboden AI, hoog risico AI, beperkt risico AI en minimaal risico AI. Hieronder licht ik iedere categorie toe.

Verboden AI (onaanvaardbaar risico)

Sommige toepassingen van AI zijn zó risicovol voor onze rechten of veiligheid dat ze helemaal niet zijn toegestaan onder de AI Act. Dit zijn systemen met een “onaanvaardbaar risico”. Denk bijvoorbeeld aan AI die mensen stiekem manipuleert of misleidt in hun gedrag, of systemen die aan sociale scoring doen (mensen rangschikken op basis van gedrag of kenmerken zoals in een puntensysteem). Ook realtime gezichtsherkenning in de openbare ruimte door de politie is in principe verboden, tenzij er een streng juridisch kader is dat specifieke uitzonderingen toestaat. Zo’n kader moet duidelijke waarborgen bieden, zoals voorafgaande toestemming van een rechter en het beperken van het gebruik tot ernstige misdrijven. In Nederland bestaat zo’n juridisch kader op dit moment (november 2025) nog niet. Verder mag AI niet worden gebruikt om emoties van mensen te herkennen op werk of op school, en is het verboden om AI in te zetten die iemands kansen op crimineel gedrag voorspelt puur op basis van profiel of persoonlijkheid. Deze vormen van AI worden gezien als te ingrijpend en in strijd met Europese waarden, en zijn daarom verboden in de EU.

Hoog risico AI

De tweede categorie is hoog risico AI. Dit zijn AI-systemen die wel zijn toegestaan, maar onder strikte voorwaarden. Het gaat om toepassingen die een grote impact kunnen hebben op iemands leven, veiligheid of grondrechten. Voorbeelden zijn AI in kritieke sectoren of beslissingen: een algoritme dat gebruikt wordt bij medische diagnoses, in de auto als veiligheidsfunctie, bij het beoordelen van krediet of hypotheken, bij personeelswerving (zoals automatische selectie van sollicitanten), of bij examens en diploma-uitreiking. Ook AI voor handhaving en migratie (bijv. gezichtsherkenning om verdachte personen op te sporen, of systemen die asielaanvragen beoordelen) vallen hieronder. Bij deze systemen is het risico aanwezig dat er iets misgaat met mogelijk ernstige gevolgen. Daarom stelt de AI Act hier een reeks verplichtingen aan om ervoor te zorgen dat ze veilig, eerlijk en transparant werken.

Beperkt risico AI (transparantieplicht)

De derde groep betreft AI-systemen met een beperkt risico. Deze mogen vrij gebruikt worden, maar er gelden enkele transparantieverplichtingen. Het idee is dat de gebruiker of betrokkenen moeten weten dat ze met AI te maken hebben, zodat er geen misleiding ontstaat. Bijvoorbeeld: een chatbot die converseert met klanten moet duidelijk maken dat het geen mens is (“u praat met een AI-assistent”). Of denk aan generatieve AI die realistische beelden of teksten creëert (zoals deepfakes); daar moet bij vermeld worden dat de content door AI is gegenereerd, zodat mensen het kunnen herkennen. Ook eenvoudige AI-toepassingen die bijvoorbeeld iemands emoties proberen te lezen of persoonskenmerken inschatten, moeten vaak bekendmaken dat ze dit doen. Verder moeten aanbieders in sommige gevallen basale informatie verstrekken over hoe het systeem werkt. Beperkt-risico AI-systemen hoeven dus geen uitgebreide keuring te doorstaan, maar wel eerlijkheidshalve open zijn over hun AI-karakter.

Minimaal risico AI

De laatste categorie omvat eigenlijk alle overige AI-toepassingen die weinig tot geen risico met zich meebrengen. Dit kun je zien als de “minimaal risico” klasse. Denk aan alledaagse AI zoals spamfilters, aanbevelingssystemen voor producten, of AI die de efficiëntie van energienetwerken of logistiek verbetert. Voor dit soort AI-systemen stelt de AI Act geen extra eisen. Je mag ze dus gewoon ontwikkelen en gebruiken zoals je al deed, mits je natuurlijk voldoet aan andere algemene wetten. De gedachte is: ga vooral door met innoveren waar weinig gevaar is, de wet wil geen onnodige barrières opwerpen. Wel geldt er één algemene verantwoordelijkheid voor alle AI-gebruikers: zorg dat je team voldoende begrijpt hoe de AI werkt en welke beperkingen die heeft. Met andere woorden, zorg voor een basisniveau van AI-kennis binnen je organisatie zodat je de technologie verstandig inzet. Artikel 4 van de AI Act benadrukt namelijk “AI-geletterdheid”: organisaties moeten mensen opleiden om met AI om te gaan. Verder kun je als ontwikkelaar vrijwillig codes of gedrag of beste praktijken volgen om ook bij minimale risico-toepassingen kwaliteit te borgen, maar dit is niet verplicht.

Generatieve AI en general-purpose modellen

Een bijzonder aandachtspunt zijn de generatieve AI-modellen en andere zogenaamde “general-purpose AI” (algemene AI-modellen). Dit zijn brede AI-modellen (zoals grote taalmodellen à la GPT-4) die je voor van alles kan inzetten, van tekst en code genereren tot beeldanalyse. Ze passen niet netjes in één risicoklasse, omdat ze voor verschillende doeleinden gebruikt kunnen worden (sommige laag risico, andere hoog risico toepassingen). De AI Act heeft daarom aparte regels voor de aanbieders van dit soort algemene modellen. Zo moeten ontwikkelaars van generatieve AI transparantie bieden over de trainingsdata die ze hebben gebruikt en rekening houden met auteursrechten (bij het trainen op beschermde data moeten ze respectvol omgaan met copyrightbeperkingen). Er komt ook een gedragscode voor deze ontwikkelaars, zodat ze vrijwillig best practices kunnen volgen zolang de strenge verplichtingen nog niet gelden. Als zo’n algemeen model vervolgens wordt ingezet in een hoog risico toepassing, dan moeten de integrators of afnemers ervoor zorgen dat het geheel voldoet aan de eisen voor hoog risico AI. De Europese Commissie kijkt bovendien mee bij de allerzwaarste categorie “systemisch risico” AI-modellen, de echt krachtige generatieve AI’s, om te beoordelen of extra maatregelen nodig zijn. Voor de gemiddelde AI-ontwikkelaar is dit wellicht minder relevant, maar bouw je zelf een foundation model of een grote generatieve AI, houd dan rekening met deze extra verantwoordelijkheden.

Verplichtingen voor ontwikkelaars bij hoog risico AI

Stel jouw AI-systeem valt in de categorie hoog risico. Wat betekent dat concreet voor jou als ontwikkelaar of aanbieder? De AI Act vereist in dat geval een reeks aan maatregelen en documentatie om de veiligheid en betrouwbaarheid te garanderen voordat je het systeem op de markt brengt of in gebruik neemt. Enkele belangrijke verplichtingen op een rijtje:

  • Risicomanagement en beoordeling: Je moet een proces opzetten om de risico’s van je AI-systeem in kaart te brengen en te beheersen. Dat lijkt op een risico-analyse of impact assessment. Je kijkt bijvoorbeeld naar mogelijke verkeerde beslissingen van de AI en wat de gevolgen zouden zijn, en neemt maatregelen om die risico’s te verkleinen.
  • Data- en algoritmekwaliteit: Je moet zorgen voor goede kwaliteit van de data waarmee je AI traint en valideert. Bijvoorbeeld controleren op bias (vooringenomenheid) in de data zodat je AI geen discriminatie veroorzaakt. Ook moet je AI-model voldoende nauwkeurig, robuust en veilig zijn in zijn prestaties. Dit betekent testen, monitoren en waarborgen dat het systeem onder verschillende omstandigheden betrouwbaar blijft werken en niet te gemakkelijk faalt of gemanipuleerd kan worden.
  • Technische documentatie: Als ontwikkelaar ben je verplicht een uitgebreide technische documentatie bij te houden van het AI-systeem. Hierin beschrijf je onder andere hoe het model is ontworpen, welke data is gebruikt, hoe het algoritme werkt, de resultaten van je tests, enzovoort. Dit dossier moet zo opgesteld zijn dat toezichthouders of afnemers kunnen begrijpen wat het systeem doet en of het aan de wet voldoet.
  • Menselijk toezicht: Bij hoog risico AI moet er altijd een mogelijkheid zijn voor human oversight, mensen moeten de uitkomsten kunnen controleren en indien nodig kunnen ingrijpen of besluiten negeren. Met andere woorden, je AI mag niet volledig op de automatische piloot kritieke beslissingen nemen zonder dat een mens het overzicht behoudt. Als ontwikkelaar bouw je dus mechanismen in zodat gebruikers invloed kunnen uitoefenen of tenminste de resultaten goed kunnen uitleggen en controleren.
  • Transparantie en uitlegbaarheid: Hoewel het bij hoog risico systemen vaak om complexe algoritmes gaat, moet je ernaar streven dat de werking uitlegbaar is aan degene die het implementeert of gebruikt. De AI Act verlangt dat de output van het systeem begrijpelijk is voor de gebruiker. Dit betekent bijvoorbeeld dat je ervoor zorgt dat er geen totale “black box” ontstaat, documenteer hoe beslissingen tot stand komen of geef het systeem functies die verklaring kunnen geven voor een bepaalde output. Zo kunnen afnemers of auditors beoordelen of de AI eerlijk en juist functioneert.
  • Logboek en monitoring: Veel hoog risico AI-systemen moeten een soort logboek bijhouden van hun activiteiten (denk aan welke beslissingen zijn genomen, op basis waarvan). Dit helpt achteraf om te analyseren wat er gebeurde als er iets misgaat. Als ontwikkelaar moet je zorgen dat het systeem zulke logs kan genereren en opslaan.
  • Conformiteitsbeoordeling (AI-keuring): Voor je een hoog risico AI-systeem op de Europese markt brengt, moet het een conformiteitsbeoordeling doorlopen, een soort keuring om te controleren of het systeem aan alle bovengenoemde eisen voldoet. Vaak zul je dit als aanbieder zelf doen aan de hand van gestandaardiseerde procedures of normen. In sommige gevallen moet een externe instantie meekijken (vergelijkbaar met hoe een keuringsinstituut nu bij bepaalde medische apparatuur moet certificeren). Als alles in orde is, stel je een EU-conformiteitsverklaring op waarin je verklaart dat het AI-systeem aan de AI Act voldoet.
  • CE-markering en register: Net als bij andere veilig­heids­regels moeten bepaalde AI-systemen voorzien worden van een CE-markering. Dit kenmerk (het bekende CE-logo) geeft aan dat jouw product voldoet aan de Europese eisen. Voor AI betekent dit na 2026 dat hoog risico AI-systemen ook de CE-markering dragen zodra ze aan alle verplichtingen voldoen. Bovendien komt er een Europees register van hoog risico AI-systemen. Als aanbieder moet je je AI-systeem aanmelden in die database, zodat er centraal overzicht is van welke hoogwaardige AI-toepassingen actief zijn.

Zoals je merkt zijn dit forse verplichtingen. Het doel is dat voordat een kritieke AI wordt losgelaten op gebruikers, hij grondig is getest, gedocumenteerd en geborgd. Dit vraagt extra werk van ontwikkelaars, zeker vergeleken met de relatief ongereguleerde AI-omgeving van voorheen. Ook voor organisaties die zo’n systeem afnemen of gebruiken (de “deployer”) gelden verplichtingen: zij moeten de AI toepassen zoals de aanbieder het bedoeld heeft, de gebruiksinstructies volgen en hun personeel goed trainen in het werken met het systeem. Je kunt dus als maker verwachten dat klanten gaan vragen naar jouw documentatie en garanties, omdat zíj er ook op aangesproken kunnen worden als ze een hoog risico AI verkeerd gebruiken. Samen komt het neer op een keten van verantwoordelijkheid: van bouw tot inzet moet hoog risico AI scherp in de gaten gehouden worden.

De AI Act en de AVG: wat is het verschil?

Je vraagt je misschien af: we hebben toch al de AVG (privacywetgeving) die regels stelt aan data en algoritmes, waarom dan nog de AI Act? Het is belangrijk te begrijpen dat de AI Act en de AVG verschillende doelen hebben, maar elkaar aanvullen.

De AVG (Algemene Verordening Gegevensbescherming) gaat over de bescherming van persoonsgegevens. Die wet regelt bijvoorbeeld dat je niet zomaar iemands persoonlijke gegevens mag gebruiken zonder grondslag, en dat je mensen privacyrechten moet geven (inzage, correctie, etc.). In de context van AI betekent dit dat als jouw AI-systeem persoonsgegevens verwerkt (bijvoorbeeld gezichten herkent of gebruikersdata analyseert), je nog steeds aan alle AVG-eisen moet voldoen. Denk aan het hebben van een geldige reden om die data te gebruiken, minimale data verzamelen, goed beveiligen, en wellicht een Data Protection Impact Assessment (DPIA) uitvoeren als er hoge privacyrisico’s zijn.

De EU AI Act richt zich daarentegen op het functioneren en het gebruik van de AI zelf, los van of er persoonsgegevens in zitten of niet. De AI Act wil ervoor zorgen dat AI-systemen veilig zijn, geen discriminatie veroorzaken, transparant werken en onze fundamentele rechten respecteren. Zo gelden de regels van de AI Act ook voor AI die helemaal geen persoonsgegevens gebruikt (bijvoorbeeld een AI die op basis van anonieme sensorgegevens beslissingen neemt in een fabriek kan tóch hoog risico zijn als bij een fout mensenlevens in gevaar komen).

In de praktijk zullen de AVG en AI Act dus naast elkaar van toepassing zijn op veel AI-projecten. Heb je bijvoorbeeld een algoritme dat sollicitanten beoordeelt: dat valt onder hoog risico AI (AI Act) én het verwerkt persoonlijke gegevens van kandidaten (AVG). Je moet dan beide wetten naleven. Dat betekent bijvoorbeeld zowel een DPIA uitvoeren voor privacy, als een AI-risicobeoordeling/conformiteitstoets doen voor de AI Act. Ook zul je transparant moeten zijn op twee fronten: naar de toezichthouder/gebruikers over hoe de AI werkt én naar de betrokken personen over wat je met hun gegevens doet.

Het goede nieuws is dat de doelen van beide wetten overlap hebben: transparantie, eerlijkheid, verantwoordelijkheid. Als je nu al gewend bent om onder de AVG zorgvuldig met data om te gaan, heb je qua mindset een stapje voor. Zo eist de AVG “privacy by design”, en de AI Act verlangt iets soortgelijks: denk vanaf het ontwerp na over veiligheid en ethiek by design.

In Nederland ziet de Autoriteit Persoonsgegevens (AP) toe op de AVG én krijgt zij een rol bij AI-toezicht. Je kunt dus verwachten dat er duidelijke richtlijnen komen over hoe je beide kaders in samenhang kunt naleven. Het komt erop neer dat de AVG vooral kijkt “Mag ik deze data gebruiken en hoe bescherm ik de privacy?” en de AI Act vraagt “Werkt mijn AI op een verantwoorde manier en heb ik de risico’s in de hand?”. Beide vragen moet je straks met “ja” kunnen beantwoorden voordat je een AI-systeem volledig kunt vrijgeven.

Open source en kleinere ontwikkelaars

Veel AI-innovatie komt vanuit de open-source gemeenschap en start-ups. Maar hoe zit het met de nieuwe regels voor partijen zonder een leger aan juristen? De AI Act erkent het belang van open source en maakt op sommige punten uitzonderingen. Zo vallen AI-systemen die onder een vrije en open-source licentie worden uitgebracht, in principe buiten bepaalde verplichtingen, zolang ze niet commercieel worden aangeboden of geïntegreerd in een toepassing.

Zodra een open source-model wordt ingebouwd in een product, dienst of platform dat op de markt komt, gelden de regels alsnog. Ook non-profitontwikkelaars kunnen verplichtingen krijgen, bijvoorbeeld bij gebruik van AI in een hoog-risicocategorie. Open source is dus geen vrijbrief, het hangt af van hoe en waarvoor het systeem wordt ingezet. Laat ik hier nog iets dieper op ingaan.

Als jij als individuele ontwikkelaar een machine learning model traint en het open-source publiceert op GitHub, dan gelden de AI Act-verplichtingen in principe niet direct voor jou. Je hoeft niet zelf dat hele CE-keurtraject te doorlopen puur om je code online te zetten. Deze vrijstelling is bedoeld om innovatie en samenwerking niet te belemmeren.

Let op: die uitzondering heeft grenzen. Zodra jouw open-source AI-systeem namelijk wordt ingezet als onderdeel van een product of dienst, kunnen de regels alsnog gaan gelden. Bijvoorbeeld: je ontwikkelt een open-source spraakherkenningsmodel. Een bedrijf pakt jouw model en bouwt er een commercieel toegangsbeveiligingssysteem mee (gezichtsherkenning bij een deur). Dat bedrijf wordt dan de aanbieder die het op de markt brengt en moet zorgen dat aan de AI Act voldaan is (en dus eventueel het model laten keuren als het hoog risico blijkt, bijvoorbeeld als het voor beveiliging wordt gebruikt). Jij als originele maker wordt in zo’n geval niet rechtstreeks beboet als er iets mis is – de verantwoordelijkheid ligt bij de partij die het daadwerkelijk deployt. Maar het is natuurlijk wel fijn als jouw open-source project netjes documentatie en geen al te gekke risico’s bevat, zodat anderen het veilig kunnen gebruiken.

Als kleine ontwikkelaar of startup krijg je op papier geen vrijstelling: de wet eist van grote én kleine spelers naleving als je AI-systemen op de markt brengt. Dit kan best spannend zijn voor startups, want de compliance-klussen (risico-analyses, documentatie) kosten tijd en geld. De EU en Nederlandse overheid beloven echter ondersteuning. Er zullen bijvoorbeeld regulatory sandboxes worden ingericht, dit zijn proefomgevingen waar je als ontwikkelaar onder begeleiding kunt experimenteren met AI en advies krijgt over de regels zonder direct bang te zijn voor sancties. Ook komen er waarschijnlijk handleidingen, templates en softwaretools beschikbaar om mkb’ers te helpen bij het voldoen aan de AI Act zonder torenhoge juristenkosten. In de AI Act zelf is opgenomen dat men open-source en kleine ondernemingen wil ontzien waar mogelijk, bijvoorbeeld door geen onnodige bureaucratie te vragen en via gedragscodes flexibiliteit te bieden.

Belangrijk om te benadrukken is de uitspraak van de minister bij de invoering: “Strenge regels waar nodig, maar géén onnodige regels voor bedrijven die laag-risico AI-systemen ontwikkelen en toepassen.” In de praktijk betekent dit dat als jij als kleine speler bezig bent met een leuke AI-app die geen hoog risico vormt, je waarschijnlijk weinig last zult hebben van deze wet. Blijf de basisprincipes volgen (wees transparant naar gebruikers, ontwerp je AI zorgvuldig) en je zit al goed. Pas wanneer je iets gaat doen dat écht in de buurt komt van die hoog risico categorie, moet je opschalen in je compliance-aanpak.

Handhaving en toezicht in Nederland

Hoe gaat dit alles in de praktijk gecontroleerd worden? Handhaving van de AI Act zal in Nederland plaatsvinden via aangewezen toezichthouders, vergelijkbaar met hoe de privacywet wordt gehandhaafd door de Autoriteit Persoonsgegevens (AP). Omdat AI toepassingen heel breed zijn (van medische apparaten tot financiële algoritmes), is ervoor gekozen om waar mogelijk aan te sluiten bij bestaand toezicht. Dat betekent dat sectorale toezichthouders hun rol behouden: bijvoorbeeld de Inspectie Gezondheidszorg blijft letten op medische AI in apparatuur, de Nederlandse Voedsel- en Warenautoriteit (NVWA) blijft speelgoed en elektronica controleren (inclusief de AI daarin), en de Autoriteit Financiële Markten/DNB kijken mee naar AI in de financiële sector.

De Autoriteit Persoonsgegevens krijgt een bijzondere taak als coördinerend toezichthouder voor AI. De AP is al bekend met algoritmes (denk aan privacy-audits op algoritmes bij overheden) en zal andere toezichthouders ondersteunen en zorgen dat kennis over AI-regels gedeeld wordt. Daarnaast zal de AP waarschijnlijk toezicht houden op hoog risico AI-toepassingen die niet al onder een specifieke sectorautoriteit vallen. Stel jij bouwt een hoog risico AI-systeem voor HR-toepassingen (sollicitant selecteren), daar is niet een aparte toezichthouder voor, dus dan zou de AP dit op zich nemen om te controleren of jouw systeem aan de AI Act voldoet.

Sinds de inwerkingtreding van de AI-verordening in 2024 is de overheid bezig met het aanwijzen van toezichthouders. Inmiddels is duidelijk dat de toezichtstructuur in Nederland vorm krijgt, maar definitieve details kunnen nog volgen. Er wordt gesproken over een gecombineerde rol van de Autoriteit Persoonsgegevens (AP) en de Rijksinspectie Digitale Infrastructuur (voorheen Agentschap Telecom).

Op Europees niveau is het European AI Office opgericht. Deze instantie houdt toezicht op grensoverschrijdende zaken en de grote algemene AI-modellen, zoals foundation models. Voor de meeste ontwikkelaars in Nederland zal het dagelijkse contact over naleving echter verlopen via nationale toezichthouders, afhankelijk van de sector of het type AI-toepassing.

Wanneer moet je klaar zijn voor controle? De AI Act treedt gefaseerd in werking. Vanaf 1 februari 2025 zijn de verboden toepassingen officieel verboden, daar kan dus per direct op gehandhaafd worden (het is aan te raden meteen te stoppen met zo’n systeem als je dat hebt draaien). De verplichtingen voor general-purpose AI (generatieve modellen) gelden vanaf augustus 2025. De zwaarste kluif, de eisen voor hoog risico AI-systemen, gaan vanaf augustus 2026 gehandhaafd worden. Dat geeft ontwikkelaars nog even de tijd (ongeveer tot midden 2026) om hun hoog risico AI compliant te maken. In 2027 volgt de laatste fase, vooral voor AI die al in andere producten zit (bijv. machines die al onder productrichtlijnen vielen). Overheden krijgen zelfs iets langer de tijd (tot 2030) om hun bestaande AI-systemen op orde te brengen.

Qua sancties lijkt de AI Act op de AVG: er komen forse boetes mogelijk bij overtredingen. In het uiterste geval kunnen boetes oplopen tot €30–40 miljoen of 6–7% van de wereldwijde jaaromzet van een bedrijf (afhankelijk van de ernst, bijvoorbeeld het aanbieden van verboden AI kan het maximum betekenen). Voor minder zware vergrijpen, zoals het niet op orde hebben van de documentatie, zijn lagere boetes voorzien (maar nog steeds hoog, enkele procenten van de omzet of tientallen miljoenen). Het is dus zeker niet vrijblijvend.

Toch is de verwachting dat toezichthouders in Nederland eerst dialoog en begeleiding zullen bieden. Net als bij de start van de AVG zul je waarschuwingen en aanwijzingen kunnen krijgen om dingen te verbeteren, voordat men direct met sancties komt. De AP heeft al aangegeven dat ze een proactieve houding willen: ze zoeken contact met ontwikkelaars en bedrijven om te kijken hoe ze kunnen helpen voldoen, en geven redelijke termijnen om zaken recht te zetten. Pas als iemand hardnekkig in gebreke blijft of weigert aan de regels te voldoen, zullen er echte boetes of ingrepen (zoals een verkoopverbod) volgen. Dit betekent niet dat je het kunt negeren, maar wel dat je ruimte krijgt om te leren en te verbeteren. Het devies is: toon zelf initiatief en wacht niet af tot een controleur op de stoep staat. Als je twijfelt of jouw AI onder hoog risico valt, wordt aangeraden om het zekere voor het onzekere te nemen en alvast de eisen te omarmen. Dat voorkomt problemen later en laat zien dat je verantwoord bezig bent.

Tips: hoe bereid je je voor op de AI Act?

Met al deze informatie rijst de vraag: wat kun je nu al doen om klaar te zijn voor de AI Act? Enkele praktische tips voor AI-ontwikkelaars en organisaties:

  • Breng je AI-systemen in kaart: Maak een lijst van alle AI-toepassingen die je ontwikkelt, inzet of van plan bent te lanceren. Dit omvat ook machine learning modellen, algoritmes in je software of externe AI-diensten die je gebruikt. Je kunt alleen actie ondernemen op wat je weet, dus begin met volledig overzicht.
  • Bepaal de risicoklasse: Bekijk per AI-systeem in welke risicocategorie het valt volgens de AI Act. Gebruik de hierboven genoemde klassen als leidraad. Heeft jouw AI potentieel grote invloed op iemands rechten of veiligheid (denk aan gezondheid, financiën, juridische status)? Dan zou het hoog risico kunnen zijn. Is het iets onschuldigs als een spamfilter of een product aanbeveling? Dan is het minimaal risico. Twijfel je ergens over, ga dan vooralsnog uit van een hogere categorie om veilig te spelen.
  • Check op verboden toepassingen: Zorg dat je geen AI toepast die onder de verboden gevallen valt. Dit lijkt voor de hand te liggen, maar controleer bijvoorbeeld of je software niet ergens stiekem een element van sociale scoring of ongeoorloofde gedragsbeïnvloeding bevat. Beter nu identificeren en aanpassen dan straks moeten stoppen onder tijdsdruk.
  • Voorbereiden op hoog risico eisen: Als je AI-systemen hebt geïdentificeerd die (mogelijk) hoog risico zijn, begin dan op tijd met het treffen van de vereiste maatregelen. Stel een rudimentair risicomanagementplan op: wat zijn de risico’s van jouw AI en hoe ga je die adresseren? Start met het verzamelen van documentatie over je model: welke data gebruik je, hoe heb je getraind, welke resultaten behaal je in tests? Probeer ook nu alvast menselijk toezicht in te bouwen en check of je model in duidelijke taal uitgelegd kan worden. Je kunt dit stapsgewijs doen, maar begin ruim voor 2026 zodat je niet alles op het laatste moment moet regelen.
  • Implementeer transparantievoorzieningen: Kijk of je systemen hebt die onder de beperkt risico transparantieplicht vallen (chatbots, generatieve AI-output, etc.). Zo ja, voeg dan nu alvast de meldingen toe. Bijvoorbeeld: plaats een notificatie in je chatinterface dat het een AI is, of watermerk AI-gegenereerde afbeeldingen als zodanig. Dit zijn relatief kleine ingrepen die je direct laten voldoen aan de eenvoudige verplichtingen en het vergroot ook het vertrouwen bij gebruikers.
  • Rol in de keten begrijpen: Bepaal of jij een aanbieder (provider) of alleen een gebruiker (deployer) bent van elk AI-systeem. Als aanbieder (degene die het AI-systeem ontwikkelt en levert) heb je de zwaarste verantwoordelijkheden. Als gebruiker van andermans AI hoef je vooral toe te zien op juist gebruik en scholing. Het kan ook zijn dat je beide rollen hebt (je bouwt een model en gebruikt het zelf intern). Zorg dat je per rol bekijkt wat je moet doen. Spreek ook met eventuele leveranciers: vraag of hun AI-product straks AI Act-proof is, zodat jij niet voor verrassingen komt te staan.
  • Train je team en verhoog AI-kennis: Investeer in bewustwording en opleiding rondom de AI Act binnen je organisatie. Iedereen die met AI-projecten te maken heeft – van ontwikkelaars tot productmanagers – zou de basis van de wet moeten kennen. Ook is het nuttig om je data scientists te scholen in ethische AI principes en risicomanagement. Dit sluit aan bij de verplichte AI-geletterdheid: wanneer je team begrijpt waarom bepaalde dingen (bijvoorbeeld bias checks of documentatie) nodig zijn, zullen ze het ook actief toepassen.
  • Volg het nieuws en guidance: Blijf op de hoogte van verdere ontwikkelingen. Er komen naar verwachting richtsnoeren, standaarden en gedragscodes vanuit de EU en Nederlandse overheid die praktisch uitleggen hoe je kunt voldoen. Abonneer je op nieuwsbrieven van toezichthouders (zoals de AP) of brancheorganisaties over AI & wetgeving. Nieuwe informatie, zoals concrete voorbeelden of tools, kan het je een stuk makkelijker maken om te voldoen.
  • Maak gebruik van hulpbronnen: Schroom niet om gebruik te maken van beschikbare hulpmiddelen. Er zullen checklists, compliance-kits en misschien zelfs geaccrediteerde consultants opduiken die ervaring hebben met AI Act implementatie. Voor kleine bedrijven komen er mogelijk subsidies of programma’s om je te helpen (bijv. via RVO of Europese innovatieprojecten). Het wiel hoef je niet alleen uit te vinden – er zijn velen die hier samen doorheen moeten.
  • Integreer ethiek en privacy by design: Tot slot, neem de kans om je ontwikkelproces te verbeteren. Bouw ethiek & privacy vanaf het ontwerp in. Dit betekent bijvoorbeeld: diverse data gebruiken om bias te voorkomen, kritisch kijken naar de uitkomsten van je model, gebruikers de mogelijkheid geven feedback te geven op de AI-beslissingen, enzovoort. Dit is niet alleen goed voor naleving van de wet, maar leidt vaak ook tot betere producten die gebruikers vertrouwen.

Door nu proactief aan de slag te gaan met deze stappen, zorg je dat je straks niet voor verrassingen komt te staan en kun je met een gerust hart blijven innoveren met AI.

Wanneer gaat de AI-verordening in?

De AI-verordening (EU AI Act) wordt stap voor stap ingevoerd. Niet alle regels gelden meteen, maar verspreid over meerdere jaren. Zo krijgen organisaties en ontwikkelaars de tijd om zich aan te passen. De belangrijkste mijlpalen op een rij:

Februari 2025

  • Verboden AI-systemen: Toepassingen met een onaanvaardbaar risico zijn vanaf nu verboden, zoals manipulatieve technieken of sociale scoring.
  • AI-geletterdheid verplicht: Organisaties moeten zorgen dat werknemers en gebruikers voldoende kennis hebben om verantwoord met AI om te gaan.

Augustus 2025

  • Toezichthouders actief: Nationale toezichthouders in Nederland zijn aangewezen en krijgen bevoegdheden om toezicht te houden en sancties op te leggen.
  • Regels voor generieke AI-modellen: Voor aanbieders van ‘general purpose AI’, zoals taalmodellen, gelden nieuwe transparantie-eisen en documentatieverplichtingen.

Augustus 2026

  • Toezicht op hoog-risico AI: Voor AI-toepassingen uit Bijlage III van de wet (zoals biometrische identificatie of systemen in onderwijs en werk) start het toezicht op naleving van de verplichtingen.
  • Transparantieplicht voor AI-gebruik: Gebruikers moeten geïnformeerd worden als ze met AI te maken hebben, bijvoorbeeld bij AI-gegenereerde tekst of synthetische stemmen.
  • Regulatory sandbox: Nederland start een begeleidend loket voor ontwikkelaars die vragen hebben over hoe ze moeten voldoen aan de regels.

Augustus 2027

  • Toezicht op bestaande producten: Ook AI in al bestaande gereguleerde producten, zoals medische apparatuur of auto’s, valt vanaf nu onder het toezicht.
  • AI-verordening volledig van kracht: Alle onderdelen van de wet zijn vanaf dit moment formeel van toepassing.

Augustus 2030

Overheid klaar met overgangsperiode: Overheidsorganisaties moeten uiterlijk nu voldoen aan de regels voor hun bestaande AI-systemen.

Afronding

De EU AI Act is een uitgebreid pakket aan regels, maar uiteindelijk draait het om vertrouwen in AI. Als ontwikkelaar of AI-gebruiker in Nederland krijg je meer verantwoordelijkheid om te zorgen dat jouw AI-systemen geen schade aanrichten en open kaart spelen naar de wereld. Dat klinkt als een uitdaging, maar het biedt ook kansen: veiligere en verantwoorde AI kan rekenen op meer draagvlak en succes op de lange termijn.

Ben je als ontwikkelaar of organisatie al bezig met deze nieuwe wet? Heb je vragen of tips uit je eigen voorbereiding? Laat het ons vooral weten in de reacties hieronder. Deel je ervaringen of stel je vragen, zo helpen we elkaar om van AI iets moois te maken dat binnen de lijntjes kleurt. Uiteindelijk staan we samen aan de voorhoede van eerlijke, betrouwbare AI! Veel succes en we horen graag van je.

Bronnen en verder lezen

Deze blogpost is gebaseerd op openbare informatie van officiële instanties. Wil je zeker weten dat alles klopt of zelf verder lezen? Bekijk dan de onderstaande bronnen. Vertrouw niet alleen op deze blog, wetten veranderen en officiële documenten geven altijd de meest actuele uitleg.

Gerelateerde content

Ontdek meer van De Wereld Van AI

Blijf op de hoogte van nieuwe AI-artikelen, direct in je mailbox.

Geef een reactie

Hallo,

Welkom!

De Wereld van AI is de Nederlandstalige blog die kunstmatige intelligentie begrijpelijk maakt.

Lees heldere uitleg over AI, machine learning en neurale netwerken, met praktische voorbeelden en actuele inzichten.

Nieuw met AI? Begin met mijn gratis Basiscursus AI en ontdek stap voor stap hoe kunstmatige intelligentie werkt.

START MIJN GRATIS
BASISCURSUS AI

Zoek je iets specifieks? Op Alle Artikelen, Categorieën, de AI-Woordenlijst en Alle Tags vind je al mijn AI-onderwerpen overzichtelijk bij elkaar.

Liever kijken dan lezen?
Bezoek mijn YouTube-kanaal De Wereld van AI voor korte en toegankelijke video’s.

Recente berichten

Logo van De Wereld van AI met een rode knop waarop “Subscribe” staat, als promotie voor het YouTube-kanaal

AI (34) AI-Tools (4) AI-Uitleg (18) AI toepassingen (5) AI Uitleg (12) AI voor Beginners (8) artificial-intelligence (6) Automatisering (4) Beginners (5) Beveiliging (4) ChatGPT (14) Data (5) Data-analyse (5) Deep Learning (9) De Wereld van AI (5) Generatieve AI (4) Innovatie (5) Kunstmatige Intelligentie (45) large language models (4) Machine Learning (24) Neurale Netwerken (11) Productiviteit (6) Taalmodellen (5) Technologie (12) Uitleg (12)

Ontdek meer van DE WERELD VAN AI

Abonneer je nu om meer te lezen en toegang te krijgen tot het volledige archief.

Lees verder