De AI Act Uitgelegd voor Nederlandse Organisaties

Wat betekent de Europese AI Act voor uw organisatie? Verplichtingen, risicoclassificaties en wat u nu moet doen. Praktisch uitgelegd.

De AI Act uitgelegd

De AI Act uitgelegd voor Nederlandse organisaties

De Europese AI Act is de eerste brede wet die het gebruik van kunstmatige intelligentie reguleert en verplichtingen oplegt aan organisaties die AI inzetten of aanbieden. De verordening deelt AI-toepassingen in naar risico (van verboden systemen tot minimaal gereguleerde tools) en koppelt aan elk risiconiveau specifieke eisen. Voor alle organisaties geldt al per 2 februari 2025 dat zij moeten zorgen voor voldoende AI-geletterdheid bij hun medewerkers. Wie dat niet kan aantonen, is nu al niet-compliant.

Snel antwoord De AI Act is de Europese verordening die AI-gebruik reguleert op basis van risico. Vier categorieën: verboden toepassingen, hoog risico (zwaar gereguleerd), beperkt risico (transparantieplicht) en minimaal risico (geen verplichtingen). De AI-geletterdheidsplicht (art. 4) geldt voor alle organisaties die AI gebruiken en is al van kracht per 2 februari 2025.

Wat is de AI Act?

De AI Act (formeel: Verordening (EU) 2024/1689) is de Europese verordening die een juridisch kader schept voor de ontwikkeling, het op de markt brengen en het gebruik van kunstmatige intelligentie in de Europese Unie. De verordening is op 1 augustus 2024 in werking getreden en wordt gefaseerd van kracht. De officiële tekst van de AI Act (EUR-Lex) is openbaar beschikbaar.

Het uitgangspunt is risicogebaseerd: hoe groter de potentiële schade van een AI-systeem voor mensen of de samenleving, hoe strenger de regelgeving. De AI Act maakt geen onderscheid naar sector, ze geldt voor alle organisaties, zowel commercieel als publiek, die AI-systemen ontwikkelen, inzetten of laten inzetten. Nederlands recht speelt hier geen aparte rol: de AI Act is een Europese verordening en werkt rechtstreeks door in de Nederlandse rechtsorde, zonder omzetting in nationale wetgeving.

De AI Act richt zich op twee typen partijen. Aanbieders zijn organisaties die AI-systemen ontwikkelen of op de markt brengen, denk aan softwarebedrijven die AI-toepassingen verkopen. Gebruikers (in de wet: "deployers") zijn organisaties die AI-systemen van anderen inzetten in hun bedrijfsprocessen. De meeste Nederlandse bedrijven zijn deployers: ze gebruiken AI-tools van externe leveranciers, zoals Microsoft Copilot, een HR-selectietool of een klantenservice-chatbot. Ook als deployer vallen ze onder de AI Act.

De scope is breed. De wet definieert een AI-systeem als "een op machines gebaseerd systeem dat is ontworpen om met verschillende niveaus van autonomie te functioneren en dat, voor expliciet of impliciet bepaalde doelstellingen, uit de ontvangen input leert hoe het voorspellingen, aanbevelingen of besluiten kan genereren". Die definitie omvat vrijwel alle moderne AI-toepassingen, van geavanceerde taalmodellen tot geautomatiseerde recruitmenttools.

Risicoclassificaties

De AI Act verdeelt AI-toepassingen in vier risicocategorieën. De indeling bepaalt welke verplichtingen gelden. Het is de verantwoordelijkheid van de organisatie (aanbieder of deployer) om te beoordelen in welke categorie haar AI-toepassingen vallen.

Onaanvaardbaar risico: verboden

Verboden AI-toepassingen

Een beperkte categorie toepassingen is volledig verboden, omdat ze fundamentele rechten of de menselijke waardigheid bedreigen. Voorbeelden zijn: sociale scoring door overheden op basis van gedrag of persoonlijke kenmerken, biometrische real-time identificatiesystemen in openbare ruimten (met nauwe uitzonderingen voor rechtshandhaving), AI-systemen die misbruik maken van kwetsbaarheden zoals leeftijd of beperking om gedrag te manipuleren, en predictieve politiepolitiek op basis van profiling zonder objectieve aanleiding.

Van kracht per 2 februari 2025.

Hoog risico

Hoog-risico AI-systemen

Dit is de meest gereguleerde actieve categorie. Hoog-risico systemen zijn AI-toepassingen die ingrijpen op gebieden waar een fout ernstige gevolgen kan hebben voor mensen. De wet noemt onder andere: AI in HR-processen (werving, selectie en beoordeling van medewerkers), onderwijs en beroepsopleiding, toegang tot essentiële diensten (krediet, verzekeringen), kritieke infrastructuur, rechtshandhaving en migratie. Voor hoog-risico systemen gelden zware verplichtingen, zie de sectie verplichtingen.

De meeste verplichtingen treden in werking per 2 augustus 2026.

Beperkt risico

Beperkt-risico AI-systemen

Systemen in deze categorie mogen worden gebruikt, maar hebben een transparantieplicht. De meest bekende toepassing is de chatbot: een gebruiker moet altijd weten dat hij met een AI-systeem communiceert en niet met een mens. Ook deepfake-gegenereerde audio of video valt onder deze plicht: de AI-oorsprong moet kenbaar worden gemaakt. Dit geldt ongeacht of het om een klein bedrijfsbot of een omvangrijke klantenservice-applicatie gaat.

Minimaal risico

Minimaal-risico AI-systemen

De grootste categorie: AI-toepassingen waarvoor de AI Act geen specifieke verplichtingen oplegt. Voorbeelden zijn spamfilters, AI in videogames, aanbevelingssystemen voor entertainment en generieke productiviteitstools die geen besluiten nemen over mensen. Organisaties kunnen er vrijwillig voor kiezen gedragscodes te volgen, maar zijn daar niet toe verplicht. Let op: ook al valt een tool in deze categorie, de AI-geletterdheidsplicht van artikel 4 geldt onverminderd.

De indeling is niet altijd eenduidig. Hetzelfde AI-systeem kan in de ene toepassing minimaal risico zijn en in de andere hoog risico. Een tekstgenerator die medewerkers helpt bij interne communicatie, valt waarschijnlijk in de minimaal-risico categorie. Dezelfde technologie ingezet om cv's te beoordelen en kandidaten te ranken voor een vacature, valt onder hoog risico. De context van gebruik is bepalend.

Verplichtingen per categorie

De verplichtingen onder de AI Act zijn uitgebreider dan veel organisaties verwachten. Dit geldt in het bijzonder voor deployers van hoog-risico systemen: ook wie een AI-tool van een externe leverancier afneemt en inzet, heeft substantiële eigen verplichtingen.

Categorie Kernverplichtingen Van kracht
Verboden Gebruik volledig verboden. Bij overtreding: boetes tot 35 miljoen euro of 7% van mondiale omzet. 2 feb 2025
Hoog risico Risicobeheerssysteem, data governance, technische documentatie, logging, transparantie naar gebruikers, menselijk toezicht, robuustheid en nauwkeurigheid. 2 aug 2026
Beperkt risico Transparantieplicht: gebruiker moet weten dat hij met AI interacteert. Geldt ook voor synthetische media (deepfakes). 2 aug 2026
GPAI-modellen General Purpose AI-modellen (zoals grote taalmodellen) hebben eigen verplichtingen: transparantie, auteursrecht-naleving, risicobeheersing voor systeemrisico. 2 aug 2026
Alle categorieën AI-geletterdheidsplicht (art. 4): medewerkers die met AI werken moeten voldoende AI-geletterd zijn. 2 feb 2025

Wat deployers moeten doen bij hoog-risico systemen

Organisaties die hoog-risico AI-systemen inzetten hebben meer verplichtingen dan vaak wordt gedacht. De AI Act legt deployers onder andere de volgende eisen op: zorgvuldig gebruik overeenkomstig de instructies van de aanbieder, het implementeren van menselijk toezicht, het bewaken van het systeem tijdens gebruik en het melden van ernstige incidenten. Bij hoog-risico AI in HR-processen (denk aan geautomatiseerde screening van sollicitanten of AI-gestuurde prestatiebeoordelingen) geldt bovendien dat de direct betrokken werknemers moeten worden geïnformeerd.

Een uitputtende toelichting per verplichting voor deployers staat op de pagina AI Act verplichtingen voor organisaties.

De AI-geletterdheidsplicht (artikel 4)

Artikel 4 is de verplichting die voor alle organisaties geldt, ongeacht de risicocategorie van hun AI-toepassingen. De tekst van de wet: aanbieders en deployers van AI-systemen "nemen maatregelen om naar best vermogen te garanderen dat hun personeel en andere personen die namens hen werken met AI-systemen over een toereikende mate van AI-geletterdheid beschikken."

Drie elementen verdienen nadruk. Ten eerste: de verplichting geldt niet alleen voor technici of AI-specialisten, maar voor iedereen die met AI werkt, ook de medewerker die dagelijks een AI-schrijftool gebruikt of een AI-gegenereerde klantenservicerespons verstuurt. Ten tweede: "naar best vermogen" impliceert proportionaliteit, wat een multinational moet doen, verschilt van wat een klein bedrijf moet doen. Ten derde: de verplichting is actief. Wachten tot medewerkers zelf hun kennis bijhouden, is onvoldoende. De organisatie moet aantoonbare maatregelen nemen.

Nu van kracht: de AI-geletterdheidsplicht van artikel 4 is per 2 februari 2025 van toepassing. Organisaties die dit nog niet hebben opgepakt, zijn al niet-compliant. De meeste overige verplichtingen uit de AI Act gaan pas in per 2 augustus 2026, maar voor artikel 4 geldt die overgangsperiode niet.

De tijdlijn: wanneer gelden welke regels?

De AI Act treedt gefaseerd in werking. Niet alle verplichtingen gelden tegelijk: de wet geeft organisaties tijd om zich voor te bereiden op de zwaarste eisen. Dat neemt niet weg dat een deel van de verplichtingen al actief is.

  • 1 augustus 2024 AI Act treedt in werking. De verordening is gepubliceerd in het Publicatieblad van de EU en officieel van kracht. De gefaseerde inwerkingtreding begint.
  • 2 februari 2025 — nu van kracht Verboden toepassingen en AI-geletterdheidsplicht. De verboden AI-toepassingen (onaanvaardbaar risico) zijn per deze datum verboden. Tegelijkertijd geldt artikel 4: alle organisaties die AI gebruiken of aanbieden moeten aantoonbaar zorgen voor voldoende AI-geletterdheid bij hun medewerkers. Dit is de vroegste en voor de meeste organisaties meest directe verplichting.
  • 2 augustus 2026 Meeste overige verplichtingen van kracht. De eisen voor hoog-risico AI-systemen treden in werking, evenals de transparantieregels voor beperkt-risico toepassingen en de verplichtingen voor General Purpose AI-modellen. Voor deployers van hoog-risico systemen worden dit de meest ingrijpende wijzigingen: risicobeheer, menselijk toezicht, documentatie en meldplicht.
  • 2 augustus 2027 Aanvullende verplichtingen hoog-risico systemen. Een specifieke categorie hoog-risico AI-systemen die vallen onder bestaande productregelgeving (bijlage I van de AI Act, zoals medische hulpmiddelen en veiligheidssystemen) krijgt aanvullende eisen die per deze datum van kracht worden.

De fasering is bewust gekozen om organisaties voorbereidingstijd te geven. Maar die tijd is eindig en al grotendeels verstreken voor artikel 4. Organisaties die de tijdlijn gebruiken als reden om niets te doen tot 2026, lopen achter: de AI-geletterdheidsplicht is al geldend recht.

Wat moet uw organisatie nu doen?

De praktische vraag voor de meeste Nederlandse organisaties is niet of ze onder de AI Act vallen (dat doen ze zodra ze AI-tools gebruiken) maar hoe ze de verplichtingen op een proportionele en aantoonbare manier invullen. Vier aandachtsgebieden zijn direct relevant.

1. Breng uw AI-gebruik in kaart

Begin met een inventarisatie: welke AI-systemen worden gebruikt, door wie en voor welk doel? Dit omvat zowel AI die de organisatie bewust heeft aangeschaft als tools die medewerkers zelf gebruiken, via privéaccounts, gratis versies of als onderdeel van bestaande softwarepakketten. Zonder dit overzicht kunt u geen risicoanalyse uitvoeren en geen gerichte maatregelen nemen.

2. Classificeer uw toepassingen

Bepaal per AI-systeem in welke risicocategorie het valt. De context van gebruik is bepalend: dezelfde tool kan in de ene toepassing minimaal risico zijn en in de andere hoog risico. Besteed extra aandacht aan AI-toepassingen in HR, klantenbediening en besluitvorming over individuen, dit zijn de gebieden waar hoog-risicoclassificatie het meest voorkomt.

3. Pak artikel 4 aan: AI-geletterdheid

Voor de verplichting die nu al geldt, is concrete actie nodig. Zorg dat u een aanpak heeft om de AI-geletterdheid van uw medewerkers op peil te brengen en te houden. Dat betekent minimaal: een nulmeting per functiegroep, een gedifferentieerd trainingsplan en documentatie van de genomen maatregelen. Het stappenplan AI-compliance biedt een gestructureerde aanpak van nulmeting tot aantoonbare naleving.

4. Bereid u voor op 2026

Als uw organisatie hoog-risico AI-systemen gebruikt, heeft u tot 2 augustus 2026 om de bijbehorende verplichtingen te implementeren. Dat klinkt ruim, maar de vereisten zijn substantieel: risicobeheerssystemen, technische documentatie, logging en menselijk toezicht kosten tijd om goed in te richten. Begin nu met de risicobeoordeling en het ontwerp van de vereiste beheersmaatregelen.

Een volledig stappenplan (van initiële inventarisatie tot compliance-dossier) staat op de pagina Stappenplan AI-compliance.

Aan de slag: 3 concrete acties

  1. Maak een AI-inventarisatie. Vraag per afdeling welke AI-tools worden gebruikt, inclusief de tools die medewerkers zelf hebben aangeschaft of via hun bestaande softwareabonnementen beschikbaar hebben. Documenteer per tool het gebruiksdoel en de betrokken medewerkers. Dit is de basis voor elke vervolgstap.
  2. Start met de AI-geletterdheidsplicht. Voer een nulmeting uit per functiegroep en ontwerp een trainingsplan dat aansluit op het risicoprofiel van de AI-toepassingen die uw medewerkers gebruiken. Leg de uitgevoerde maatregelen vast, dat is uw compliance-bewijs voor artikel 4. Het stappenplan AI-compliance helpt u dit gestructureerd aan te pakken.
  3. Beoordeel of u hoog-risico AI gebruikt. Screeen uw AI-inventarisatie op toepassingen in HR, klantenbediening, krediet- of verzekeringsbeslissingen en kritieke processen. Als u hoog-risico systemen gebruikt, begin dan nu met de voorbereiding op de verplichtingen die per 2 augustus 2026 ingaan, die tijd is minder ruim dan hij lijkt.

Veelgestelde vragen

Geldt de AI Act ook voor kleine bedrijven die alleen ChatGPT gebruiken?

Ja. De AI Act maakt geen onderscheid op basis van bedrijfsgrootte. Als uw medewerkers AI-tools gebruiken, bent u als deployer onderworpen aan de verplichtingen van de verordening, inclusief de AI-geletterdheidsplicht van artikel 4, die al geldt. De vereiste inspanning is proportioneel aan de risico's van de gebruikte toepassingen: een bedrijf dat alleen een tekstgenerator gebruikt voor interne communicatie, heeft andere verplichtingen dan een bedrijf dat AI inzet bij personeelsbeslissingen. Maar de verplichting zelf geldt voor beide.

Wat is de boete bij niet-naleving van de AI Act?

De AI Act kent gedifferentieerde boetes. Bij gebruik van verboden AI-systemen: tot 35 miljoen euro of 7% van de mondiale jaaromzet. Bij schending van andere verplichtingen, waaronder de geletterdheidsplicht van artikel 4: tot 15 miljoen euro of 3% van de mondiale jaaromzet. Bij het verstrekken van onjuiste informatie aan toezichthouders: tot 7,5 miljoen euro of 1% van de omzet. Het hoogste bedrag telt. Handhaving verloopt via nationale toezichthouders; in Nederland is de Autoriteit Persoonsgegevens aangewezen als een van de bevoegde autoriteiten.

Valt Microsoft Copilot onder de AI Act?

Microsoft Copilot is een General Purpose AI-tool (GPAI) en als zodanig onderworpen aan de GPAI-verplichtingen in de AI Act, die per 2 augustus 2026 ingaan. Als deployer (de organisatie die Copilot inzet) heeft u eigen verplichtingen, waarvan de AI-geletterdheidsplicht de meest directe is. Als u Copilot inzet voor taken die onder hoog risico vallen (zoals geautomatiseerde ondersteuning bij personeelsbeoordeling) gelden aanvullende eisen. De risicocategorie hangt af van hoe u de tool gebruikt, niet van de tool zelf.

Wanneer is een AI-systeem 'hoog risico' onder de AI Act?

Een AI-systeem is hoog risico als het valt in een van de categorieën die de AI Act noemt in bijlage III. De belangrijkste voor Nederlandse bedrijven: AI ingezet bij werving, selectie of beoordeling van medewerkers; AI in onderwijs en beroepsopleiding die toegang of beoordeling bepaalt; AI bij krediet- en verzekeringsbeslissingen; AI in kritieke infrastructuur; en AI bij rechtshandhaving en migratie. De context van gebruik is bepalend: hetzelfde systeem kan in de ene toepassing hoog risico zijn en in een andere niet.

Moeten we als bedrijf iets met de AI Act als we geen eigen AI ontwikkelen?

Ja. De AI Act maakt onderscheid tussen aanbieders (die AI ontwikkelen of op de markt brengen) en deployers (die AI van anderen inzetten). De meeste Nederlandse bedrijven zijn deployers. Ook als deployer heeft u verplichtingen: de AI-geletterdheidsplicht geldt nu al, en bij gebruik van hoog-risico systemen gelden per 2026 substantiële extra eisen. Het feit dat u de AI niet zelf hebt gebouwd, ontslaat u niet van verantwoordelijkheid voor hoe u het gebruikt.

Bronnen

  1. EU AI Act, EUR-Lex: volledige tekst Verordening (EU) 2024/1689 met alle risicocategorieën en verplichtingen
  2. Artificial Intelligence, Rijksoverheid: Nederlands beleid en implementatiegids voor de AI Act
  3. Algoritmes en AI, Autoriteit Persoonsgegevens: toezichtkader AI en privacy voor Nederlandse organisaties

Lees ook

Neem vandaag nog contact met ons op!

Zorg dat jouw organisatie klaar is voor de AI act!

Contact
AICG AI Consultancy Group

AIGeletterdheid.com maakt onderdeel uit van de AI Consultancy Group (AICG)

Socials
Contact
  • Mail ons
Scroll naar boven