AI Act Verplichtingen voor Organisaties

AI Act Verplichtingen voor Organisaties

Welke verplichtingen heeft uw organisatie onder de AI Act? Overzicht per risicocategorie, deadlines en wat u nu al kunt doen.

AI Act verplichtingen voor organisaties

De EU AI Act verplichtingen gelden voor elke organisatie die AI inzet (als gebruiker, aanbieder of deployer) en zijn afhankelijk van de risicocategorie van het systeem. Niet alle verplichtingen gelden tegelijk: de wet treedt gefaseerd in werking. Dit overzicht laat per risicocategorie en per datum zien wat er nu al geldt, wat er aankomt en wat de consequenties zijn van niet-naleving.

Snel antwoord: Twee verplichtingen gelden al per 2 februari 2025: het verbod op onaanvaardbare AI-toepassingen en de AI-geletterdheidsplicht (artikel 4). Verplichtingen voor hoog-risico systemen en transparantie volgen per 2 augustus 2026. Organisaties die nu al AI inzetten, moeten dus nu actie ondernemen, niet wachten op 2026.

Inhoudsopgave
  1. Welke verplichtingen gelden al? (per 2 feb 2025)
  2. Verplichtingen per risicocategorie
  3. Beslisregels: valt uw AI-gebruik onder hoog risico?
  4. Rolverdeling: wie is waarvoor verantwoordelijk?
  5. De AI-geletterdheidsplicht (artikel 4)
  6. Wat zijn de deadlines?
  7. Wat als u niet voldoet?
  8. Aan de slag
  9. Veelgestelde vragen

Welke verplichtingen gelden al? (per 2 feb 2025)

Twee verplichtingen zijn per 2 februari 2025 in werking getreden en gelden voor alle organisaties die AI-systemen inzetten binnen de EU.

1. Verbod op onaanvaardbare AI-toepassingen

Een specifieke lijst van AI-toepassingen is per direct verboden. Het gaat onder meer om:

  • Sociale scoring door overheden of bedrijven op basis van gedrag of persoonlijke kenmerken.
  • Real-time biometrische identificatie op publieke plaatsen door wetshandhavingsinstanties (met beperkte uitzonderingen).
  • Subliminale technieken die gedrag beïnvloeden buiten het bewustzijn van de persoon.
  • Exploitatie van kwetsbaarheden van specifieke groepen, zoals kinderen of mensen met een beperking.
  • Emotieherkenning op de werkplek of in onderwijsinstellingen (met uitzonderingen voor veiligheidsredenen).

Het gebruik van verboden AI levert de hoogste boetes op. Als uw organisatie systemen inzet die op deze lijst lijken te vallen, is onmiddellijk juridisch advies aangewezen.

2. AI-geletterdheidsplicht (artikel 4)

Elke organisatie die AI-systemen inzet, moet zorgen dat de betrokken medewerkers voldoende kennis, vaardigheden en inzicht hebben om die systemen verantwoord te gebruiken. Dit is geen eenmalige actie maar een doorlopende verplichting. Meer hierover in het afzonderlijke onderdeel verderop op deze pagina. De volledige wettekst van de AI Act (EUR-Lex) is openbaar beschikbaar.

De introductie op AI-geletterdheid legt uit welke competenties hierbij horen en hoe u een passend niveau kunt definiëren.

Verplichtingen per risicocategorie

De AI Act deelt AI-systemen in vier risicocategorieën. De categorie bepaalt welke verplichtingen van toepassing zijn.

Onaanvaardbaar risico: verboden

Systemen in deze categorie mogen niet worden gebruikt. Zie de lijst hierboven. Er zijn geen uitzonderingen op basis van bedrijfsbelang of efficiëntie.

Hoog risico: uitgebreide verplichtingen (van kracht per 2 augustus 2026)

Sectoren: HR en recruitment, onderwijs en beoordeling van studenten, kredietverstrekking, kritieke infrastructuur, gezondheidszorg, rechtshandhaving en migratiebeheer. Verplichtingen omvatten: conformiteitsbeoordeling voorafgaand aan ingebruikname, technische documentatie bijhouden, menselijk toezicht waarborgen, nauwkeurigheids- en robuustheidsgaranties, en registratie in de EU-database voor hoog-risico AI.

Beperkt risico: transparantieplicht (van kracht per 2 augustus 2026)

Systemen die interageren met mensen (zoals chatbots, virtuele assistenten en deepfake-tools) moeten kenbaar maken dat de gebruiker met een AI-systeem te maken heeft. Voor synthetische audio of video moet de AI-oorsprong worden gelabeld.

Minimaal risico: geen verplichtingen

De meeste AI-toepassingen vallen in deze categorie: spamfilters, AI in videospellen, aanbevelingssystemen zonder significant risico. Er gelden geen wettelijke verplichtingen, maar vrijwillige gedragscodes worden aangemoedigd.

Beslisregels: valt uw AI-gebruik onder hoog risico?

De meeste organisaties weten niet direct in welke risicocategorie hun AI-systemen vallen. Deze beslisregels geven een eerste indicatie. Bij twijfel is juridisch advies aangewezen.

Als uw AI-systeem... Dan waarschijnlijk... Actie
Sollicitanten beoordeelt, rankt of filtert Hoog risico Conformiteitsbeoordeling vereist per aug. 2026; nu al: menselijk toezicht borgen
Kredietwaardigheid of verzekeringsrisico bepaalt Hoog risico Idem. Medewerkers informeren over AI-gebruik in besluiten over hen
Met eindgebruikers communiceert als chatbot of assistent Beperkt risico Transparantieplicht: gebruiker moet weten dat hij met AI praat
Teksten schrijft, samenvat of vertaalt voor intern gebruik Minimaal risico Geen specifieke verplichtingen, wel AI-geletterdheidsplicht van toepassing
Medewerkers prestatiebeoordelingen ondersteunt of genereert Hoog risico Betrokken medewerkers informeren; menselijk toezicht vereist
Spam filtert of e-mails sorteert Minimaal risico Geen verplichtingen anders dan de algemene geletterdheidsplicht

Rolverdeling: wie is waarvoor verantwoordelijk?

AI-compliance is geen taak van één afdeling. De AI Act legt verantwoordelijkheid bij de organisatie als geheel. In de praktijk betekent dit een verdeling over rollen.

Rol Verantwoordelijkheid Concrete taak
Directie Eindverantwoordelijkheid voor naleving AI-beleid vaststellen; budget toewijzen; compliance-dossier autoriseren
HR / L&D AI-geletterdheidsplicht (art. 4) Nulmeting uitvoeren; trainingsprogramma opzetten; dossier bijhouden
IT / Inkoop Technische due diligence bij aanschaf Risicocategorie bepalen; leverancierscontracten controleren op AI Act-clausules
Juridisch / Compliance Conformiteit bewaken Conformiteitsbeoordelingen voor hoog-risico systemen; registers bijhouden
Lijnmanagement Verantwoord gebruik in de praktijk Medewerkers aanspreken op gebruik; incidenten melden; menselijk toezicht borgen

Voor een volledig stappenplan van inventarisatie tot compliance-dossier, zie het stappenplan AI-compliance.

De AI-geletterdheidsplicht (artikel 4)

Artikel 4 is de enige verplichting die alle organisaties treft, ongeacht welke risicoclassificatie hun AI-systemen hebben. De tekst stelt dat aanbieders en deployers van AI passende maatregelen nemen om ervoor te zorgen dat hun personeel voldoende AI-geletterd is, rekening houdend met de technische kennis, ervaring en opleiding van betrokkenen, en de context waarin de AI-systemen worden ingezet.

In de praktijk betekent dit dat u voor iedere medewerker die met een AI-systeem werkt moet kunnen aantonen:

  • Dat zij weten hoe het systeem werkt op een functioneel niveau.
  • Dat zij de beperkingen en risico's kennen die relevant zijn voor hun gebruik.
  • Dat zij weten wanneer ze de AI-uitkomst moeten controleren of verwerpen.
  • Dat zij op de hoogte zijn van de organisatorische regels rondom AI-gebruik.

De wet schrijft geen specifieke trainingsformaat voor. Een combinatie van e-learning, interne instructie en praktijkbegeleiding is afdoende, mits aantoonbaar en afgestemd op de functie. Zie de pagina over de AI Act voor de bredere wettelijke context.

Wat zijn de deadlines?

Datum Wat treedt in werking Voor wie relevant
2 februari 2025 Verbod op onaanvaardbare AI-toepassingen en AI-geletterdheidsplicht (art. 4) Alle organisaties die AI inzetten
2 augustus 2026 Transparantieverplichtingen voor beperkt-risico systemen en verplichtingen voor GPAI-modellen (General Purpose AI) Aanbieders van chatbots, deepfake-tools, grote taalmodellen
2 augustus 2027 Aanvullende verplichtingen voor hoog-risico AI-systemen die al in gebruik zijn Organisaties in HR, recruitment, onderwijs, zorg, kritieke infrastructuur

Let op: de deadline van 2027 geldt voor systemen die al vóór augustus 2026 in gebruik zijn. Nieuwe hoog-risico systemen die na augustus 2026 worden geïntroduceerd, moeten dan al direct aan alle eisen voldoen.

Voor een praktisch stappenplan om uw organisatie in lijn te brengen met de AI Act, zie het AI compliance stappenplan.

Wat als u niet voldoet?

De AI Act kent een gelaagd boetestelsel, waarbij de hoogte van de boete afhankelijk is van de ernst van de overtreding.

Verboden AI-toepassingen

Boetes tot €35 miljoen of 7% van de wereldwijde jaaromzet, afhankelijk van welke het hoogste is. Dit is het zwaarste sanctieniveau en geldt uitsluitend voor het inzetten van AI die op de verboden lijst staat.

Overtreding van verplichtingen voor hoog-risico systemen

Boetes tot €15 miljoen of 3% van de wereldwijde jaaromzet. Dit betreft overtredingen zoals het niet uitvoeren van een conformiteitsbeoordeling, ontbrekende technische documentatie of het niet waarborgen van menselijk toezicht.

Onjuiste of misleidende informatie aan toezichthouders

Boetes tot €7,5 miljoen of 1,5% van de wereldwijde jaaromzet.

Nederlandse toezichthouder

Nederland is bezig een nationale toezichthouder in te richten voor de AI Act. Deze is naar verwachting operationeel in de loop van 2025–2026. Totdat de nationale toezichthouder actief is, is handhaving beperkt, maar dit ontslaat organisaties niet van de wettelijke verplichtingen. De Europese AI Board coördineert in de tussentijd. De Autoriteit Persoonsgegevens is in Nederland aangewezen als coördinerend toezichthouder en publiceert richtlijnen over AI en gegevensbescherming.

Aan de slag
  1. Maak een inventarisatie van alle AI-systemen die uw organisatie momenteel inzet of heeft aangeschaft. Classificeer elk systeem per risicocategorie. Dit is de basis voor alle vervolgstappen.
  2. Controleer per 2 februari 2025 of uw organisatie voldoet aan de twee verplichtingen die nu al gelden: geen verboden AI en aantoonbare AI-geletterdheid bij betrokken medewerkers. Dit zijn de twee meest urgente actiepunten.
  3. Zet een intern dossier op voor elk AI-systeem in de hoog-risico categorie: gebruik, betrokken medewerkers, toezichtmaatregelen. Dat dossier vormt de basis voor de conformiteitsbeoordeling die per 2026 verplicht is.

Veelgestelde vragen

Geldt de AI Act ook voor kleine bedrijven?

Ja. De AI Act maakt geen onderscheid op basis van bedrijfsgrootte voor de basisverplichtingen. Wel is de verwachting dat handhaving in eerste instantie gericht zal zijn op grotere organisaties en aanbieders van hoog-risico systemen. Voor kleine organisaties die alleen AI-tools van derden gebruiken, zijn de verplichtingen in de praktijk beperkt tot de AI-geletterdheidsplicht en het verbod op verboden toepassingen.

Valt het gebruik van ChatGPT of Copilot onder de AI Act?

Het gebruik van tools als ChatGPT (via OpenAI) of Microsoft Copilot valt onder de categorie General Purpose AI (GPAI). De verplichtingen voor GPAI-modellen gelden primair voor de aanbieders van die modellen (OpenAI, Microsoft), niet voor de eindgebruiker. Als eindgebruikende organisatie bent u verantwoordelijk voor de AI-geletterdheidsplicht en voor het naleven van de verboden. U bent zelf geen aanbieder van een GPAI-model.

Wat wordt precies bedoeld met "menselijk toezicht" bij hoog-risico AI?

De AI Act vereist dat hoog-risico systemen zo zijn ontworpen dat een menselijke toezichthouder de werking kan begrijpen, bewaken, onderbreken en corrigeren. In de praktijk betekent dit dat er altijd een functionaris is die de AI-output beoordeelt voordat die leidend is voor een beslissing over een persoon. Volledig geautomatiseerde besluitvorming zonder menselijke controle is bij hoog-risico AI niet toegestaan.

Moet ik mijn AI-systemen registreren?

Hoog-risico AI-systemen moeten worden geregistreerd in de EU-database voor AI-systemen. Deze verplichting geldt voor aanbieders van hoog-risico systemen per augustus 2026. Als deployer (gebruiker) van een hoog-risico systeem van een externe aanbieder, is de registratieplicht primair bij die aanbieder. U bent wel verplicht de technische documentatie van het systeem bij te houden en te bewaren.

Hoe weet ik of een AI-systeem dat ik gebruik hoog-risico is?

De AI Act bevat in Bijlage III een specifieke lijst van hoog-risico toepassingen. De meest relevante voor bedrijven zijn systemen voor recruitment en selectie van medewerkers, beoordeling van prestaties, kredietverstrekking, en systemen die toegang tot onderwijs beïnvloeden. Als uw AI-systeem beslissingen maakt of ondersteunt die significante gevolgen hebben voor een persoon in een van deze contexten, is hoog-risico classificatie waarschijnlijk.

Bronnen

  1. EU AI Act, EUR-Lex: wettekst met risicocategorieën (art. 5-7) en geletterdheidsplicht (art. 4)
  2. Gezamenlijke leidraad algoritmes en AI, ACM/AP: handreiking van toezichthouders voor naleving in de praktijk
  3. Artificial Intelligence, Rijksoverheid: Nederlands implementatiebeleid en ondersteuning voor organisaties
Lees ook
Neem vandaag nog contact met ons op!

Zorg dat jouw organisatie klaar is voor de AI act!

Contact
AICG AI Consultancy Group

AIGeletterdheid.com maakt onderdeel uit van de AI Consultancy Group (AICG)

Socials
Contact
  • Mail ons
Scroll naar boven