EU AI Act: wat het betekent voor bedrijven die AI inzetten

De meeste bedrijven die vandaag AI inzetten gaan ervan uit dat de regelgeving hen niet treft — dat de EU AI Act een zorg is voor grote techbedrijven die modellen ontwikkelen. Die aanname is onjuist. Als uw onderneming een AI-systeem exploiteert, integreert of verder levert, bent u een inzettende partij (deployer) in de zin van de verordening, met eigen wettelijke verplichtingen. Een overtreding kan leiden tot een boete van maximaal 3 % van de wereldwijde jaaromzet of 15 miljoen euro, afhankelijk van welk bedrag hoger is.

Dit artikel is geen juridisch advies en de uitleg van sommige bepalingen is nog vatbaar voor precisering. Het is een praktische oriëntatiekaart: waar u staat vanuit het perspectief van de EU AI Act, wat de meeste high-risk inzettingen vereisen, en wat u moet nagaan voordat u een project in productie neemt.

Wanneer en wat is van kracht geworden

De EU AI Act is een EU-verordening — hij geldt rechtstreeks in alle lidstaten, ook in Nederland, zonder nationale omzetting. Hij is in augustus 2024 in werking getreden, maar de verplichtingen worden gefaseerd ingevoerd:

• Februari 2025: Verbod op AI-systemen met onaanvaardbaar risico (manipulatieve technieken, sociale scoring, realtime biometrische categorisering op openbare plaatsen).
• Augustus 2025: Verplichtingen voor aanbieders van GPAI-modellen (algemene doeleinden-modellen, zoals grote taalmodellen) plus publicatie van de Code of Practice. Vanaf deze datum geldt ook de sanctionering.
• Augustus 2026: Inwerkingtreding van de meeste overige bepalingen — inclusief de verplichtingen voor high-risk AI-systemen. Dit is de deadline die voor de meeste B2B-inzettingen relevant is.

Wie vandaag AI inzet op het gebied van kritieke infrastructuur, HR, toegangscontrole, onderwijs of gezondheidszorg heeft dus tot augustus 2026 om zich voor te bereiden. Dat is niet veel.

Vier risicocategorieën — waar staat u

De EU AI Act deelt AI-systemen in naar risico. De categorie bepaalt welke verplichtingen gelden.

Onaanvaardbaar risico — verboden toepassingen. Hieronder vallen systemen voor sociale scoring van burgers door de overheid, manipulatieve technieken die gebruikmaken van subliminale prikkels, en realtime biometrische identificatie op openbare plaatsen. Voor B2B industriële inzettingen is deze categorie doorgaans niet relevant.

Hoog risico (high-risk) — de strengste regulering voor toegestane systemen. Bijlage III van de verordening somt uitputtend de toepassingsgebieden op: biometrische identificatie, kritieke infrastructuur (energie, water, transport), onderwijs (toelating, beoordeling), werkgelegenheid en HR (werving, prestatiebeoordeling, ontslag), toegang tot essentiële particuliere en openbare diensten (kredietscoring, noodnummers), wetshandhaving, migratiebeheer en rechtsbedeling. Een chatbot in klantenservice is doorgaans geen high-risk systeem — maar een chatbot die medische verzoeken triageert of beslist over de afwijzing van een leningaanvraag, kan dat wel zijn.

Beperkt risico — transparantieverplichtingen. Systemen die met mensen interageren (chatbots) of synthetische inhoud genereren (deepfake, AI-gegenereerde tekst) moeten duidelijk worden aangeduid. De gebruiker moet weten dat hij met AI communiceert, tenzij dat uit de context vanzelfsprekend is.

Minimaal risico — geen bijzondere verplichtingen. De grote meerderheid van B2B AI-toepassingen (documentverwerking, predictive analytics, aanbevelingssystemen) valt hier — mits ze niet voldoen aan de criteria van hogere categorieën.

Praktische afbakening: Als uw AI-systeem bijdraagt aan beslissingen met rechtsgevolgen of vergelijkbaar ingrijpende effecten voor natuurlijke personen, of als het actief is in gebieden uit Bijlage III, voer dan een classificatie uit. Als u uitsluitend werkt met interne data-analyse zonder impact op natuurlijke personen, valt u waarschijnlijk onder minimaal risico.

Verplichtingen van de inzettende partij bij high-risk systemen

Artikel 26 van de EU AI Act definieert de verplichtingen van de deployer — het bedrijf dat een high-risk systeem exploiteert, ook als het dat systeem niet zelf heeft ontwikkeld. De kernpunten:

Technische en organisatorische maatregelen. U moet passende maatregelen treffen voor het juiste en beoogde gebruik van het systeem in overeenstemming met de handleiding van de aanbieder. Dit omvat configuratie, toegangsrechten en monitoring.

Menselijk toezicht (human oversight). Bij high-risk systemen moet u waarborgen dat de AI-uitvoer wordt beoordeeld en geverifieerd door een bevoegd persoon voordat een maatregel met impact op een natuurlijk persoon wordt genomen. Het volstaat niet dat het systeem een "override"-knop heeft — de toezichthouder moet over de vereiste competenties beschikken en een reële mogelijkheid hebben om de beslissing te wijzigen. In een industriële omgeving betekent dit: verantwoordelijke rollen definiëren en de procedure documenteren.

Monitoring. U moet het gedrag van het systeem in de productieomgeving monitoren, risico's en anomalieën identificeren. Als u vaststelt dat het systeem anders functioneert dan beoogd, bent u verplicht de aanbieder te informeren. Dit is een sterk argument om observability van AI-agenten en evals niet als optioneel maar als compliance-verplicht element te beschouwen.

Registraties en logs. Bij high-risk systemen moet u exploitatielogs bijhouden in een omvang die een post-hoc audit mogelijk maakt. Bewaartermijnen hangen af van de sector. Als een AI-systeem beslissingen neemt in HR of financiële diensten, zijn de logs bewijsmateriaal.

Kennisgeving aan betrokkenen. Natuurlijke personen op wie een beslissing van een high-risk AI-systeem van toepassing is, hebben het recht te weten dat AI is gebruikt. In de praktijk betekent dit communicatie in de processen (bijv. een vermelding in een afwijzingsbrief of een HR-beslissing).

Datagovernance. Trainings- en validatiedatasets voor high-risk systemen moeten voldoen aan eisen van relevantie, representativiteit en afwezigheid van discriminerende patronen. Als u de aanbieder bent, is dit uw verplichting. Als u het systeem inzet, moet u verifiëren dat de aanbieder over deze documentatie beschikt.

Risicomanagement — wat het in de praktijk inhoudt

De EU AI Act vereist voor high-risk systemen continu risicomanagement gedurende de gehele levenscyclus, niet een eenmalige beoordeling bij inzetting. In de praktijk betekent dat:

• Vóór inzetting: Een gedocumenteerde risicoanalyse — welke schade kan het systeem veroorzaken, hoe groot is de kans, welke mitigaties zijn er. Geen haastig opgesteld document, maar een levend artefact dat bij elke wezenlijke wijziging van het systeem wordt bijgewerkt.
• Tijdens exploitatie: Periodieke herziening — is de use-case gewijzigd? Is het model gewijzigd? Zijn de invoergegevens gewijzigd? Elk van deze wijzigingen kan het risicoprofiel veranderen.
• Na een incident: Een gedocumenteerde responsprocedure, melding aan de toezichthouder als het incident ernstige gevolgen had.

Methodologisch sluit het risicomanagement volgens de EU AI Act nauw aan bij wat bedrijven doen bij ISO 27001 of een GDPR-DPIA — het is geen nieuw concept, slechts een nieuwe toepassing op AI. Als u al een beveiligings-ISMS-framework heeft, breid het uit met AI-specifieke controls in plaats van een parallelle structuur op te bouwen.

Documentatie — wat u klaar moet hebben

Dit is het gebied waar de meeste bedrijven het meest achterlopen. De EU AI Act gaat ervan uit dat high-risk systemen beschikken over toegankelijke technische documentatie — niet voor auditors, maar als levend beheersinstrument. Minimaal:

• Beschrijving van het systeem en zijn beoogde doel — wat het systeem doet, voor welke beslissingen het wordt gebruikt, wie de betrokken personen zijn.
• Architectuur en gegevensstromen — waar gegevens binnenkomen, waar ze worden verwerkt, waar de uitvoer wordt opgeslagen.
• Trainings- en validatiedatasets (als u de aanbieder bent) — herkomst, omvang, kwaliteitsmaatregelen, afwezigheid van bias.
• Test- en validatieresultaten — inclusief randgevallen en mislukkingen. Dit hangt rechtstreeks samen met hoe u de kwaliteit van een LLM-toepassing meet.
• Procedure voor menselijk toezicht — wie, hoe en wanneer de AI-uitvoer beoordeelt.
• Risicoregister — geïdentificeerde risico's, mitigaties, verantwoordelijkheden.
• Incidentresprocedure — escalatie, melding, herstelmaatregelen.

Registraties moeten worden bewaard gedurende een periode die overeenkomt met de regulatoire context van het systeem — in financiële diensten en de gezondheidszorg doorgaans meerdere jaren.

Het snijpunt met de AVG

De EU AI Act en de AVG (GDPR) vullen elkaar aan — de AI Act vervangt of heft de AVG niet op. Als uw AI-systeem persoonsgegevens verwerkt (wat de meeste bedrijfstoepassingen doen), gelden beide regelgevingen tegelijkertijd.

Belangrijkste snijpunten:

Rechtsgrondslag voor verwerking. Ook als de AI Act bepaalde verwerking toestaat, heeft u nog steeds een AVG-rechtsgrondslag nodig — toestemming, gerechtvaardigd belang of overeenkomst. AI inzetten in HR zonder expliciete rechtsgrondslag is een overtreding van de AVG, niet alleen van de AI Act.

DPIA (gegevensbeschermingseffectbeoordeling). Als een high-risk AI-systeem persoonsgegevens verwerkt, leidt dit hoogstwaarschijnlijk tot een verplichte DPIA op grond van artikel 35 AVG. In de praktijk heeft het zin om de DPIA en de AI Act-risicobeoordeling parallel uit te voeren — ze delen een groot deel van de onderliggende informatie.

Rechten van betrokkenen. De AVG garandeert het recht op een toelichting bij geautomatiseerde besluitvorming. De AI Act vult aan dat de betrokkene moet worden geïnformeerd over het gebruik van AI. Gecombineerd betekent dit: processen moeten een voor mensen begrijpelijke uitleg kunnen geven over waarom de AI een bepaalde beslissing heeft genomen. Dit heeft directe gevolgen voor de eval-processen die u opzet en hoe u beslissingen logt.

Gegevens voor training. Als u een model fine-tunet op eigen bedrijfsgegevens die persoonsgegevens bevatten, heeft u daarvoor een rechtsgrondslag nodig. Dit is een gebied waar AVG en LLM over bedrijfsgegevens aanvullende eisen stelt. Anonimisering vóór training is de oplossing, maar het moet echte anonimisering zijn — pseudonimisering in de zin van de AVG volstaat niet.

Transparantieverplichtingen voor systemen met beperkt risico

Ook als uw systeem geen high-risk systeem is, kunnen er transparantieverplichtingen gelden. Relevant voor de meeste B2B-bedrijven die chatbots of generatieve AI inzetten:

• Elk systeem dat via tekst of spraak met mensen interageert en met een mens verwisseld zou kunnen worden, moet worden aangeduid als AI — tenzij dat uit de context duidelijk is.
• Systemen die synthetische inhoud genereren (teksten, afbeeldingen, audio, video) voor het publiek moeten machinaal detecteerbaar worden gemarkeerd (watermarking of metadata).
• Er geldt een uitzondering voor systemen waarbij het AI-karakter uit de context blijkt (bijv. de gebruiker heeft zelf een AI-generator gestart).

In de praktijk: als u een AI-assistent inzet in de klantenservice, moet in de initiële communicatie duidelijk zijn dat het om AI gaat. Als u marketinginhoud genereert met AI, bedenk dan hoe u die aanduiding integreert.

Wat u nu kunt doen — prioriteitschecklist

Augustus 2026 is minder dan een jaar weg. Voor bedrijven met complexere systemen is dat weinig tijd. Aanbevolen aanpak:

1. 1.Portfolioclassificatie — loop alle AI-systemen door en beoordeel in welke categorie ze vallen. Bij twijfel: raadpleeg een jurist gespecialiseerd in technologieregulering.
2. 2.High-risk systemen prioriteit geven — start voor elk high-risk systeem een risicobeoordeling en een documentatie-inventaris. Identificeer de lacunes.
3. 3.Audit van menselijk toezicht — zijn uw processen in staat tot echt menselijk toezicht, of is het slechts een formaliteit? Definieer verantwoordelijke rollen, competenties en escalatiepaden.
4. 4.Logging en monitoring — zorg dat u logs heeft op het niveau dat een post-hoc audit mogelijk maakt. Als u AI-agenten inzet, is dit bijzonder kritiek.
5. 5.AVG × AI Act combinatie — als u nog geen DPIA heeft voor AI-systemen die persoonsgegevens verwerken, voeg die dan toe.
6. 6.Leveranciersketen — als u een AI-systeem koopt van een externe leverancier, vraag dan de technische documentatie op grond van de AI Act op. Het ontbreken van documentatie is een waarschuwingssignaal.
7. 7.Interne scholing — mensen die verantwoordelijk zijn voor menselijk toezicht moeten de beperkingen begrijpen van de systemen die ze beoordelen. "Ik keur het goed, want de AI heeft het aanbevolen" is geen menselijk toezicht.

Veelgestelde vragen

Geldt de EU AI Act ook voor kleine bedrijven?

Ja. De verordening bevat geen uitzondering voor kleine en middelgrote ondernemingen in de high-risk categorie. Er bestaan slechts beperkte tegemoetkomingen voor kleine bedrijven op het gebied van technische documentatie — maar de basisverplichtingen (menselijk toezicht, risicomanagement, registraties) gelden onverkort. Als u een mkb-bedrijf bent en AI inzet in HR of bij beslissingen over toegang tot diensten, zijn de verplichtingen op u van toepassing.

Een chatbot in klantenservice — is dat high-risk?

In de meeste gevallen niet — als de chatbot alleen vragen beantwoordt en een menselijke medewerker de wezenlijke beslissingen neemt. Let echter op randgevallen: een chatbot die medische verzoeken triageert en op basis van de AI-respons al dan niet een ambulance wordt gestuurd, kan anders worden geclassificeerd. Beoordeel altijd de concrete use-case, niet alleen de vorm (chatbot versus andere).

Als wij een model van OpenAI of Anthropic gebruiken, zijn zij dan verantwoordelijk?

Modelaanbieders hebben eigen verplichtingen — met name bij GPAI-modellen (transparantie, auteursrecht, veiligheidstesten). Maar artikel 26 richt zich tot de deployer — dat bent u. De modelaanbieder is niet verantwoordelijk voor het gebruik dat u van hun model in uw product maakt. De verantwoordelijkheid voor de inzetting, de use-case, het menselijk toezicht en de documentatie ligt bij de inzettende partij.

Hoe verschilt de EU AI Act van de AVG wat betreft boetes?

AVG: boetes tot 4 % van de wereldwijde omzet of 20 miljoen euro (afhankelijk van welk bedrag hoger is) voor de ernstigste overtredingen. EU AI Act: boetes tot 3 % van de wereldwijde omzet of 15 miljoen euro voor inzettende partijen bij high-risk overtredingen; strenger voor verboden praktijken (7 % / 35 miljoen euro). Beide verordeningen kunnen tegelijkertijd worden overtreden door dezelfde situatie — cumulatie van boetes is mogelijk.

Wat als ons systeem geen high-risk is, maar we gegevens verwerken in een cloud buiten de EU?

De AI Act staat op dit punt los van de vraag waar gegevens worden verwerkt — dat regelt de AVG. Maar beide verordeningen worden doorgaans tegelijkertijd overtreden: een high-risk AI-systeem inzetten met persoonsgegevens, zonder DPIA, op infrastructuur zonder standaard contractuele bepalingen, is een viervoudige overtreding. Inzettingen in gereguleerde sectoren (gezondheidszorg, financiële diensten) kennen bovendien aanvullende sectorale regels. Voor deze gevallen is het argument voor on-premise of in de EU gehoste LLM niet alleen technisch, maar ook compliance-gedreven.

*De EU AI Act heeft een nieuw type verantwoordelijkheid geïntroduceerd — niet alleen voor wat bedrijven met gegevens doen, maar voor wat AI-systemen met mensen doen. Het goede nieuws is dat bedrijven met een solide GDPR-proces en beveiligingsbeheer een stevige basis hebben. MP Industrial Solutions helpt technische teams te beoordelen waar ze staan vanuit complianceperspectief, en documentatie-, monitoring- en human-oversightprocessen in te richten voordat een deadline of audit aankomt.*