Glossary

Een onafhankelijke organisatie aangewezen door een EU-lidstaat om conformiteitsbeoordelingen uit te voeren voor bepaalde hoog-risico AI-systemen. Vereist wanneer self-assessment niet is toegestaan.

De Nederlandse mededingings- en consumentenautoriteit. De ACM houdt toezicht op AI in de context van consumentenbescherming, platformregulering (DMA/DSA), en mededinging. De Taskforce Data en Algoritmen (TDA) van de ACM focust specifiek op markten waar algoritmen een rol spelen.

Het systematisch testen van AI-systemen op kwetsbaarheden door ze bloot te stellen aan bewust misleidende of kwaadaardige input. Verplicht voor GPAI-modellen met systemisch risico. Omvat red teaming, jailbreak-pogingen en robustness testing.

De Nederlandse gedragstoezichthouder voor financiële markten. De AFM houdt toezicht op AI-toepassingen die consumenten en beleggers raken, zoals kredietwaardigheidsbeoordeling en robo-advies. Werkt samen met DNB voor integraal AI-toezicht in de financiële sector.

Een AI-systeem dat autonoom taken kan uitvoeren namens een gebruiker, zoals e-mails beantwoorden, code schrijven of aankopen doen. AI-agents kunnen zelfstandig beslissingen nemen en acties ondernemen, wat vragen oproept over menselijk toezicht en aansprakelijkheid onder de AI Act.

Het adviesorgaan bestaande uit vertegenwoordigers van alle EU-lidstaten dat de Commissie adviseert over AI Act-implementatie. De AI Board bevordert consistente toepassing, coördineert tussen nationale autoriteiten, en adviseert over richtsnoeren en standaardisatieverzoeken.

Het geheel van principes, beleid, processen en structuren waarmee organisaties verantwoord en ethisch gebruik van AI waarborgen. Omvat risicobeheer, compliance, transparantie, accountability en menselijk toezicht.

AI-systemen gebruikt als veiligheidscomponent in kritieke infrastructuur zoals energie, water, transport en telecom. Hoog-risico onder Bijlage III. Vereist conformiteitsbeoordeling door aangemelde instantie in veel gevallen. Cybersecurity-eisen zijn extra streng.

AI-systemen gebruikt in het onderwijs, zoals adaptieve leersystemen, geautomatiseerde beoordeling en toegangsbeslissingen. Aangewezen als hoog-risico in Bijlage III wanneer gebruikt voor toegang, toewijzing, prestatiebeoordeling of gedragsmonitoring. Emotieherkenning in onderwijscontexten is verboden.

Het Europese AI Office is de instantie binnen de Europese Commissie die verantwoordelijk is voor de implementatie van de EU AI Act. Het AI Office ontwikkelt richtlijnen, coördineert met nationale toezichthouders, en houdt toezicht op GPAI-modellen en verboden praktijken.

Een vrijwillig initiatief van de Europese Commissie waarbij organisaties zich kunnen aansluiten om alvast aan de EU AI Act te voldoen voordat deze volledig van kracht is. Deelnemers krijgen toegang tot resources, best practices en een netwerk van andere organisaties.

Een gecontroleerde omgeving opgezet door toezichthouders waarin organisaties AI-innovaties kunnen testen met regulatory begeleiding. Lidstaten moeten deze sandboxes opzetten onder de EU AI Act om innovatie te bevorderen.

Het expertisecentrum van de RDI dat onderzoek doet naar complexe en opkomende AI-risico's. Het AISSL analyseert nieuwe dreigingen zoals het "Internet of Agents", voert technische evaluaties uit van AI-systemen, en ondersteunt andere toezichthouders met technische expertise.

AI-systemen gebruikt voor migratiebeheer, zoals risicobeoordeling van reizigers, visumaanvragen en asielverzoeken. Aangewezen als hoog-risico in Bijlage III. Systemen mogen niet discrimineren op basis van nationaliteit of etniciteit. Extra transparantie-eisen gelden.

AI-systemen gebruikt door politie en justitie, zoals voorspellend politiewerk, risicobeoordeling en bewijsanalyse. Streng gereguleerd onder de AI Act: real-time biometrische identificatie is grotendeels verboden, en veel toepassingen zijn hoog-risico. Extra waarborgen voor grondrechten zijn vereist.

De voorgestelde EU-richtlijn die nationale aansprakelijkheidsregels voor AI harmoniseert. Maakt het makkelijker voor slachtoffers om schadevergoeding te claimen door bewijslastverlichtingen. Verplicht openbaarmaking van bewijsmateriaal door AI-operators. Complementeert de AI Act.

Het vermogen om AI-technologie te begrijpen, kritisch te evalueren en verantwoord te gebruiken. Artikel 4 van de EU AI Act verplicht organisaties om te zorgen dat medewerkers die met AI werken voldoende AI-geletterd zijn. Deze verplichting geldt sinds februari 2025.

De volledige cyclus van een AI-systeem van conceptie tot buiten gebruik stelling. Omvat: ontwerp, dataverzameling, training, validatie, deployment, monitoring en onderhoud. De AI Act vereist risicomanagement gedurende de gehele levenscyclus.

Volgens de EU AI Act: een machinegebaseerd systeem dat is ontworpen om met variërende niveaus van autonomie te werken, dat na implementatie aanpassingsvermogen kan vertonen, en dat voor expliciete of impliciete doelstellingen uit de input die het ontvangt, afleidt hoe output te genereren zoals voorspellingen, content, aanbevelingen of beslissingen die fysieke of virtuele omgevingen kunnen beïnvloeden.

De keten van actoren betrokken bij de ontwikkeling en inzet van AI-systemen: van hardware- en cloudproviders, via modelontwikkelaars en systeemintegrators, tot deployers en eindgebruikers. De AI Act kent verplichtingen toe aan verschillende schakels in de keten.

Een set instructies of regels die een computer volgt om een taak uit te voeren of probleem op te lossen. In de context van AI: de wiskundige modellen en procedures die bepalen hoe een AI-systeem input verwerkt naar output.

Het Nederlandse beleidskader op Overheid.nl met richtlijnen voor verantwoord algoritmegebruik door de overheid. Het kader biedt praktische handvatten voor risicobeoordeling, transparantie en menselijke controle bij algoritmische besluitvorming.

Een publiek register waarin overheidsorganisaties transparant maken welke algoritmes en AI-systemen zij gebruiken. In Nederland is dit verplicht voor overheden. Het bevat informatie over doel, werking, data en verantwoordelijkheden.

Assessment List for Trustworthy AI. Een praktische self-assessment checklist ontwikkeld door de Europese Commissie om te evalueren of AI-systemen voldoen aan ethische richtlijnen voor betrouwbare AI. Bevat vragen over transparantie, diversiteit, fairness en accountability.

De bijlage bij de EU AI Act die de lijst bevat van hoog-risico AI-toepassingsgebieden. Dit omvat 8 categorieën: biometrie, kritieke infrastructuur, onderwijs, werkgelegenheid, essentiële diensten, rechtshandhaving, migratie, en rechtspraak.

Het artikel dat eisen stelt aan data- en datagovernancepraktijken voor hoog-risico AI. Trainings-, validatie- en testdatasets moeten relevant, representatief, vrij van fouten en volledig zijn. Bias moet worden gedetecteerd en aangepakt.

Het artikel dat technische documentatie verplicht stelt voor hoog-risico AI-systemen. De documentatie moet worden opgesteld vóór het op de markt brengen en actueel worden gehouden. Bijlage IV specificeert de vereiste inhoud.

Het artikel dat automatische logging verplicht stelt voor hoog-risico AI-systemen. Logs moeten gebeurtenissen registreren die relevant zijn voor het identificeren van risico's en het faciliteren van post-market monitoring. Logs moeten gedurende een passende periode worden bewaard.

Het artikel dat transparantie verplicht stelt voor hoog-risico AI-systemen. Systemen moeten zo worden ontworpen dat deployers de output kunnen interpreteren en correct kunnen gebruiken. Gebruiksinstructies moeten duidelijke informatie bevatten over capaciteiten en beperkingen.

Het artikel dat menselijk toezicht verplicht stelt voor hoog-risico AI-systemen. Systemen moeten effectief kunnen worden gecontroleerd door natuurlijke personen. Dit omvat de mogelijkheid om het systeem te begrijpen, output correct te interpreteren, en indien nodig in te grijpen of te stoppen.

Het artikel dat technische prestatie-eisen stelt aan hoog-risico AI-systemen. Systemen moeten passende niveaus van nauwkeurigheid, robuustheid en cybersecurity bereiken. Ze moeten bestand zijn tegen fouten, inconsistenties en kwaadaardige acties.

Het kernartkel dat de verplichtingen van providers van hoog-risico AI-systemen opsomt. Omvat: zorgen voor conformiteit, kwaliteitsmanagementsysteem opzetten, documentatie bijhouden, CE-markering aanbrengen, registreren in EU-database, en corrigerende maatregelen nemen bij non-conformiteit.

Het artikel dat een kwaliteitsmanagementsysteem verplicht stelt voor providers van hoog-risico AI. Het systeem moet schriftelijk worden vastgelegd en omvat: strategie voor naleving, ontwerpprocessen, testprocedures, risicomanagement, post-market monitoring en incidentrapportage.

Het artikel dat de verplichtingen van deployers (gebruiksverantwoordelijken) van hoog-risico AI-systemen vastlegt. Deployers moeten: systemen gebruiken volgens instructies, input data monitoren, logs bewaren, betrokkenen informeren, menselijk toezicht waarborgen, en relevante incidenten melden.

Het artikel dat een Fundamental Rights Impact Assessment (FRIA) verplicht stelt voor bepaalde deployers van hoog-risico AI. Verplicht voor overheidsinstanties en private partijen die publieke diensten verlenen. De beoordeling moet worden geregistreerd en beschikbaar gesteld aan de markttoezichthouder.

Het artikel in de EU AI Act dat providers en deployers verplicht om te zorgen dat personeel dat met AI-systemen werkt voldoende AI-geletterdheid heeft, rekening houdend met hun technische kennis, ervaring en de context van gebruik.

Het artikel dat transparantieverplichtingen stelt voor bepaalde AI-systemen: (1) AI die met personen interacteert moet dit duidelijk maken, (2) emotieherkenning en biometrische categorisatie moet worden gemeld, (3) deepfakes moeten als AI-gegenereerd worden gelabeld, (4) AI-gegenereerde content moet machineleesbaar worden gemarkeerd.

Het artikel dat basisverplichtingen vastlegt voor aanbieders van GPAI-modellen. Omvat: technische documentatie opstellen, informatie verstrekken aan downstream providers, beleid voor auteursrechtelijke naleving opstellen, en een samenvatting van trainingsdata publiceren.

Het artikel dat extra verplichtingen vastlegt voor GPAI-modellen met systemisch risico. Modellen boven de 10^25 FLOP drempel of aangewezen door de Commissie moeten: modelevaluaties uitvoeren, systemische risico's beoordelen en mitigeren, ernstige incidenten rapporteren, en adequate cybersecurity waarborgen.

Het artikel dat lidstaten verplicht om AI regulatory sandboxes op te richten. Sandboxes bieden een gecontroleerde omgeving voor het ontwikkelen en testen van innovatieve AI onder toezicht. Minimaal één sandbox per lidstaat moet operationeel zijn voor augustus 2026.

Het artikel in de EU AI Act dat bepaalt wanneer een AI-systeem als hoog-risico wordt geclassificeerd. Een systeem is hoog-risico als het (a) een veiligheidscomponent is van een product onder EU-productregelgeving, of (b) valt onder de use cases in Bijlage III, tenzij het geen significant risico vormt.

Het artikel dat een risicobeheersysteem verplicht stelt voor hoog-risico AI-systemen. Dit systeem moet risico's identificeren, analyseren, evalueren en mitigeren gedurende de gehele levenscyclus. Het moet iteratief zijn en regelmatig worden bijgewerkt.

De neiging van mensen om AI-output te vertrouwen en minder kritisch te beoordelen dan menselijke adviezen. Een risico bij hoog-risico AI-systemen waar menselijk toezicht vereist is. AI-geletterdheid training moet automation bias adresseren.

De Nederlandse privacytoezichthouder die samen met de RDI verantwoordelijk is voor AI-toezicht. De AP houdt toezicht op de AVG en speelt een sleutelrol bij het beoordelen van AI-systemen die persoonsgegevens verwerken. De Directie Coördinatie Algoritmes van de AP coördineert specifiek AI Act-toezicht.

Algemene Verordening Gegevensbescherming (General Data Protection Regulation). De Europese privacywetgeving die de verwerking van persoonsgegevens reguleert. De AVG en EU AI Act vullen elkaar aan: AI-systemen die persoonsgegevens verwerken moeten aan beide voldoen.

Het gebruik waarvoor een AI-systeem door de provider is bedoeld, zoals beschreven in de gebruiksinstructies, marketing en technische documentatie. Het beoogde doel bepaalt mede de risicoclassificatie en de toepasselijke verplichtingen onder de EU AI Act.

AI-systemen met beperkt risico waarvoor alleen transparantieverplichtingen gelden. Gebruikers moeten geïnformeerd worden dat ze met AI interacteren. Dit geldt voor chatbots, deepfakes, en AI-gegenereerde content die mensen zou kunnen misleiden.

Natuurlijke personen of groepen van personen die worden beïnvloed door een AI-systeem. Dit kunnen directe gebruikers zijn, maar ook personen die onderwerp zijn van AI-beslissingen (zoals sollicitanten bij AI-screening). De AI Act beschermt specifiek de rechten van betrokken personen.

AI die (1) wettig is, (2) ethisch is, en (3) robuust is. Gedefinieerd door de EU High-Level Expert Group on AI. Vormt de basis voor de ethische richtlijnen die zijn verankerd in de EU AI Act.

Systematische, niet-gewenste afwijking in AI-output die leidt tot oneerlijke of discriminerende resultaten voor bepaalde groepen. Kan ontstaan door trainingsdata, modelontwerp of implementatie. De EU AI Act vereist maatregelen om bias te detecteren en mitigeren in hoog-risico systemen.

De bijlage die de lijst van verboden AI-praktijken bevat (Artikel 5). Omvat: subliminale manipulatie, exploitatie van kwetsbaarheden, sociale scoring door overheden, individuele voorspellende politieactiviteit, ongerichte scraping voor gezichtsherkenning, emotieherkenning op werk/onderwijs, en biometrische categorisatie op gevoelige kenmerken.

De bijlage die de gebieden opsomt waarin AI-systemen als hoog-risico worden geclassificeerd. Omvat 8 domeinen: biometrie, kritieke infrastructuur, onderwijs, werkgelegenheid, essentiële diensten, rechtshandhaving, migratie, en rechtsbedeling. Specifieke use cases worden per domein gedetailleerd.

De bijlage die de vereiste inhoud van technische documentatie specificeert. Omvat: algemene beschrijving, gedetailleerde systeembeschrijving, monitoringprocedures, risicobeheersysteem, wijzigingshistorie, toegepaste normen, EU-conformiteitsverklaring, en contactgegevens.

Het identificeren van personen op basis van unieke lichamelijke kenmerken zoals gezicht, vingerafdruk, iris of stem. Real-time biometrische identificatie door wetshandhaving in openbare ruimtes is verboden onder de EU AI Act (met beperkte uitzonderingen). Andere vormen zijn hoog-risico.

Het sanctiesysteem onder de EU AI Act. Boetes kunnen oplopen tot: €35 miljoen of 7% van wereldwijde omzet voor verboden praktijken, €15 miljoen of 3% voor andere inbreuken, en €7,5 miljoen of 1% voor het verstrekken van onjuiste informatie. Voor KMO's en startups gelden lagere drempels.

De markering die aangeeft dat een product voldoet aan EU-regelgeving. Hoog-risico AI-systemen moeten CE-gemarkeerd zijn voordat ze op de EU-markt mogen worden gebracht. De markering wordt aangebracht na succesvolle conformiteitsbeoordeling.

De Europese standaardisatie-organisaties verantwoordelijk voor het ontwikkelen van geharmoniseerde normen voor de EU AI Act. CEN (algemene standaarden) en CENELEC (elektrotechnische standaarden) werken samen aan technische specificaties voor AI-systemen, zoals risicomanagement, bias-detectie en cybersecurity.

Vrijwillige gedragscodes ontwikkeld door GPAI-providers onder coördinatie van het AI Office om aan te tonen hoe zij aan de GPAI-verplichtingen voldoen. Providers die zich aan een goedgekeurde code houden, worden geacht aan de betreffende verplichtingen te voldoen tot geharmoniseerde standaarden beschikbaar zijn.

Het deelgebied van AI dat computers in staat stelt visuele informatie te interpreteren en begrijpen. Omvat beeldherkenning, objectdetectie, gezichtsherkenning en videoanalyse. Veel computer vision toepassingen zoals biometrische identificatie zijn hoog-risico of verboden.

De procedure waarmee wordt aangetoond dat een hoog-risico AI-systeem voldoet aan de eisen van de EU AI Act. Afhankelijk van het type systeem kan dit door de provider zelf of door een aangemelde instantie worden uitgevoerd.

De Europese verordening voor cybersecurity van producten met digitale elementen. De CRA stelt horizontale cybersecurity-eisen voor hardware en software, inclusief AI-componenten. AI-systemen moeten voldoen aan zowel CRA (voor cybersecurity) als AI Act (voor AI-specifieke risico's).

De bescherming van AI-systemen tegen cyberaanvallen en ongeautoriseerde toegang. Artikel 15 van de EU AI Act vereist dat hoog-risico AI-systemen een passend niveau van cybersecurity bieden. Dit omvat bescherming tegen adversarial attacks, data poisoning en model extraction.

De Europese verordening voor eerlijke toegang tot en gebruik van data. De Data Act regelt wie toegang heeft tot data gegenereerd door connected products en diensten. Relevant voor AI-systemen die data van IoT-apparaten en andere bronnen gebruiken.

Het geheel van processen voor het beheren van trainings-, validatie- en testdata voor hoog-risico AI-systemen (Artikel 10). Omvat keuzes over dataverzameling, data-analyse, bias-detectie, lacune-identificatie en privacy-maatregelen. Moet gedocumenteerd worden in de technische documentatie.

De Europese verordening die een kader schept voor het hergebruik van overheidsdata, data-intermediairs en data-altruïsme. De DGA faciliteert veilige datadeling, wat relevant is voor het trainen van AI-modellen met diverse datasets.

Een type aanval waarbij kwaadaardige data wordt geïnjecteerd in de trainingsdata van een AI-model om het gedrag te manipuleren. De AI Act vereist dat hoog-risico systemen bestand zijn tegen dergelijke aanvallen als onderdeel van de cybersecurity-eisen (Artikel 15).

De geschiktheid van datasets voor het beoogde doel van een AI-systeem. De EU AI Act vereist dat trainings-, validatie- en testdata voor hoog-risico systemen voldoen aan kwaliteitscriteria zoals relevantie, representativiteit, volledigheid en foutvrijheid (Artikel 10).

Een subset van machine learning die gebruik maakt van kunstmatige neurale netwerken met meerdere lagen. Deep learning is de basis voor veel moderne AI-toepassingen zoals beeldherkenning, spraakverwerking en grote taalmodellen (LLMs). Vereist grote hoeveelheden data en rekenkracht.

AI-gegenereerde of gemanipuleerde beeld-, audio- of videocontent die mensen toont die dingen zeggen of doen die ze niet gedaan hebben. Onder de EU AI Act (Artikel 50) moeten deepfakes duidelijk als AI-gegenereerd worden gelabeld, tenzij voor duidelijk artistieke of satirische doeleinden.

Een natuurlijke of rechtspersoon die een AI-systeem onder eigen verantwoordelijkheid gebruikt, anders dan voor persoonlijk, niet-beroepsmatig gebruik. Deployers van hoog-risico AI moeten zorgen voor correct gebruik, menselijk toezicht en in sommige gevallen een FRIA uitvoeren.

Natuurlijke of rechtspersoon in de toeleveringsketen die een AI-systeem op de EU-markt beschikbaar maakt, anders dan de provider of importeur. Distributeurs moeten verifiëren dat het systeem een CE-markering heeft.

De Europese verordening voor eerlijke en open digitale markten, gericht op "poortwachters" (grote platforms). De DMA reguleert hoe grote techbedrijven hun platformdiensten aanbieden en kan van invloed zijn op de inzet van AI-systemen door deze platforms.

De centrale bank en financieel toezichthouder van Nederland. DNB houdt toezicht op AI-gebruik in de financiële sector, met name voor hoog-risico toepassingen zoals kredietscoring en verzekeringsbeoordeling. DNB integreert AI Act-compliance in bestaand prudentieel toezicht.

De Europese verordening voor digitale operationele weerbaarheid in de financiële sector. DORA stelt eisen aan ICT-risicobeheer, incidentrapportage en testing voor financiële instellingen. AI-systemen in de financiële sector moeten voldoen aan zowel DORA als de AI Act.

Een provider die een AI-systeem bouwt bovenop een GPAI-model van een andere partij (upstream provider). Downstream providers hebben eigen compliance-verplichtingen maar kunnen bepaalde informatie van de upstream provider nodig hebben om hieraan te voldoen.

Gegevensbeschermingseffectbeoordeling. Een assessment vereist onder de AVG/GDPR wanneer verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor rechten en vrijheden. Bij AI-systemen vaak verplicht naast de FRIA.

De Europese verordening voor digitale diensten die regels stelt voor online platforms en zoekmachines. De DSA vereist transparantie over aanbevelingsalgoritmen en verbiedt manipulatieve patronen. Relevant voor AI-systemen die content aanbevelen of modereren.

AI-systemen die menselijke emoties proberen af te leiden uit biometrische data zoals gezichtsuitdrukkingen, stem of lichaamshouding. Onder de EU AI Act is emotieherkenning op de werkplek en in het onderwijs verboden sinds februari 2025, met uitzondering voor medische of veiligheidsredenen.

De verplichting voor providers om ernstige incidenten met hoog-risico AI-systemen te melden aan de markttoezichtautoriteit (Artikel 73). Een ernstig incident is een incident dat leidt tot overlijden, ernstige gezondheidsschade, of ernstige inbreuk op grondrechten. Melding moet binnen 15 dagen.

De eerste uitgebreide AI-wetgeving ter wereld, aangenomen door de Europese Unie. De wet reguleert de ontwikkeling en het gebruik van kunstmatige intelligentie binnen de EU op basis van een risicogebaseerde aanpak. De EU AI Act is in augustus 2024 in werking getreden met gefaseerde implementatie tot 2027.

De door de Europese Commissie beheerde publieke database waarin hoog-risico AI-systemen en GPAI-modellen moeten worden geregistreerd (Artikel 71). De database bevat informatie over het systeem, de provider en het risicoprofiel en is toegankelijk voor het publiek.

Een formele verklaring van de provider dat een hoog-risico AI-systeem voldoet aan de eisen van de AI Act. Moet worden opgesteld voor elk hoog-risico systeem, bijgehouden voor 10 jaar, en op verzoek aan autoriteiten worden verstrekt. De inhoud is gespecificeerd in Bijlage V.

Het proces waarbij een voorgetraind AI-model verder wordt getraind op specifieke data voor een bepaalde taak of domein. Organisaties die foundation models fine-tunen kunnen onder bepaalde omstandigheden als provider worden aangemerkt onder de EU AI Act, met bijbehorende verplichtingen.

De computationele drempel boven welke een GPAI-model automatisch wordt geclassificeerd als hebbend systemisch risico. FLOP (Floating Point Operations) meet de rekencapaciteit gebruikt voor training. Modellen boven 10^25 FLOP krijgen extra verplichtingen zoals red teaming en systeemrisicobeoordeling.

Een groot AI-model getraind op brede data dat kan worden aangepast voor diverse downstream-taken. Voorbeelden zijn GPT-4, Claude en Gemini. Onder de EU AI Act vallen foundation models die op de markt worden gebracht onder de GPAI-regelgeving (Hoofdstuk V).

Fundamentele Rechten Impact Assessment. Een beoordeling die deployers van hoog-risico AI moeten uitvoeren om de impact op fundamentele rechten vast te stellen voordat het systeem in gebruik wordt genomen. Verplicht voor overheidsinstanties en essentiële diensten.

De informatie die providers van hoog-risico AI-systemen aan deployers moeten verstrekken (Artikel 13). Omvat beoogd doel, bekende beperkingen, verwachte prestaties, instructies voor menselijk toezicht, en onderhoudsvereisten. Moet begrijpelijk zijn voor de deployer.

Europese normen ontwikkeld door CEN/CENELEC op verzoek van de Europese Commissie. AI-systemen die voldoen aan gepubliceerde geharmoniseerde standaarden krijgen een "vermoeden van conformiteit" met de EU AI Act, wat de conformiteitsbeoordeling vereenvoudigt. Voorbeelden: prEN 18228 (risicomanagement), prEN 18283 (bias).

Een in de EU gevestigde natuurlijke of rechtspersoon die door een provider van buiten de EU is aangewezen om namens hen verplichtingen onder de AI Act te vervullen. Verplicht voor niet-EU providers die hoog-risico AI of GPAI op de EU-markt brengen.

General Purpose AI of AI voor algemene doeleinden. Dit zijn AI-modellen die een breed scala aan taken kunnen uitvoeren, zoals ChatGPT. GPAI valt onder specifieke transparantieverplichtingen in de EU AI Act. GPAI met systemisch risico (zoals zeer grote taalmodellen) hebben aanvullende verplichtingen.

Foutieve output van AI-systemen (vooral LLMs) waarbij het model overtuigend klinkende maar feitelijk onjuiste informatie genereert. Een belangrijk risico bij generatieve AI waarover gebruikers moeten worden voorgelicht in het kader van AI-geletterdheid.

Het toezicht op en afdwingen van naleving van de EU AI Act door nationale markttoezichtautoriteiten. Boetes kunnen oplopen tot €35 miljoen of 7% van de wereldwijde jaaromzet voor verboden praktijken, en €15 miljoen of 3% voor overige overtredingen.

Het geheel van activiteiten waarmee toezichthouders naleving van de AI Act afdwingen. Omvat: markttoezicht, audits, inspecties, corrigerende maatregelen, waarschuwingen, terugroepingen en boetes. Nationale markttoezichtautoriteiten zijn verantwoordelijk voor handhaving.

AI-systemen die een aanzienlijk risico vormen voor gezondheid, veiligheid of fundamentele rechten van personen. Deze worden opgesomd in Annex III van de AI Act en omvatten o.a. biometrische identificatie, kritieke infrastructuur, onderwijs, werkgelegenheid, rechtshandhaving en kredietbeoordeling. Hoog-risico systemen moeten voldoen aan strenge eisen voor risicobeheer, datakwaliteit, transparantie en menselijk toezicht.

AI-systemen gebruikt voor personeelszaken zoals CV-screening, kandidaatselectie, prestatiebeoordeling en ontslagbeslissingen. Expliciet aangewezen als hoog-risico in Bijlage III. Emotieherkenning bij sollicitaties is verboden. Werkgevers moeten werknemers informeren over AI-gebruik.

Een ontwerppatroon waarbij een mens onderdeel is van het besluitvormingsproces van een AI-systeem. De mens kan ingrijpen, beslissingen goedkeuren of afwijzen, of het systeem stoppen. Een vorm van menselijk toezicht vereist voor hoog-risico AI.

Een ontwerpatroon waarbij een mens de werking van een AI-systeem kan monitoren en indien nodig kan ingrijpen, maar niet bij elke individuele beslissing betrokken is. Minder intensief dan human-in-the-loop. Acceptabel voor sommige hoog-risico systemen afhankelijk van de context.

Een ontwerpatroon waarbij een AI-systeem volledig autonoom opereert zonder menselijke tussenkomst. Problematisch onder de AI Act voor hoog-risico systemen die effectief menselijk toezicht vereisen. Alleen acceptabel voor minimaal risico AI.

Een Nederlands instrument ontwikkeld door de overheid om de impact van algoritmen op mensenrechten te beoordelen. Het IAMA helpt organisaties bij het identificeren en mitigeren van risico's. Een AI Act-update van het IAMA wordt in 2026 verwacht.

Natuurlijke of rechtspersoon gevestigd in de EU die een AI-systeem op de EU-markt brengt dat afkomstig is van een provider buiten de EU. Importeurs moeten verifiëren dat het systeem aan de EU AI Act voldoet.

Het proces waarbij een getraind AI-model nieuwe input verwerkt om output te genereren (voorspellingen, classificaties, content). Inferentie is een kernkenmerk van AI-systemen onder de AI Act definitie: het systeem leidt zelf af hoe het output moet genereren op basis van geleerde patronen.

Een conformiteitsbeoordelingsprocedure waarbij de provider zelf beoordeelt of een hoog-risico AI-systeem aan de eisen voldoet, zonder tussenkomst van een aangemelde instantie. Toegestaan voor de meeste hoog-risico systemen behalve biometrische identificatie en kritieke infrastructuur.

Een opkomend paradigma waarbij autonome AI-agents via internet samenwerken, taken delegeren en dynamisch organiseren zonder menselijke tussenkomst. Dit creëert nieuwe risico's rond misinformatie, systeemoverbelasting en gebrek aan gestandaardiseerde communicatieprotocollen tussen agents.

Technieken om de veiligheidsmaatregelen en beperkingen van AI-modellen te omzeilen, zodat het model content genereert die normaal geblokkeerd zou worden. GPAI-providers met systemisch risico moeten hun modellen testen op jailbreaking als onderdeel van adversarial testing.

Het recht van natuurlijke en rechtspersonen om klachten in te dienen over AI-systemen bij de nationale markttoezichtautoriteit. Klachten kunnen betrekking hebben op non-conformiteit met de AI Act. Toezichthouders moeten klachten behandelen en passende maatregelen nemen.

AI-systemen die de kredietwaardigheid van natuurlijke personen beoordelen of een kredietscore vaststellen. Expliciet aangewezen als hoog-risico in Bijlage III (punt 5b) van de EU AI Act vanwege de impact op toegang tot financiële diensten en het risico op discriminatie.

Grote taalmodellen zoals GPT-4, Claude of Gemini. AI-systemen getraind op enorme hoeveelheden tekst die mensachtige tekst kunnen genereren. Vallen vaak onder GPAI-regelgeving in de EU AI Act.

Een tak van kunstmatige intelligentie waarbij systemen leren van data om taken uit te voeren zonder expliciet geprogrammeerd te zijn. ML-modellen identificeren patronen in trainingsdata en passen deze toe op nieuwe situaties. De meeste AI-systemen onder de EU AI Act zijn gebaseerd op machine learning technieken.

Het uit de handel nemen van een AI-systeem dat nog in de toeleveringsketen is maar nog niet aan eindgebruikers is geleverd. Verschilt van terugroeping doordat het systeem nog niet bij gebruikers is. Kan vrijwillig door de provider of verplicht door toezichthouders.

De nationale autoriteit die verantwoordelijk is voor het toezicht op naleving van de EU AI Act. In Nederland is dit waarschijnlijk de Autoriteit Persoonsgegevens (AP) in combinatie met sectorspecifieke toezichthouders.

AI-systemen gebruikt in de gezondheidszorg, zoals diagnoseondersteuning, behandelplanning en medische beeldanalyse. Veel medische AI valt onder zowel de AI Act als de Medical Device Regulation (MDR). Systemen die diagnoses stellen of behandelingen aanbevelen zijn doorgaans hoog-risico.

De verplichting dat hoog-risico AI-systemen zodanig worden ontworpen dat ze effectief kunnen worden overzien door natuurlijke personen tijdens hun gebruik. Dit moet voorkomen dat AI-systemen autonoom schade veroorzaken. Omvat o.a. de mogelijkheid tot ingrijpen en override.

AI-systemen die niet onder specifieke EU AI Act verplichtingen vallen, zoals AI in videogames, spamfilters of zoekalgoritmes. De overgrote meerderheid van AI-systemen valt in deze categorie. Wel gelden algemene wetten zoals de AVG.

Een gestandaardiseerd document dat belangrijke informatie over een AI-model beschrijft: beoogd gebruik, prestatiemetrieken, beperkingen, trainingsdata en ethische overwegingen. Model cards verhogen transparantie en helpen deployers bij het beoordelen of een model geschikt is voor hun use case.

Een type aanval waarbij een aanvaller probeert een kopie van een AI-model te creëren door systematisch de output te analyseren. De AI Act vereist dat hoog-risico systemen beschermd zijn tegen dergelijke aanvallen. Relevant voor intellectuele eigendom en beveiligingsrisico's.

De mate waarin een AI-systeem correcte output produceert. Artikel 15 van de EU AI Act vereist dat hoog-risico systemen een passend niveau van nauwkeurigheid bereiken. Providers moeten nauwkeurigheidsniveaus documenteren en aan deployers communiceren.

Een rekensysteem geïnspireerd op het menselijk brein, bestaande uit lagen van onderling verbonden knooppunten (neuronen). Neurale netwerken vormen de basis van deep learning en veel moderne AI-systemen. Ze leren patronen uit data door gewichten aan te passen via training.

Het Europese kader voor productregelgeving waarop de EU AI Act is gebaseerd. Het NLF omvat principes zoals CE-markering, conformiteitsbeoordeling, markttoezicht en geharmoniseerde standaarden. Dit kader wordt ook gebruikt voor machinerichtlijnen, medische hulpmiddelen en andere productcategorieën.

De Europese richtlijn voor cybersecurity van netwerk- en informatiesystemen. NIS-2 verplicht essentiële en belangrijke entiteiten tot passende beveiligingsmaatregelen. AI-systemen die onder NIS-2 vallen moeten voldoen aan zowel NIS-2 cybersecurity-eisen als AI Act-vereisten waar van toepassing.

Het deelgebied van AI dat zich bezighoudt met de interactie tussen computers en menselijke taal. Omvat tekstbegrip, vertaling, sentimentanalyse en tekstgeneratie. LLMs zijn geavanceerde NLP-systemen. Relevant voor chatbots, virtuele assistenten en vertaaldiensten.

Een overkoepelende term in de AI Act voor providers, deployers, gemachtigde vertegenwoordigers, importeurs en distributeurs. Operators zijn de partijen in de AI-waardeketen die verplichtingen hebben onder de AI Act, afhankelijk van hun specifieke rol.

Een fenomeen waarbij een AI-model te specifiek wordt getraind op de trainingsdata en daardoor slecht presteert op nieuwe, ongeziene data. Overfitting kan leiden tot onbetrouwbare resultaten in de praktijk. Goede data governance en validatieprocedures helpen overfitting te voorkomen.

Het systeem dat providers van hoog-risico AI moeten opzetten om actief gegevens te verzamelen over de prestaties van hun systemen nadat ze op de markt zijn gebracht (Artikel 72). Doel is het identificeren van nieuwe risico's en het nemen van corrigerende maatregelen.

Biometrische identificatie van personen op afstand die achteraf plaatsvindt (niet real-time). Geclassificeerd als hoog-risico onder de AI Act, niet verboden. Vereist conformiteitsbeoordeling en extra waarborgen. Onderscheid met real-time is cruciaal voor juridische classificatie.

Een principe waarbij privacy en gegevensbescherming vanaf het begin worden ingebouwd in het ontwerp van AI-systemen, niet als afterthought. Vereist onder zowel de AVG als de EU AI Act voor hoog-risico systemen.

De wettelijke aansprakelijkheid voor schade veroorzaakt door AI-producten. De herziene Productaansprakelijkheidsrichtlijn (PLD) brengt AI-systemen onder het productaansprakelijkheidsregime. Providers kunnen aansprakelijk zijn voor gebrekkige AI-systemen, ook als het defect bij deployment ontstaat.

De praktijk van het ontwerpen en optimaliseren van tekstuele instructies (prompts) aan generatieve AI-modellen om gewenste output te verkrijgen. Hoewel prompt engineering zelf niet gereguleerd is, kan de inzet van gepromote AI-systemen voor bepaalde doeleinden wel onder de AI Act vallen.

De natuurlijke of rechtspersoon die een AI-systeem ontwikkelt of laat ontwikkelen en het onder eigen naam op de markt brengt of in gebruik neemt. Providers van hoog-risico AI hebben de zwaarste compliance-verplichtingen, waaronder CE-markering, conformiteitsbeoordeling en technische documentatie.

Een AI-architectuur die generatieve modellen combineert met een kennisbank of database. Het systeem haalt eerst relevante informatie op en gebruikt deze als context voor het genereren van antwoorden. RAG kan hallucinaties verminderen en maakt AI-output verifieerbaar.

De Nederlandse toezichthouder verantwoordelijk voor de coördinatie van AI-toezicht samen met de AP. De RDI houdt toezicht op digitale infrastructuur, telecom, en cyberbeveiliging. Onder de EU AI Act fungeert de RDI als coördinerend markttoezichthouder en beheert de AI Regulatory Sandbox.

Biometrische identificatie van personen op afstand in real-time in openbare ruimten. Grotendeels verboden onder de AI Act voor rechtshandhaving, met beperkte uitzonderingen voor terrorismebestrijding, vermiste personen en ernstige misdrijven (mits gerechtelijk goedgekeurd).

Een testmethode waarbij experts proberen een AI-systeem te "breken" door kwetsbaarheden, bias of ongewenst gedrag te vinden. Verplicht voor GPAI-modellen met systemisch risico onder de EU AI Act. Onderdeel van adversarial testing om robuustheid te waarborgen.

Gebruik van een AI-systeem op een manier die niet overeenkomt met het beoogde doel, maar die een provider redelijkerwijs kan voorzien op basis van menselijk gedrag of interactie met andere systemen. Providers moeten hoog-risico systemen ook testen op voorzienbaar misbruik.

Een continu iteratief proces gedurende de gehele levenscyclus van een hoog-risico AI-systeem, bestaande uit identificatie, analyse, inschatting, evaluatie en behandeling van risico's. Verplicht onder Artikel 9 van de EU AI Act.

De mate waarin een AI-systeem correct blijft functioneren onder variërende omstandigheden, inclusief onverwachte input, adversarial attacks en veranderende omgevingen. Artikel 15 van de EU AI Act vereist dat hoog-risico systemen voldoende robuust zijn.

Het wetenschappelijk panel van onafhankelijke experts dat het AI Office adviseert over GPAI-modellen en systemische risico's (Artikel 68). Het panel kan modelevaluaties uitvoeren, waarschuwingen afgeven en bijdragen aan methodologie-ontwikkeling voor het beoordelen van GPAI-capaciteiten.

Het gebruik van AI om individuen een score toe te kennen op basis van hun gedrag, kenmerken of sociale connecties. Sociale scoring door overheden is expliciet verboden onder de EU AI Act vanwege het onaanvaardbare risico voor fundamentele rechten.

Een wijziging aan een AI-systeem die niet door de provider is voorzien in de initiële conformiteitsbeoordeling en die de compliance met de AI Act kan beïnvloeden. Bij substantiële wijzigingen moet een nieuwe conformiteitsbeoordeling worden uitgevoerd.

Door AI gegenereerde of significant gewijzigde content inclusief tekst, afbeeldingen, audio en video. De EU AI Act vereist dat synthetische media die personen lijken af te beelden of echte gebeurtenissen, op een machineleesbare wijze als AI-gegenereerd moeten worden gemarkeerd.

Risico dat een GPAI-model negatieve effecten kan hebben op de volksgezondheid, veiligheid, openbare veiligheid, fundamentele rechten, of de samenleving als geheel. GPAI-modellen met systemisch risico (bepaald door rekenkracht >10^25 FLOPS) hebben extra verplichtingen zoals adversarial testing en incidentrapportage.

De gedetailleerde beschrijving van een hoog-risico AI-systeem die providers moeten opstellen en bijhouden (Artikel 11). Omvat systeembeschrijving, ontwerpspecificaties, risicomanagement, testresultaten en instructies. Moet gedurende 10 jaar na het op de markt brengen beschikbaar blijven.

Een corrigerende maatregel waarbij een AI-systeem dat al op de markt is gebracht moet worden teruggehaald. Kan worden opgelegd door markttoezichtautoriteiten bij ernstige non-conformiteit of onaanvaardbare risico's. Providers moeten gebruikers informeren en het systeem uit de handel nemen.

Een dataset gebruikt om de uiteindelijke prestaties van een getraind AI-model te evalueren. Testdata wordt pas gebruikt na training en validatie om een onbevooroordeelde prestatiemeting te krijgen. De AI Act vereist dat testdata representatief en vrij van fouten is.

De dataset die wordt gebruikt om een AI-model te trainen. De kwaliteit, representativiteit en rechtmatige verkrijging van trainingsdata is cruciaal voor AI-systeemkwaliteit. Artikel 10 van de EU AI Act stelt eisen aan data governance voor hoog-risico systemen. GPAI-providers moeten een samenvatting van trainingsdata publiceren.

Een publiek beschikbare samenvatting van de data gebruikt om een GPAI-model te trainen. Verplicht onder Artikel 52 van de AI Act. Moet voldoende gedetailleerd zijn om auteursrechthouders te informeren. Het AI Office ontwikkelt een template voor deze samenvattingen.

De verplichting om gebruikers te informeren over interactie met AI-systemen. Geldt voor chatbots, deepfakes, en AI-gegenereerde content. Ook hoog-risico AI moet gebruiksaanwijzingen en informatie over mogelijkheden en beperkingen bieden.

De mate waarin de werking en beslissingen van een AI-systeem kunnen worden uitgelegd aan mensen. Hoog-risico AI-systemen moeten voldoende transparant zijn zodat gebruikers de output kunnen interpreteren en correct kunnen gebruiken.

Een dataset gebruikt om een AI-model te tunen en te optimaliseren tijdens de ontwikkeling. Validatiedata is gescheiden van trainingsdata en testdata om overfitting te voorkomen. De AI Act vereist dat validatiedata voor hoog-risico systemen voldoet aan kwaliteitscriteria.

De praktijk van het ontwikkelen en gebruiken van AI-systemen op een ethische, transparante en eerlijke manier die in lijn is met menselijke waarden. Omvat principes zoals fairness, accountability, transparency en privacy. De EU AI Act codificeert verantwoorde AI principes in wetgeving.

AI-toepassingen die door de EU AI Act volledig verboden zijn vanwege onaanvaardbaar risico. Dit omvat: sociale scoring door overheden, manipulatieve AI, uitbuiting van kwetsbare groepen, real-time biometrische identificatie door politie in openbare ruimtes (met uitzonderingen), en emotieherkenning op werkplekken en in onderwijs.

Het juridische principe waarbij AI-systemen die voldoen aan geharmoniseerde standaarden worden geacht te voldoen aan de overeenkomstige eisen van de EU AI Act. Dit vereenvoudigt de bewijslast bij conformiteitsbeoordelingen, maar ontslaat providers niet van hun verantwoordelijkheid voor daadwerkelijke naleving.

Techniek om AI-gegenereerde content onzichtbaar te markeren voor latere detectie. De EU AI Act vereist dat GPAI-providers met systemisch risico hun output "markeren in een machineleesbaar formaat". Watermarking is een methode om aan deze transparantieverplichting te voldoen.