Artikel 99: Sancties

De hoogste boetes (€35M / 7%) gelden voor verboden praktijken. Voor niet-naleving van hoog-risico verplichtingen: tot €15M / 3%. Voor onjuiste informatie: €7,5M / 1%. Zorg dat uw compliance op orde is — de kosten van een boete overtreffen de investering in compliance vele malen.

Ook deployers kunnen beboet worden bij niet-naleving. De boetes zijn proportioneel aan uw omzet. Documenteer uw compliance-inspanningen — dit kan boeteverlagend werken bij een eventuele overtreding.

Voor MKB en startups gelden lagere boeteplafonds. Maar 'klein zijn' is geen vrijstelling — de verplichtingen gelden onverkort. Het goede nieuws: de AI Act houdt rekening met proportionaliteit.

Lidstaten bepalen zelf of boetes van toepassing zijn op overheidsorganen. In Nederland wordt dit nog uitgewerkt. Bereid u voor alsof boetes wél gelden.

De AI Act kent drie boetecategorieën: tot €35 miljoen of 7% omzet voor verboden praktijken, tot €15 miljoen of 3% voor andere overtredingen, en tot €7,5 miljoen of 1% voor het verstrekken van onjuiste informatie.

Ja, voor kleine en middelgrote ondernemingen (KMO's) en startups gelden proportioneel lagere boeteplafonds.

Artikel 99 van de AI Act maakt geen algemene uitzondering voor het MKB. Wel voorziet de AI Act in ondersteunende maatregelen en eventueel verlichte verplichtingen voor kleine en middelgrote ondernemingen, afhankelijk van hun rol in de AI-waardeketen.

Artikel 99 van de AI Act werkt aanvullend op de AVG. Waar de AVG persoonsgegevens beschermt, richt de AI Act zich op de veiligheid en betrouwbaarheid van AI-systemen. Organisaties moeten aan beide regelgevingen voldoen wanneer hun AI-systeem persoonsgegevens verwerkt.

De AI Act kent een gefaseerde invoering. Verboden AI-praktijken gelden vanaf februari 2025, verplichtingen voor hoog-risico AI-systemen vanaf augustus 2026, en overige bepalingen worden geleidelijk van kracht. De specifieke deadline voor artikel 99 hangt af van de categorie van de verplichting.

Ja, artikel 99 van de AI Act kan ook relevant zijn wanneer u AI-systemen inkoopt. Als gebruiksverantwoordelijke (deployer) heeft u eigen verplichtingen onder de AI Act, ongeacht of u het systeem zelf heeft ontwikkeld of ingekocht bij een aanbieder.

Bij artikel 99 van de AI Act is de provider (aanbieder) degene die het AI-systeem ontwikkelt of op de markt brengt, terwijl de deployer (gebruiksverantwoordelijke) degene is die het systeem onder eigen verantwoordelijkheid inzet. Beide rollen hebben verschillende verplichtingen.

Artikel 99 van de AI Act vereist dat relevante documentatie wordt bijgehouden als onderdeel van het compliance-proces. Dit kan technische documentatie, gebruiksaanwijzingen, logs of conformiteitsverklaringen omvatten, afhankelijk van de classificatie van het AI-systeem.

De AI Act kent drie categorieën: (1) tot €35 miljoen of 7% van de wereldwijde jaaromzet voor verboden AI-praktijken, (2) tot €15 miljoen of 3% voor overtreding van andere verplichtingen, en (3) tot €7,5 miljoen of 1,5% voor het verstrekken van onjuiste informatie aan toezichthouders.

De maximale AI Act-boetes (tot 7% omzet) zijn hoger dan de maximale AVG-boetes (tot 4% omzet). Bij samenloop — als een overtreding zowel de AI Act als de AVG raakt — geldt het boetemaximum van de verordening met het hoogste plafond. Er worden geen dubbele boetes opgelegd voor dezelfde overtreding.

Ja, artikel 99 lid 6 bepaalt dat voor kleine en middelgrote ondernemingen (inclusief startups) de boetes proportioneel moeten zijn. De boeteplafonds worden berekend als percentage van de omzet of als vast bedrag, waarbij het laagste bedrag geldt. Dit biedt effectief bescherming voor kleinere organisaties.

De boetes worden opgelegd door nationale markttoezichtautoriteiten van de EU-lidstaten. In Nederland is de Autoriteit Persoonsgegevens aangewezen als toezichthouder voor de AI Act. Voor GPAI-modellen heeft de Europese Commissie (via het AI Office) directe handhavingsbevoegdheid.

De AI Act richt boetes primair op organisaties (aanbieders, deployers). Persoonlijke aansprakelijkheid kan echter voortvloeien uit nationaal recht, bijvoorbeeld via bestuurdersaansprakelijkheid als blijkt dat leidinggevenden nalatig zijn geweest in het naleven van wettelijke verplichtingen.