EU AI Act

De EU AI Act is de eerste alomvattende wetgeving ter wereld die kunstmatige intelligentie reguleert. De wet is op 1 augustus 2024 in werking getreden en introduceert een risicogebaseerd kader dat AI-systemen indeelt in vier categorieën: onaanvaardbaar risico (verboden), hoog risico (streng gereguleerd), beperkt risico (transparantievereisten) en minimaal risico (vrij te gebruiken). Het doel is om innovatie te stimuleren terwijl fundamentele rechten en de veiligheid van EU-burgers worden beschermd.

Om de EU AI Act te begrijpen, moet je eerst de kernbegrippen kennen. Een AI-systeem wordt gedefinieerd als een machinegebaseerd systeem dat, met verschillende niveaus van autonomie, output kan genereren zoals voorspellingen, aanbevelingen of beslissingen. De wet onderscheidt tussen providers (ontwikkelaars die AI op de markt brengen) en deployers (organisaties die AI gebruiken). Daarnaast zijn er specifieke definities voor GPAI (general-purpose AI) zoals ChatGPT.

De EU AI Act hanteert een risicogebaseerde aanpak met vier categorieën. Onaanvaardbaar risico: verboden toepassingen zoals social scoring en manipulatieve AI. Hoog risico: streng gereguleerde systemen in kritieke sectoren zoals HR, onderwijs en zorg. Beperkt risico: systemen met transparantievereisten zoals chatbots. Minimaal risico: de meeste AI-toepassingen, vrij te gebruiken. De classificatie bepaalt welke verplichtingen gelden.

Compliance met de EU AI Act vereist een systematische aanpak. Voor hoog-risico AI moet je een risicobeheersysteem implementeren, technische documentatie opstellen, data governance waarborgen en menselijk toezicht regelen. Daarnaast zijn er specifieke verplichtingen zoals de FRIA (Fundamental Rights Impact Assessment) en conformiteitsbeoordelingen. Een goede AI governance structuur binnen je organisatie is essentieel.

De EU AI Act heeft verschillende impact per sector. De financiële sector krijgt te maken met overlap met EBA-richtlijnen. De publieke sector moet extra aandacht besteden aan fundamentele rechten. Startups en MKB krijgen proportionele eisen. Voor elke sector geldt: inventariseer je AI-systemen, bepaal de risicoklasse en start met compliance-voorbereiding.

De handhaving van de EU AI Act wordt gecoördineerd door het European AI Office op EU-niveau en nationale toezichthouders in elke lidstaat. In Nederland is dit de Algoritme Toezichthouder. De boetes zijn aanzienlijk: tot €35 miljoen of 7% van de wereldwijde jaaromzet voor verboden praktijken, tot €15 miljoen of 3% voor andere overtredingen. Incidentrapportage is verplicht bij ernstige storingen.

Sinds 2 februari 2025 zijn alle organisaties die AI gebruiken verplicht om te zorgen dat hun personeel voldoende AI-geletterd is. Dit geldt voor iedereen die met AI werkt, ongeacht de risicoklasse van het AI-systeem. AI-geletterdheid omvat het vermogen om AI te begrijpen, kritisch te evalueren en verantwoord te gebruiken. Organisaties moeten beleid ontwikkelen en training aanbieden.

GPAI (General-Purpose AI) zoals ChatGPT, Claude en Gemini krijgen specifieke regels vanaf augustus 2025. Providers moeten transparant zijn over trainingsdata, copyright respecteren en technische documentatie leveren. Voor modellen met systemisch risico (>10²⁵ FLOPs) gelden extra eisen. De EU werkt aan een gedragscode (Code of Practice) die providers moeten volgen.