Stel je voor...
Je solliciteert op je droombaan. Een AI-systeem beoordeelt je CV voordat een mens het ooit ziet. Wie beschermt jou tegen een bevooroordeeld algoritme?
De Casus
TalentFlow BV
Een herkenbaar scenario
Bedrijf
TalentFlow BV
Grootte
250 medewerkers
Sector
Technologie & consultancy
Locatie
Amsterdam
Sarah van der Berg
HR Director
Nieuw recruitment systeem - goedkeuring nodig
Hi team, ik heb een demo gehad van SmartRecruit Pro en ben enthousiast! Ze claimen 70% tijdsbesparing...
Hoofdstuk 1
Wat is AI?
De definitie die alles bepaalt
Voordat je weet welke regels gelden, moet je weten of je überhaupt met een AI-systeem te maken hebt. De EU AI Act definieert dit in 7 elementen.
"AI-systeem betekent een machine-gebaseerd systeem dat is ontworpen om te opereren met variërende niveaus van autonomie en dat na implementatie adaptief gedrag kan vertonen, en dat, voor expliciete of impliciete doelstellingen, uit de input die het ontvangt afleidt hoe outputs zoals voorspellingen, inhoud, aanbevelingen of beslissingen te genereren die fysieke of virtuele omgevingen kunnen beïnvloeden."
De 7 Elementen
Klik om te ontdekken
↑ Klik op een element voor details
Het kernpunt
Inferentie is de onmisbare voorwaarde. Zonder het vermogen om zelf af te leiden hoe outputs te genereren, is het geen AI-systeem.
Wat is géén AI?
Wil je begrijpen waarom sommige software wél en andere níet onder de AI Act valt?
Aflevering 1 · SmartRecruit Pro
Is SmartRecruit Pro een AI-systeem?
Laten we de 7 elementen toepassen:
✅ Ja, SmartRecruit Pro is een AI-systeem
Nu we weten dat het AI is, moeten we bepalen: welk risico? →
Een AI-systeem moet uit input kunnen afleiden hoe outputs te genereren. Volgt het alleen vaste regels? Dan is het gewone software.
Hoe streng zijn de regels?
Het antwoord ligt in een piramide.
Hoofdstuk 2
De Piramide
Niet alle AI is gelijk
Klik op een niveau
↑ Klik op een niveau voor details
“Hoe meer impact op mensenlevens, hoe meer verantwoordelijkheid.”
Aflevering 2 · SmartRecruit Pro
Waar valt SmartRecruit Pro?
SmartRecruit Pro valt onder Hoog Risico omdat:
⚠️ Hoog Risico AI
Dit betekent dat TalentFlow moet voldoen aan strenge eisen: CE-markering, conformiteitsbeoordeling, menselijk toezicht, en meer.
Maar wat is de rol van TalentFlow precies? Provider of deployer? →
Hoe hoger het risico, hoe strenger de regels.
Maar wie draagt de verantwoordelijkheid?
Dat hangt af van jouw rol.
Hoofdstuk 3
De Spelers
Welke rol speel jij?
De AI Act kent verschillende rollen toe. Elke rol draagt eigen verantwoordelijkheden. De vraag is: waar sta jij?
4
Verschillende rollen in de AI-waardeketen
Klik op een vraag die op jou van toepassing is
Aflevering 3 · SmartRecruit Pro
Wat is de rol van TalentFlow?
TalentFlow koopt SmartRecruit Pro van RecruitTech Solutions (een Amerikaans bedrijf). TalentFlow ontwikkelt de software niet zelf, maar gaat het wel gebruiken voor recruitment-beslissingen.
👤 TalentFlow is Deployer
TalentFlow is de partij die het AI-systeem "in gebruik neemt" binnen hun organisatie. RecruitTech Solutions is de Provider (ontwikkelaar), en omdat ze van buiten de EU komen, is er ook een Importeur nodig.
Wat moet TalentFlow doen?
Nu we weten dat TalentFlow deployer is, welke concrete verplichtingen gelden er? →
Waar is de AI Act het strengst?
8 kritieke sectoren.
Hoofdstuk 4
De Sectoren
De AI Act identificeert 8 gebieden waar AI de meeste risico's met zich meebrengt.
Biometrie
Je gezicht, je identiteit
Gezichtsherkenning, vingerafdrukanalyse, emotiedetectie. AI die jou herkent.
Kritieke Infrastructuur
Waar we van afhankelijk zijn
Energie, water, transport. Een AI-fout raakt iedereen.
Onderwijs
De toekomst van onze kinderen
Wie mag studeren? Hoe worden studenten beoordeeld?
Werkgelegenheid
Wie krijgt de baan?
CV-screening, video-interviews, prestatiemonitoring.
Essentiële Diensten
Toegang tot het sociale vangnet
Uitkeringen, subsidies, sociale woningen. Wie krijgt hulp?
Rechtshandhaving
Vrijheid versus veiligheid
Voorspellend politiewerk, risicoprofilering, bewijsanalyse.
Migratie
Wie mag binnen?
Visumaanvragen, asielbeoordelingen, grenscontroles.
Democratie
De basis van onze samenleving
AI die verkiezingen of rechtszaken beïnvloedt.
Scroll om te ontdekken
Aflevering 3 · SmartRecruit Pro
De sector van SmartRecruit Pro
Werkgelegenheid
SmartRecruit Pro valt in sector 4: Werkgelegenheid. CV-screening, video-interviews, en kandidaat-ranking zijn expliciet hoog-risico toepassingen.
Chatbots: 55% van stemadvies naar slechts 2 partijen
“Het stofzuigereffect: profielen worden richting de extremen gezogen, ongeacht de werkelijke voorkeuren.”
Bij één chatbot ging 80% van alle adviezen naar GroenLinks-PvdA of PVV. Transparantie en controleerbaarheid ontbreken volledig.
Hoe blijft de mens in control?
Menselijk toezicht is essentieel.
Hoofdstuk 5
Menselijk Toezicht
De mens blijft in control
Hoog-risico AI mag niet autonoom beslissen over mensenlevens. Er moet altijd een mens meekijken — en kunnen ingrijpen.
Klik op een principe
Gradaties van toezicht
Aflevering 4 · SmartRecruit Pro
Toezicht bij TalentFlow
Recruiters moeten begrijpen
Waarom rankt SmartRecruit Pro een kandidaat hoger? Recruiters moeten de AI-output kunnen interpreteren.
Override mogelijkheid
TalentFlow moet kunnen afwijken van AI-rankings. Een recruiter kan beslissen om een “lager gerankte” kandidaat toch uit te nodigen.
Wil je ontdekken waarom "de mens in control" makkelijker gezegd is dan gedaan?
Scenario
Een bank gebruikt AI om hypotheekaanvragen te beoordelen. De AI wijst een aanvraag af vanwege "onvoldoende kredietwaardigheid".
Wat is het minimale vereiste toezicht?
Welke assessment heb je nodig?
DPIA of FRIA — het maakt uit.
Hoofdstuk 6
DPIA vs FRIA
Welke impact assessment heb je nodig?
De GDPR vereist een DPIA. De AI Act vereist een FRIA. Maar wanneer heb je welke nodig — en kun je ze combineren?
DPIA
Data Protection Impact Assessment
Overlap
Beide assessments kijken naar risico's voor individuen. Je kunt ze vaak combineren, maar de AI Act stelt specifieke eisen aan hoe je mensenrechten beoordeelt.
Wanneer welke?
Aflevering 6 · SmartRecruit Pro
Welke assessment voor TalentFlow?
Dubbele verplichting
SmartRecruit Pro verwerkt persoonsgegevens (CV’s, video’s) én is hoog-risico AI. TalentFlow heeft daarom beide assessments nodig.
✅ DPIA + FRIA vereist
Een DPIA voor privacy-risico’s (AVG) en een FRIA voor bredere grondrechten zoals non-discriminatie (AI Act).
Wat moeten gebruikers weten?
Transparantie is geen optie.
Hoofdstuk 7
Transparantie
Eerlijk zijn over AI
Gebruikers hebben het recht om te weten wanneer ze met AI te maken hebben. Transparantie is geen optie — het is een verplichting.
Aflevering 5 · SmartRecruit Pro
Eerlijk zijn over AI
Kandidaten informeren
TalentFlow moet kandidaten informeren dat hun CV door AI wordt geanalyseerd en dat video-interviews worden beoordeeld op gezichtsexpressies.
Emotieherkenning melden
SmartRecruit Pro analyseert gezichtsuitdrukkingen — dit is emotieherkenning en moet expliciet worden gemeld aan kandidaten.
LinkedIn wil 22 jaar aan data voor AI-training
“Mensen hebben destijds informatie gedeeld zonder te voorzien dat die voor AI-training zou worden ingezet.” — Monique Verdier, APLees de volledige analyse →
Uitzonderingen
- Rechtshandhaving (in specifieke gevallen)
- Spam-/fraudedetectie (geen directe gebruikersinteractie)
- AI die evident is (bijv. een spelcomputer)
Wat als je het fout doet?
De EU meent het serieus.
Hoofdstuk 8
De Consequenties
Wat kost het als je het fout doet?
De EU meent het serieus. De boetes onder de AI Act behoren tot de hoogste in Europese regulering. Dit is geen papieren tijger.
Voor verboden AI-praktijken
Voor overige inbreuken
Voor misleidende informatie
Ter vergelijking
AVG/GDPR boete
AI Act boete
Scenario
Een techbedrijf met €500 miljoen omzet implementeert een social scoring systeem voor klantenbeoordeling — zonder te weten dat dit verboden is.
Wat is de maximale boete?
Aflevering 8 · SmartRecruit Pro
Wat riskeert TalentFlow?
TalentFlow heeft €50M omzet en gebruikt SmartRecruit Pro voor recruitment-beslissingen. Als ze niet voldoen aan de AI Act eisen voor hoog-risico AI...
€1.5M
3% van €50M omzet
⚠️ Non-compliance kan tot €1.5M kosten
Zelfs een middelgroot bedrijf riskeert forse boetes. Compliance is een investering, geen kostenpost.
“De boodschap is duidelijk: compliance is goedkoper dan de consequenties.”
Welke AI is simpelweg verboden?
De rode lijn.
Hoofdstuk 9
De Verboden Zone
AI die simpelweg niet mag bestaan
Sommige AI-toepassingen zijn zo gevaarlijk voor fundamentele rechten dat de EU ze volledig verbiedt. Geen uitzonderingen, geen compromissen.
Februari 2025
Wanneer verboden praktijken worden gehandhaafd
Social Scoring
Overheden mogen geen AI gebruiken om burgers te beoordelen op basis van gedrag of persoonlijke kenmerken.
Denk aan het Chinese systeem dat burgers "punten" geeft voor "goed" gedrag.
Manipulatie van kwetsbaren
AI die misbruik maakt van kinderen, ouderen of mensen met beperkingen om gedrag te beïnvloeden.
Speelgoed dat kinderen manipuleert tot gevaarlijk gedrag.
Real-time biometrische surveillance
Gezichtsherkenning in openbare ruimtes voor wetshandhaving is verboden, met zeer beperkte uitzonderingen.
Massa-surveillance met camera's in winkelstraten.
Emotieherkenning op werk/school
AI die emoties herkent bij werknemers of studenten is niet toegestaan.
Software die via webcam checkt of je "gelukkig" werkt.
Biometrische categorisatie
AI die mensen categoriseert op basis van gevoelige kenmerken zoals ras, religie of seksuele geaardheid.
Systemen die op basis van foto's religie proberen te bepalen.
Predictive policing op individuen
AI die voorspelt of een specifiek individu een misdaad zal plegen.
Minority Report-achtige systemen.
AP: Emotieherkenning "dubieus en risicovol"
“Een hoge hartslag is niet altijd een teken van angst, en een harde stem niet altijd een uitdrukking van woede.”
Systemen kennen negatievere emoties toe aan mensen met een donkere huidskleur. Nu volledig verboden op werkplek en in onderwijs.
Hoe zit het met ChatGPT?
Foundation models hebben speciale regels.
Hoofdstuk 10
De Grote Modellen
ChatGPT, Claude, Gemini — en de speciale regels
General-Purpose AI is een aparte categorie. Deze modellen zijn zo krachtig en veelzijdig dat ze hun eigen regelgeving verdienen.
“Met grote kracht komt grote verantwoordelijkheid.”
Augustus 2025
Wanneer GPAI-regels ingaan
GPAI met systemisch risico
Als een GPAI-model meer dan 10^25 FLOPS aan rekenkracht gebruikte tijdens training, wordt het automatisch als "systemisch risico" geclassificeerd. Dit betekent:
- •Adversarial testing verplicht
- •Incident rapportage
- •Cybersecurity maatregelen
- •Energie-efficiëntie documentatie
Transparantie voor alle GPAI
- ✓Technische documentatie openbaar
- ✓Trainingsdata samenvatting
- ✓Copyright compliance
- ✓Downstream provider informatie
Hoe bewijs je compliance?
CE-markering is het bewijs.
Hoofdstuk 11
Conformiteitsbeoordeling
Het CE-keurmerk voor AI
Net als producten een CE-markering nodig hebben, moeten hoog-risico AI-systemen een conformiteitsbeoordeling doorlopen voordat ze op de markt mogen.
2026
Deadline voor conformiteitsbeoordeling hoog-risico AI
Interne beoordeling
Je beoordeelt zelf of je voldoet aan de eisen
bijv. Recruitment AI, kredietscoring
Externe beoordeling
Een notified body beoordeelt je systeem
bijv. Biometrie, kritieke infrastructuur
Aflevering 11 · SmartRecruit Pro
Heeft SmartRecruit Pro een CE-markering nodig?
SmartRecruit Pro is een hoog-risico AI-systeem (recruitment). De provider RecruitTech Solutions moet conformiteitsbeoordeling doorlopen.
🏷️ Ja, interne beoordeling volstaat
Recruitment AI valt onder Annex III en kan intern worden beoordeeld. Externe notified body is niet verplicht.
Wat moet de provider doen?
Ruimte om te experimenteren?
De AI Sandbox biedt bescherming.
Hoofdstuk 12
De Sandbox
Innoveren binnen de grenzen
De AI Act is niet alleen restrictie — het creëert ook ruimte om te experimenteren. De AI Regulatory Sandbox laat bedrijven innovatieve AI testen onder toezicht van de autoriteiten.
1
Nederlandse AI Sandbox in voorbereiding
Wat is een AI Sandbox?
Een gecontroleerde omgeving waar je innovatieve AI kunt testen zonder direct aan alle compliance-eisen te voldoen. De toezichthouder begeleidt je en geeft feedback voordat je naar de markt gaat.
Voordelen
- ✓Begeleiding van de toezichthouder
- ✓Sneller naar de markt
- ✓Lagere compliance-kosten
- ✓Directe feedback op je systeem
- ✓Risico's vroeg identificeren
Voor wie?
Startups, scale-ups, maar ook grote bedrijven die innovatieve AI willen testen. Vooral interessant als je werkt aan hoog-risico AI-systemen.
🇳🇱 Nederland
De Autoriteit Persoonsgegevens werkt aan de Nederlandse AI Sandbox. Naar verwachting operationeel in 2025.
Hebben je mensen de kennis?
AI-geletterdheid wordt verplicht.
Hoofdstuk 13
AI-Geletterdheid
Kennis is macht — en nu ook verplicht
De AI Act vereist dat iedereen die met AI werkt voldoende kennis heeft. Dit is geen suggestie — het is een wettelijke verplichting.
2 februari 2025
De deadline voor AI-geletterdheid
100%
Van medewerkers die met AI werken moeten AI-geletterd zijn
Wat is AI-geletterdheid?
Basiskennis
Begrip van AI-concepten, mogelijkheden en beperkingen
Praktische vaardigheden
Correct kunnen bedienen en monitoren van AI-systemen
Compliance-bewustzijn
Kennis van relevante wet- en regelgeving
Ethisch beoordelingsvermogen
Herkennen van bias, privacy-risico's en ethische dilemma's
Per rol
Scenario
Een medewerker gebruikt ChatGPT om klantgegevens te analyseren zonder dit te melden aan de IT-afdeling.
Wat is hier het probleem?
AI zonder toestemming?
Shadow AI is een groeiend risico.
Hoofdstuk 14
Shadow AI
De onzichtbare bedreiging
Medewerkers gebruiken ChatGPT, Claude en andere AI-tools — vaak zonder dat IT of management het weet. Dit is een van de grootste governance-uitdagingen.
75%
Van kenniswerkers gebruikt AI-tools op het werk
Wat kun je doen?
Scenario
Een HR-manager plakt 50 cv's in ChatGPT met de vraag "selecteer de beste kandidaten". De cv's bevatten namen, adressen en BSN-nummers.
Wat is hier het grootste risico?
“Shadow AI is niet iets dat je oplost met een verbod. Het vraagt om een cultuurverandering en slimme governance.”
Wie controleert dit allemaal?
De toezichthouders staan klaar.
Hoofdstuk 15
Wie houdt toezicht?
De agencies en autoriteiten achter de AI Act
De AI Act is geen papieren tijger. Een compleet nieuw Europees toezichtstelsel wordt operationeel. Dit zijn de spelers die straks aan jouw deur kloppen.
Epiloog
Het Keerpunt
Augustus 2024. Na jaren van onderhandeling wordt de EU AI Act werkelijkheid. 's Werelds eerste alomvattende AI-wetgeving is een feit.
2024
Het jaar dat alles veranderde voor AI in Europa
Epiloog
Jouw Verhaal Begint Nu
Je kent nu het verhaal van de EU AI Act — van de geboorte tot de consequenties, van risiconiveaus tot je eigen rol.
Wat je hebt geleerd:
Volgende stappen
De AI Act is niet het einde van een verhaal — het is het begin. Een nieuw hoofdstuk waarin verantwoorde AI de standaard wordt. Jouw hoofdstuk begint nu.