AI Act (EU)

Wat is de AI Act?

De AI Act is de verordening van de Europese Unie die artificiële intelligentie reguleert. Ze werd formeel aangenomen in 2024 en treedt gefaseerd in werking tussen 2025 en 2027. Het is de eerste omvattende AI-wet ter wereld en heeft, net zoals GDPR, extraterritoriale werking: ook bedrijven buiten de EU die AI-systemen op de Europese markt brengen, moeten zich eraan houden.

De kern van de wet is een risicogebaseerde aanpak. AI-systemen worden ingedeeld in vier categorieën en elke categorie krijgt zijn eigen regels. Hoe groter het risico, hoe strenger de verplichtingen. Systemen met onaanvaardbaar risico worden verboden, hoog-risico systemen krijgen zware verplichtingen, en systemen met beperkt of minimaal risico vooral transparantieregels.

Belangrijk om te beseffen: de AI Act regelt niet of je AI mag gebruiken. Ze regelt hoe je AI mag gebruiken in specifieke contexten. Een chatbot op je website en een AI-systeem dat beslist of iemand een lening krijgt, vallen in compleet andere regimes.

Risicocategorieën in de AI Act

Onaanvaardbaar risico (verboden)
Een aantal praktijken is gewoon verboden in de EU. Voorbeelden: sociale scoring van burgers door overheden, real-time biometrische identificatie in publieke ruimten (met beperkte uitzonderingen), emotieherkenning op werkplek en scholen, AI die kwetsbare groepen manipuleert of exploiteert. Deze bepalingen gelden sinds februari 2025.

Hoog risico
AI-systemen die significante impact hebben op rechten of veiligheid van mensen. Denk aan AI voor werving en selectie, prestatie-evaluatie, kredietscoring, toegang tot onderwijs, behandelingen in de zorg, rechtsbedeling, asielprocedures en beheer van kritieke infrastructuur. Deze systemen zijn niet verboden, maar krijgen zeer zware verplichtingen rond risicomanagement, datakwaliteit, menselijke controle en transparantie.

Beperkt risico (transparantieverplichting)
Systemen die interageren met mensen moeten duidelijk maken dat het om AI gaat. Chatbots moeten zich kenbaar maken, deepfakes moeten gelabeld worden, emotieherkenning en biometrische categorisering (buiten de verboden domeinen) moeten aan gebruikers gemeld worden.

Minimaal risico
Alle andere AI. Spamfilters, aanbevelingsalgoritmes in een webshop, AI in games. Geen specifieke verplichtingen onder de AI Act, al blijven andere regels (GDPR, productveiligheid, consumentenrecht) vanzelfsprekend gelden.

Daarnaast is er een apart regime voor general-purpose AI-modellen (zoals LLM's) en voor zogeheten systemic risk models (de grootste modellen). Die krijgen verplichtingen rond transparantie over trainingsdata, evaluatie van veiligheid en melding van ernstige incidenten.

Wie moet zich eraan houden?

De AI Act maakt een duidelijk onderscheid tussen vier rollen.

Provider
De organisatie die een AI-systeem ontwikkelt en op de markt brengt. Zij dragen de zwaarste verplichtingen, zeker bij hoog-risico systemen.

Deployer
De organisatie die een AI-systeem inzet onder haar eigen verantwoordelijkheid. Een Belgische bank die een AI-screening inzet voor kredietaanvragen is deployer, ook al kocht ze het model van een Amerikaanse leverancier.

Distributor en importer
Partijen in de keten die AI-systemen verdelen of importeren. Vooral controletaken: zijn de nodige markeringen en documentatie aanwezig?

Authorized representative
Voor providers buiten de EU: een vertegenwoordiger in de EU die namens hen aanspreekbaar is.

Voor Belgische bedrijven die AI niet zelf bouwen maar inzetten (wat de overgrote meerderheid is) is het deployer-regime meestal het meest relevante. Onderschat het niet: als deployer moet je correct ingezet model documenteren, menselijk toezicht organiseren, eindgebruikers informeren en incidenten melden waar van toepassing.

Verplichtingen per rol

Voor hoog-risico systemen gelden de strengste verplichtingen. Voor providers:

• Een risicobeheersysteem gedurende de volledige levenscyclus van het model.

• Data governance: representatieve, relevante en vrij van fouten zijnde trainingsdata, met aandacht voor bias.

• Technische documentatie en loggen van output.

• Transparantie naar deployers via duidelijke gebruiksinformatie.

• Ingebouwd menselijk toezicht (human-in-the-loop).

• Passende accuraatheid, robuustheid en cybersecurity.

• Conformiteitsbeoordeling en CE-markering voor het op de markt komt.

• Registratie in een EU-databank.

Voor deployers van hoog-risico systemen:

• Het systeem gebruiken volgens de instructies van de provider.

• Menselijk toezicht verzekeren door voldoende opgeleide medewerkers.

• Relevante input data beheren en loggen.

• Eindgebruikers informeren wanneer een AI-systeem hen treft.

• Een impactanalyse op fundamentele rechten uitvoeren in bepaalde sectoren (publieke sector, privépartijen met publieke dienst).

• Ernstige incidenten en onjuiste werking melden.

Tijdlijn van toepassing

De AI Act trad formeel in werking in augustus 2024, maar verschillende delen worden gefaseerd van toepassing.

• 2 februari 2025: verboden praktijken worden verboden. Verplichtingen rond AI-geletterdheid voor medewerkers beginnen te lopen.

• 2 augustus 2025: regels voor general-purpose AI-modellen en systemic risk models worden van toepassing. Lidstaten moeten hun bevoegde toezichthouders aanduiden.

• 2 augustus 2026: het grootste deel van de verordening wordt van toepassing, inclusief de regels voor hoog-risico systemen die onder Annex III vallen.

• 2 augustus 2027: de laatste categorie hoog-risico systemen (die ingebed zijn in gereguleerde producten zoals medische toestellen of speelgoed) valt onder het regime.

Boetes lopen op tot 35 miljoen euro of 7% van de wereldwijde jaaromzet voor de zwaarste overtredingen (verboden praktijken). Voor andere overtredingen gelden lagere maar nog steeds substantiële bedragen.

Wat betekent dit voor Belgische bedrijven?

Een aantal concrete aandachtspunten voor wie vandaag AI inzet of inplant.

Inventariseer je AI-gebruik
Welke AI-systemen zijn in gebruik of gepland? Wie is provider, wie is deployer? Onder welke risicocategorie vallen ze? Een simpele AI-register is het startpunt van alles.

Extra aandacht voor HR-toepassingen
Werving, selectie, prestatie-evaluatie en beslissingen over arbeidsvoorwaarden zijn hoog-risico. Het gebruik van AI voor deze doeleinden vraagt extra documentatie, menselijke controle en transparantie naar medewerkers.

AI-geletterdheid
De verordening verplicht werkgevers om medewerkers die met AI-systemen werken voldoende op te leiden. Een eenvoudige training in wat een model kan en niet kan, inclusief hallucinaties en bias, is een minimum.

Leveranciersbeoordeling
Bij de aankoop van AI-tools: vraag documentatie over risicocategorie, intended use, beperkingen en menselijk toezicht. Als de leverancier dit niet kan leveren, staat je compliance op losse schroeven.

Sectorregelgeving blijft gelden
Banken (EBA-richtsnoeren), verzekeraars, zorg, openbare besturen hebben allemaal bijkomende sectorregels rond AI. De AI Act komt bovenop die regels, vervangt ze niet.

Verhouding tot GDPR

GDPR en AI Act overlappen maar vullen elkaar aan. GDPR gaat over persoonsgegevens: mag je ze verwerken, hoe en op welke basis? De AI Act gaat over AI-systemen: mag je ze inzetten, hoe en met welke controles?

Een AI-systeem dat beslist over een kredietaanvraag valt onder beide. GDPR vraagt een rechtsgrond, transparantie naar betrokkene, het recht op menselijke tussenkomst bij geautomatiseerde besluitvorming (Artikel 22). De AI Act vraagt daarbovenop dat het systeem voldoet aan de hoog-risico verplichtingen.

In de praktijk betekent dat dat AI-governance en privacy-governance samen horen. Bedrijven die hun GDPR-compliance goed op orde hebben, staan beter om de AI Act aan te pakken. Wie met GDPR nog worstelt, wacht extra werk.