De AI Act is de eerste bindende AI-wet ter wereld. Ze is van toepassing op iedereen die AI gebruikt, verkoopt of in de EU exploiteert — ook als uw leverancier buiten Europa gevestigd is. De verplichtingen voor hoog-risico toepassingen gaan naar verwachting in op 2 december 2027.
De meeste ondernemers denken dat ze er niet mee te maken hebben. Dat klopt niet.
Wat de AI Act eigenlijk zegt
De wet definieert een "AI-systeem" breed: elk systeem dat op basis van invoer, via machine learning of gelijkaardige technieken, uitvoer genereert — voorspellingen, aanbevelingen, beslissingen of gegenereerde inhoud — die de omgeving beïnvloeden.
Uw tool die cv's screent: een AI-systeem. Uw chatbot die klanten doorverwijst: een AI-systeem. De software die uw HR-afdeling gebruikt om kandidaten te rangschikken: een AI-systeem. De term "AI" in de zin van deze wet is niet beperkt tot ChatGPT. Het gaat over alles wat patronen leert en op basis daarvan beslissingen ondersteunt.
Het risicomodel
De AI Act werkt met vier risiconiveaus. Hoe hoger het risico, hoe zwaarder de eisen:
- Onaanvaardbaar risico — verboden: Social scoring door overheden, manipulatieve technieken die kwetsbare groepen beïnvloeden, biometrische massasurveillance in openbare ruimten, real-time gezichtsherkenning door politie (met smalle uitzonderingen).
- Hoog risico — zware verplichtingen: De categorie die de meeste bedrijven raakt. Zie hieronder.
- Beperkt risico — transparantie: Chatbots moeten zichzelf identificeren als AI. AI-gegenereerde inhoud moet gemarkeerd zijn.
- Minimaal risico — geen specifieke eisen: Spamfilters, AI in videogames, aanbevelingssystemen voor playlists.
Wat valt er onder hoog risico?
Dit is de categorie die de meeste ondernemers foutief menen te vermijden. Bijlage III van de wet bevat de volledige lijst. De meest relevante categorieën voor bedrijven:
- Werving en selectie: CV's screenen, kandidaten rangschikken, sollicitatiegesprekken analyseren, promoties bepalen
- Krediet en financiën: Beoordeling van kredietwaardigheid of kredietscore
- Medische hulpmiddelen: AI als veiligheidscomponent in medische apparatuur (klasse IIa en hoger)
- Onderwijs: Toegang bepalen tot onderwijs of opleiding, studenten beoordelen
- Vitale infrastructuur: AI in beheer van energie, water, transport
- Rechtshandhaving en veiligheid: Risicobeoordeling voor recidive, emotiedetectie, profielen voor criminaliteitsopsporing
Als uw bedrijf ook maar één van deze toepassingen gebruikt — als eindgebruiker of als softwareleverancier — bent u een "deployer" of aanbieder in de zin van de wet. En u heeft verplichtingen.
Wat die verplichtingen concreet betekenen
Voor hoog-risico systemen geldt een verplicht kader dat zowel de bouwer als de gebruiker van het systeem treft:
- Conformiteitsbeoordeling voordat het systeem op de markt wordt gebracht of in gebruik genomen
- Technische documentatie — beschrijving van het systeem, de training, de testresultaten
- Automatische logging — het systeem moet logbestanden bijhouden van zijn werking
- Menselijk toezicht — een mens moet de AI-beslissingen kunnen bekijken, betwisten en overrulen
- Transparantie naar gebruikers — wie door een beslissing geraakt wordt, moet weten dat AI betrokken was
- Registratie in EU-databank voor aanbieders van hoog-risico systemen
U levert dit niet aan iemand anders. U moet het zelf kunnen voorleggen — bij controle, bij incidenten, en als een klant of medewerker naar de rechter stapt.
De tijdlijn
De AI Act trad op 1 augustus 2024 in werking. De verplichtingen zijn gefaseerd ingevoerd:
- Augustus 2024: Verbodsbepalingen voor onaanvaardbaar risico
- Februari 2025: Verplichtingen voor algemeen inzetbare AI-modellen (GPAI) zoals GPT-4 of Claude
- Augustus 2026: Originele deadline hoog-risico systemen (in behandeling: plenaire stemming 26 maart)
- 2 december 2027: Verwachte nieuwe deadline hoog-risico systemen (Annex III)
- 2 augustus 2028: Hoog-risico producten onder sectorale wetgeving
Het uitstel haalt de druk van de ketel — maar niet de verplichting. Een conformiteitsbeoordeling duurt. Documentatie aanleggen kost tijd. Contracten aanpassen met leveranciers kost tijd. En het begint met weten welke systemen u gebruikt.
Wat als u de AI van uw softwareleverancier gebruikt?
U bent "deployer". De wet maakt onderscheid tussen "provider" (de bouwer van het AI-systeem) en "deployer" (de organisatie die het inzet in een professionele context). Als deployer heeft u eigen verplichtingen — ook als u de software enkel afneemt.
U moet nagaan of uw leverancier de documentatieverplichtingen naleeft. U moet het systeem inzetten volgens de instructies. En u moet ervoor zorgen dat het wettelijk vereiste menselijk toezicht aanwezig is.
"Maar mijn leverancier zegt dat het in orde is" is niet voldoende. U wordt geacht het zelf te kunnen aantonen.
Drie stappen die u nu kunt zetten
De volledige complianceweg voor hoog-risico AI is lang. Maar er zijn drie stappen die elke ondernemer nu al kan zetten, ongeacht sector of bedrijfsgrootte:
1. Inventariseer
Welke AI-tools gebruikt u? Voor welke taken? Welke beslissingen ondersteunen of nemen ze? Maak een eenvoudige lijst. Dit is de basis voor alles wat volgt.
2. Vraag op
Neem contact op met uw softwareleveranciers. Stel de vraag: valt dit systeem onder de AI Act als hoog-risico? Welke documentatie is beschikbaar? Het antwoord — of de afwezigheid ervan — zegt al veel.
3. Documenteer
Leg vast wat u gebruikt, wanneer u begonnen bent, voor welke toepassing, en welke informatie u van uw leverancier heeft ontvangen. Dit is niet alleen een verplichting. Het is uw bewijs als het later misgaat.
U hoeft vandaag niet volledig compliant te zijn. U hoeft wel te kunnen aantonen dat u bewust en actief bezig bent.
In het volgende artikel bekijken we een concrete sector: wat de AI Act betekent voor wie AI inzet bij werving en selectie. Want de risico's zijn abstract totdat u merkt dat uw shortlistsoftware juridisch een hoog-risico systeem is.
De vraag is dan niet wanneer de deadline precies valt. De vraag is of u weet wat u gebruikt.