Wat is de AI Act?

De AI Act – ofwel AI verordening – is de Europese wetgeving voor kunstmatige intelligentie. Het is de eerste Artificial Intelligence (AI) wetgeving ter wereld.

Het doel van deze AI wetgeving is om binnen Europa met vertrouwen te kunnen werken met AI-systemen. Daarnaast beschermt de AI Act belangrijke grondrechten. Ongecontroleerd gebruik van AI kan namelijk leiden tot onder meer discriminatie en misleiding van mensen. Denk aan deepfake en fake news.

Werkt u met AI systemen of -toepassingen en/of brengt u ze op de markt?

Dan moet u zich aan de regels van de AI Act houden.

Op deze pagina vindt u onder meer informatie over:

  • de risicogebaseerde aanpak van de AI Act en de verplichtingen die hierbij horen;

  • AI-geletterdheid voor aanbieders en gebruiksverantwoordelijken van AI-systemen;

  • de tijdlijn om aan de AI Act te voldoen;

  • de manieren om u voor te bereiden op de AI Act;

  • boetes bij overtredingen en het toezicht.

Wat staat er in de AI Act?

De AI Act legt regels op aan het gebruik van AI-systemen en -toepassingen. De Artificial Intelligence Act bevat een risicogebaseerde aanpak en deelt systemen in 4 categorieën in:

  • onaanvaardbaar risico;

  • hoog risico;

  • beperkt risico;

  • minimaal risico.

Daarnaast zijn er specifieke regels opgenomen voor AI-modellen voor algemene doeleinden, waartoe ook ChatGPT gerekend wordt. Deze regels zijn terug te vinden in hoofdstuk 5 van de AI Act en laten wij in dit overzicht verder buiten beschouwing.

AI-toepassingen met een onaanvaardbaar risico

Deze AI-systemen zijn sinds 2 februari 2025 verboden en moeten van de Europese markt zijn gehaald. Denk bijvoorbeeld aan:

  • AI-toepassingen die menselijk gedrag manipuleren om zo de vrije wil van gebruikers te omzeilen;

  • emotieherkenningssystemen op het werk en in het onderwijs; en

  • biometrische categoriseringssystemen die gebruikmaken van gevoelige kenmerken.

AI-toepassingen binnen de categorie hoog risico

Voor systemen binnen deze categorie gelden strenge voorwaarden, waaronder passend menselijk toezicht en een verplicht systeem voor kwaliteitsbeheer.

Binnen deze categorie vallen systemen die als risicovol worden gezien en bijvoorbeeld gebruikt worden in het onderwijs, kritieke infrastructuurnetwerken of bij wetshandhaving.

Belangrijk!

De regels gelden niet alleen voor de ontwikkelaars van hoog risico AI-systemen. Ook voor gebruikers van AI-systemen met een hoog risico gelden verschillende regels.

Welke regels dat zijn?

Hieronder lichten we er een paar uit.

  • Gebruikers die tevens werkgever zijn, moeten - alvorens zij zo’n systeem op de werkplek in gebruik nemen - hun werknemersvertegenwoordigers en de betrokken werknemers hiervan op de hoogte stellen;

  • Overheidsinstanties en -organen hebben een registratieverplichting;

  • Organisaties die gebruikmaken van een AI-systeem met een hoog risico moeten de logs die automatisch worden gegenereerd door dat AI-systeem voor een bepaalde periode bewaren.

Meer weten over de regels voor de systemen in deze categorie?

Lees dan hoofdstuk III ‘AI-systemen met een hoog risico’ van de AI Act vanaf pagina 190 in deze PDF.

AI-toepassingen met een beperkt of minimaal risico

Het overgrote deel van de AI-systemen valt in de laatste 2 categorieën. Voor dit type systemen gelden transparantieverplichtingen, die de gebruiker duidelijk moeten maken dat het systeem gebruikmaakt van kunstmatige intelligentie.

Voor systemen die directe interactie hebben met mensen, geldt dat deze de gebruiker moeten informeren dat er gebruik wordt gemaakt van AI.

Is het vanuit het oogpunt van een normaal geïnformeerde en redelijk opmerkzame en omzichtige natuurlijke persoon volledig duidelijk dat het een AI-systeem betreft?

Dan hoeft de gebruiker in de meeste gevallen niet apart geïnformeerd te worden.

Alles weten over de transparantieverplichtingen die de AI Act oplegt?

Lees dan onze blog: “Transparantieverplichtingen AI Act uitgelegd”.

AI-geletterdheid voor aanbieders en gebruikers van AI-systemen

Voor aanbieders en gebruiksverantwoordelijken van AI-systemen geldt sinds 2 februari 2025 de AI-kennisplicht.

Wat houdt AI-geletterdheid in?

Personen die AI-systemen namens de organisatie gebruiken, moeten beschikken over de juiste kennis, vaardigheden en begrip om deze verantwoord in te zetten. Op technisch, praktisch, sociaal en ethisch gebied.

In een handreiking van de Autoriteit Persoonsgegevens staat beschreven welke 4 stappen organisaties moeten doorlopen om te voldoen aan de uit de AI Act volgende AI-kennisplicht.

  1. Identificeren van AI-systemen binnen de organisatie.

  2. Per (type) medewerker of rol bepalen welk niveau van AI-geletterdheid gewenst is.

  3. Tijd voor actie: bijvoorbeeld door het verzorgen van AI-trainingen, het aanstellen van een AI-officer en/of het opstellen van handvatten en documentatie.

  4. Periodiek evaluatie door middel van jaarlijkse enquêtes onder medewerkers, audits of periodieke rapportages.

Meer weten over AI-geletterdheid?

Lees dan onze blog “AI-geletterdheid is verplicht, maar wat houdt het eigenlijk in?

De AI Act tijdlijn

De AI Act treedt stapsgewijs in werking. In februari 2025 zijn de eerste regels ingegaan, zoals hiervoor beschreven.

Vanaf 2 augustus gaan de regels voor AI-modellen voor algemene doeleinden in, hiertoe behoort onder meer ChatGPT. Daarnaast moet bekend zijn welke instanties in Nederland optreden als toezichthouder.

2026

Vanaf augustus 2026 start het toezicht op AI-systemen met een hoog risico (zoals beschreven in bijlage III van de AI Act). Ook wordt vanaf dat moment toezicht gehouden op de transparantieverplichtingen die onder meer gelden op AI-systemen met een beperkt risico. Op hetzelfde moment moet in Nederland ook gestart worden met het geven van advies aan aanbieders van AI-systemen, die complexe vragen hebben over de wetgeving.

2027

In augustus 2027 is de AI Act volledig van kracht, wanneer ook het toezicht op AI met een hoog risico op bestaande gereguleerde producten (zoals beschreven in bijlage I van de AI Act) van start gaat.

Hoe bereidt u zich voor op de AI Act?

De AI Act gaat stapsgewijs in en is pas in augustus 2027 volledig van kracht. U heeft dus nog tijd om zich voor te bereiden. Hieronder vindt u de stappen die u kunt nemen: zowel voor aanbieders als gebruikers van AI-systemen.

Voor aanbieders van AI-systemen

  • Zorg allereerst dat u weet binnen welke risicocategorie uw AI-systeem valt.

  • Zorg dat AI-systemen uit de categorie ‘onaanvaardbaar risico’ van de markt af zijn gehaald (verboden sinds 2 februari 2025).

  • Valt uw AI-toepassing binnen de categorie ‘hoog risico’? Dan gelden er vanaf augustus 2026 strenge regels om die risico’s te voorkomen of te beperken. Denk onder meer aan risicobeheer, menselijk toezicht, registratie en datakwaliteit.

  • Start met de verbetering van de transparantie van uw AI-systeem. Zorg dat gebruikers in ieder geval weten dat ze met een AI-systeem te maken hebben.

Voor organisaties die gebruikmaken van AI-systemen

  • Check binnen welke risicocategorie de AI-systemen die uw organisatie gebruikt vallen.

  • Check of u gestopt bent met het gebruik van systemen uit de categorie ‘onaanvaardbaar risico’ (verboden sinds 2 februari 2025).

  • Gebruikt uw organisatie een systeem uit de categorie ‘hoog risico’? Stel u dan op de hoogte van de regels die gelden voor gebruikers. Zo moeten gebruikers die tevens werkgever zijn, alvorens zij een AI-systeem op de werkplek in gebruik nemen hun werknemersvertegenwoordigers en de betrokken werknemers hiervan op de hoogte stellen.

  • Loop uw inkoopvoorwaarden na om te zien of de regels uit de AI Act voldoende geïmplementeerd zijn, zodat u voorbereid bent op de eventuele afname van een AI-systeem.

Boetes bij overtredingen AI Act

De boetes voor overtredingen van de AI Act worden vastgesteld als een percentage van de wereldwijde jaaromzet van het overtredende bedrijf in het voorgaande boekjaar of een vooraf bepaald bedrag, afhankelijk van welk bedrag hoger is.

Het gaat om € 35 miljoen of 7% van de jaaromzet voor overtredingen in de categorie verboden AI-toepassingen. Het overtreden van verplichtingen uit de AI Act kan leiden tot boetes van € 15 miljoen of 3% en op het verstrekken van onjuiste informatie staan boetes van € 7,5 miljoen of 1% van de jaaromzet.

Uiteraard wordt er rekening gehouden met de omvang van het overtredende bedrijf als het aankomt op de proportionaliteit van de boetes. Zo gelden voor startende ondernemingen minder hoge boetebedragen.

Toezicht AI Act in Nederland

Iedere EU-lidstaat moet op nationaal niveau een toezichthouder aanstellen voor de handhaving van de AI Act. In Nederland bereiden meer dan 20 toezichthouders zich hier inmiddels op voor.

Er is echter nog geen definitief besluit genomen over het inregelen van het toezicht op de AI Act in Nederland.

De Autoriteit Persoonsgegevens (AP) is sinds 2023 coördinerend toezichthouder van algoritmes en AI.

In een advies aan het kabinet hebben de AP en de Rijksinspectie Digitale Infrastructuur (RDI) in 2024 aangegeven dat het verstandig is om het toezicht op AI in de verschillende sectoren zoveel mogelijk te laten aansluiten bij het reguliere toezicht dat al bestaat.

Het ministerie van Economische Zaken besluit uiteindelijk hoe het toezicht daadwerkelijk vorm wordt gegeven.

Heeft u advies nodig over de implementatie van de AI Act?

Onze IT-juristen staan voor u klaar om u te ondersteunen bij het voldoen aan de AI Act.

Neem vandaag nog contact met ons op via 010 2290 646 of vul onderstaand formulier in en wij nemen zo spoedig mogelijk contact met u op.

Op zoek naar een huisjurist in IT?

Bent u op zoek naar vaste ondersteuning van een ICT-jurist of tijdelijke ondersteuning bij het opstellen van ICT-contracten of advies bij een geschil? Ook dan bent u bij Legalz aan het juiste adres.