Per element van verantwoorde AI

Art. 5 somt de acht verboden AI-praktijken op, waaronder subliminale manipulatie, exploitatie van kwetsbare groepen, social scoring en het ongericht scrapen van gezichtsopnamen. Deze verboden zijn absoluut, gelden voor elke organisatie ongeacht grootte, en zijn van kracht sinds 2 februari 2025.

Een Fundamental Rights Impact Assessment (FRIA) onder Art. 27 wordt stap voor stap uitgevoerd: beschrijf het systeem en het doel, identificeer de betrokken personen, beoordeel de impact op elke grondrechtendimensie, bepaal de mitigerende maatregelen, en documenteer het restrisico vóór de inzet.

Art. 26.4 verplicht deployers van hoog-risico AI om te borgen dat de inputdata relevant en voldoende representatief is voor het beoogde doel van het systeem. De deployer is verantwoordelijk voor de datakwaliteit in gebruik, ook al stelt de provider de specificaties vast onder Art. 10.

Art. 26.5 verplicht deployers van hoog-risico AI om de werking van het systeem te monitoren aan de hand van de provider-instructies en om risico's en ernstige incidenten te melden. Monitoring is het vroegsignaleringsmechanisme dat aansluit op de incidentmelding van Art. 73.

Art. 5 somt de acht verboden AI-praktijken op, waaronder subliminale manipulatie, exploitatie van kwetsbare groepen, social scoring en het ongericht scrapen van gezichtsopnamen. Deze verboden zijn absoluut, gelden voor elke organisatie ongeacht grootte, en zijn van kracht sinds 2 februari 2025.

Art. 6 bepaalt hoe een hoog-risico AI-systeem wordt geclassificeerd: een systeem is hoog-risico als het een veiligheidscomponent is van een product onder Bijlage I, of binnen een van de Bijlage III-toepassingen valt. Onjuiste classificatie is zelf een overtreding, en de verantwoordelijkheid ligt bij de organisatie, niet bij de leverancier.

Art. 73 verplicht deployers en providers om ernstige incidenten met hoog-risico AI zonder onnodige vertraging te melden aan de bevoegde markttoezichthouder, voor de meeste incidenten binnen circa 15 dagen. Een incident dat ook een datalek is, moet daarnaast onder AVG Art. 33 worden gemeld.

Regulatory sandboxes onder Art. 57-63 zijn gecontroleerde omgevingen, onder toezicht van de nationale toezichthouder, waarin organisaties innovatieve AI-systemen kunnen ontwikkelen en testen met begeleiding en tijdelijke verlichting van bepaalde administratieve eisen, zonder dat de materiële waarborgen of de meldplicht bij incidenten vervallen.

Of een AI-systeem hoog-risico is, hangt af van Art. 6: het is hoog-risico als het een veiligheidscomponent onder Bijlage I is of binnen een Bijlage III-toepassing valt (zoals werkgelegenheid, krediet of essentiële diensten). De uitzondering van Art. 6.3 kan gelden wanneer het systeem slechts een beperkte, niet-doorslaggevende taak vervult.

Een mkb-bedrijf dat zelf een hoog-risico AI-systeem ontwikkelt, draagt de volledige provider-verplichtingen van Art. 8-17 EU AI Act: risicobeheer (Art. 9), datakwaliteit (Art. 10), technische documentatie (Art. 11), logging (Art. 12), transparantie (Art. 13), menselijk toezicht (Art. 14), nauwkeurigheid (Art. 15) en een kwaliteitsmanagementsysteem (Art. 17). Micro-ondernemingen mogen een vereenvoudigd formaat gebruiken.

Art. 26.4 verplicht deployers van hoog-risico AI om te borgen dat de inputdata relevant en voldoende representatief is voor het beoogde doel van het systeem. De deployer is verantwoordelijk voor de datakwaliteit in gebruik, ook al stelt de provider de specificaties vast onder Art. 10.

Art. 26.9 koppelt de EU AI Act aan de AVG: waar een gegevensbeschermingseffectbeoordeling (DPIA) vereist is onder AVG Art. 35, moeten deployers van hoog-risico AI de informatie uit de provider-documentatie gebruiken om die beoordeling te onderbouwen.

De EU AI Act en de AVG zijn complementaire maar niet identieke kaders voor AI-systemen die persoonsgegevens verwerken. Ze overlappen op transparantie, datakwaliteit, geautomatiseerde besluitvorming en impactassessments (DPIA en FRIA), maar verschillen in reikwijdte, toezicht en sanctieregime. De efficiënte aanpak is integratie: één gecombineerde DPIA/FRIA en één set leverancierscontracten.

Art. 26.7 verplicht deployers van hoog-risico AI om de personen die aan de beslissingen van het systeem zijn onderworpen te informeren dat een hoog-risico AI-systeem wordt gebruikt. Dit geldt ook zonder directe interactie, zoals bij CV-screening of kredietscoring.

Art. 26.8 verplicht deployers die overheidsinstanties zijn (of namens hen handelen) om vóór ingebruikname te verifiëren dat een hoog-risico AI-systeem in de EU-database is geregistreerd, en het niet te gebruiken als dat niet zo is.

Art. 49 verplicht providers van hoog-risico AI-systemen om het systeem in de EU-database te registreren vóór marktintroductie. De database dient zowel het markttoezicht als de publieke verantwoording, doordat burgers kunnen zien welke hoog-risico systemen in gebruik zijn.

Art. 50 van de EU AI Act verplicht deployers om mensen te informeren wanneer zij met een AI-systeem interacteren, wanneer content AI-gegenereerd is, en wanneer emotieherkenning of biometrische categorisering wordt gebruikt. De verplichting geldt vanaf 2 augustus 2026, met boetes tot €15 miljoen of 3% van de wereldwijde jaaromzet.

Kant-en-klare transparantie-templates helpen deployers om aan de EU AI Act-informatieplichten te voldoen: een chatbot-melding, een label voor AI-gegenereerde content, en een Art. 26.7-kennisgeving voor personen die aan een hoog-risico systeem zijn onderworpen. De melding moet actief en begrijpelijk zijn op het moment van interactie.

Art. 26.1 EU AI Act verplicht deployers om hoog-risico AI-systemen uitsluitend in te zetten conform de gebruiksinstructies van de provider. De verplichting omvat drie componenten: het beschikken over de instructies (conform Art. 13.3), het actief naleven ervan, en het documenteren van dat naleven. Inzet buiten de instructies kan de aansprakelijkheid volledig naar de deployer verschuiven.

Art. 26.6 verplicht deployers van hoog-risico AI om de door het systeem gegenereerde logs minimaal zes maanden te bewaren, tenzij andere wetgeving een langere termijn vereist. De logs zijn het primaire bewijs dat het systeem conform de instructies is ingezet.

Art. 26.8 verplicht deployers die overheidsinstanties zijn (of namens hen handelen) om vóór ingebruikname te verifiëren dat een hoog-risico AI-systeem in de EU-database is geregistreerd, en het niet te gebruiken als dat niet zo is.

Art. 26.9 koppelt de EU AI Act aan de AVG: waar een gegevensbeschermingseffectbeoordeling (DPIA) vereist is onder AVG Art. 35, moeten deployers van hoog-risico AI de informatie uit de provider-documentatie gebruiken om die beoordeling te onderbouwen.

Art. 27 verplicht bepaalde deployers, publieke instanties en private deployers in afgebakende sectoren zoals krediet en verzekeringen, om vóór de inzet van een hoog-risico AI-systeem een Fundamental Rights Impact Assessment (FRIA) uit te voeren, die de impact op grondrechten en de mitigerende maatregelen onderzoekt.

Art. 4 verplicht organisaties sinds 2 februari 2025 om te zorgen voor een voldoende niveau van AI-geletterdheid bij medewerkers die AI-systemen bedienen of gebruiken, in verhouding tot het systeem en de rol. De verplichting geldt voor alle AI-inzet, niet alleen hoog-risico, en moet aantoonbaar zijn.

Art. 49 verplicht providers van hoog-risico AI-systemen om het systeem in de EU-database te registreren vóór marktintroductie. De database dient zowel het markttoezicht als de publieke verantwoording, doordat burgers kunnen zien welke hoog-risico systemen in gebruik zijn.

Art. 6 bepaalt hoe een hoog-risico AI-systeem wordt geclassificeerd: een systeem is hoog-risico als het een veiligheidscomponent is van een product onder Bijlage I, of binnen een van de Bijlage III-toepassingen valt. Onjuiste classificatie is zelf een overtreding, en de verantwoordelijkheid ligt bij de organisatie, niet bij de leverancier.

Art. 73 verplicht deployers en providers om ernstige incidenten met hoog-risico AI zonder onnodige vertraging te melden aan de bevoegde markttoezichthouder, voor de meeste incidenten binnen circa 15 dagen. Een incident dat ook een datalek is, moet daarnaast onder AVG Art. 33 worden gemeld.

De AI Officer is de organisatiebrede regisseur van verantwoord AI-gebruik, breder dan een compliance-rol: de functie omvat AI-strategie, ethiek, risico en geletterdheid. De EU AI Act (Art. 26) maakt de coördinerende functie noodzakelijk, maar de behoefte aan een AI Officer reikt verder dan de wet zelf.

Voor het mkb is EU AI Act-compliance hanteerbaar maar niet optioneel: de Art. 5-verboden en Art. 4-geletterdheid gelden ongeacht grootte, en mkb-deployers van hoog-risico AI dragen de volledige Art. 26-verplichtingen in proportionele vorm. Micro-ondernemingen krijgen administratieve vereenvoudigingen, geen vrijstellingen.

Regulatory sandboxes onder Art. 57-63 zijn gecontroleerde omgevingen, onder toezicht van de nationale toezichthouder, waarin organisaties innovatieve AI-systemen kunnen ontwikkelen en testen met begeleiding en tijdelijke verlichting van bepaalde administratieve eisen, zonder dat de materiële waarborgen of de meldplicht bij incidenten vervallen.

De EU AI Act en de AVG zijn complementaire maar niet identieke kaders voor AI-systemen die persoonsgegevens verwerken. Ze overlappen op transparantie, datakwaliteit, geautomatiseerde besluitvorming en impactassessments (DPIA en FRIA), maar verschillen in reikwijdte, toezicht en sanctieregime. De efficiënte aanpak is integratie: één gecombineerde DPIA/FRIA en één set leverancierscontracten.

Een AI-beleid vertaalt de Art. 26-verplichtingen van de EU AI Act naar een werkbaar intern kader. Een EU AI Act-conform beleid bevat ten minste de scope, het Art. 5-verbod, de governance-rollen, het classificatieproces, menselijk toezicht, monitoring en logretentie, transparantie en incidentrespons.

De EU AI Act-verplichtingen per afdeling hangen af van de risicoklasse van het AI-systeem. HR-selectie en kredietscoring zijn hoog-risico (Bijlage III) met de volledige Art. 26-verplichtingen; marketing-AI en chatbots vallen meestal onder de transparantieverplichting van Art. 50. Per systeem bepaalt een Art. 6-analyse de exacte verplichting.

Een audit trail voor EU AI Act-compliance is het gestructureerde, bewaarde dossier, de combinatie van de systeemlogs (Art. 12) en de eigen toezicht- en monitoringdocumentatie van de deployer, waarmee u aan een toezichthouder kunt aantonen dat een hoog-risico AI-systeem rechtmatig is ingezet.

De eerste stappen naar EU AI Act-compliance voor deployers zijn: stel een AI-inventaris op, classificeer elk systeem aan de hand van Art. 6, vraag de provider-documentatie op, start AI-geletterdheidstraining onder Art. 4, en beleg eigenaarschap. Deze stappen leggen de basis voor de Art. 26-verplichtingen.

De EU AI Act treedt gefaseerd in werking tussen 2025 en 2028: de Art. 5-verboden en Art. 4 AI-geletterdheid golden vanaf 2 februari 2025, de Art. 50-transparantieverplichtingen vanaf 2 augustus 2026, en de volledige hoog-risico verplichtingen voor Bijlage III-systemen vanaf 2 december 2027 na de Omnibus-wijzigingen.

Een Fundamental Rights Impact Assessment (FRIA) onder Art. 27 wordt stap voor stap uitgevoerd: beschrijf het systeem en het doel, identificeer de betrokken personen, beoordeel de impact op elke grondrechtendimensie, bepaal de mitigerende maatregelen, en documenteer het restrisico vóór de inzet.

Wie een GPAI-model (zoals GPT-4, Claude of Gemini) via een API integreert, is doorgaans provider van de eigen toepassing én deployer van het GPAI-model. De sleutelvraag is of de toepassing zelf hoog-risico is (Bijlage III): zo ja, gelden de provider-verplichtingen (Art. 8-15) plus de deployer-plichten van Art. 26.

Of een AI-systeem hoog-risico is, hangt af van Art. 6: het is hoog-risico als het een veiligheidscomponent onder Bijlage I is of binnen een Bijlage III-toepassing valt (zoals werkgelegenheid, krediet of essentiële diensten). De uitzondering van Art. 6.3 kan gelden wanneer het systeem slechts een beperkte, niet-doorslaggevende taak vervult.

Een leveranciers-checklist voor AI-inkoop verifieert wat een provider moet leveren voordat u als deployer kunt voldoen: de gebruiksinstructies (Art. 13.3), de conformiteitsverklaring, de risicoclassificatie, de notificatie bij updates, en medewerking bij een toezichtsonderzoek.

Een oversight-logboek is het gelijktijdige verslag dat menselijk toezicht op een hoog-risico AI-systeem aantoont onder Art. 26.2 van de EU AI Act. Het legt per toezichtmoment vast wie de AI-output beoordeelde, wat de beslissing was en waarom, en moet minimaal zes maanden worden bewaard onder Art. 26.6.

Een mkb-bedrijf dat zelf een hoog-risico AI-systeem ontwikkelt, draagt de volledige provider-verplichtingen van Art. 8-17 EU AI Act: risicobeheer (Art. 9), datakwaliteit (Art. 10), technische documentatie (Art. 11), logging (Art. 12), transparantie (Art. 13), menselijk toezicht (Art. 14), nauwkeurigheid (Art. 15) en een kwaliteitsmanagementsysteem (Art. 17). Micro-ondernemingen mogen een vereenvoudigd formaat gebruiken.

Deelnemen aan een nationale AI regulatory sandbox onder Art. 57-63 verloopt via een gestructureerd pad: bereid een projectdossier voor, dien in tijdens een aanmeldwindow, teken een sandbox-overeenkomst met de toezichthouder, rapporteer voortgang en incidenten tijdens het testen, en lever een eindrapport op dat de basis legt voor volledige compliance.

Micro-ondernemingen (minder dan 10 medewerkers en maximaal €2 miljoen omzet) hebben onder de EU AI Act recht op vereenvoudigde provider-verplichtingen, zoals beknopte technische documentatie (Art. 11.3) en een proportioneel kwaliteitsbeleid (Art. 17.3). De materiële verplichtingen, zoals het Art. 5-verbod, menselijk toezicht en incidentmelding, blijven onverkort gelden.

Art. 26.2 EU AI Act verplicht deployers om het menselijk toezicht te implementeren dat de provider heeft voorzien (Art. 14). Het toezicht is alleen geldig als de toezichthouder voldoende AI-geletterd is (Art. 4), de bevoegdheid heeft om de AI-output te overrulen, en niet zo overbelast is dat de beoordeling louter routinematig wordt. Formeel toezicht zonder inhoudelijke beoordeling voldoet niet.

Art. 27 verplicht bepaalde deployers, publieke instanties en private deployers in afgebakende sectoren zoals krediet en verzekeringen, om vóór de inzet van een hoog-risico AI-systeem een Fundamental Rights Impact Assessment (FRIA) uit te voeren, die de impact op grondrechten en de mitigerende maatregelen onderzoekt.

Art. 4 verplicht organisaties sinds 2 februari 2025 om te zorgen voor een voldoende niveau van AI-geletterdheid bij medewerkers die AI-systemen bedienen of gebruiken, in verhouding tot het systeem en de rol. De verplichting geldt voor alle AI-inzet, niet alleen hoog-risico, en moet aantoonbaar zijn.

De AI Officer is de organisatiebrede regisseur van verantwoord AI-gebruik, breder dan een compliance-rol: de functie omvat AI-strategie, ethiek, risico en geletterdheid. De EU AI Act (Art. 26) maakt de coördinerende functie noodzakelijk, maar de behoefte aan een AI Officer reikt verder dan de wet zelf.

Wie een GPAI-model (zoals GPT-4, Claude of Gemini) via een API integreert, is doorgaans provider van de eigen toepassing én deployer van het GPAI-model. De sleutelvraag is of de toepassing zelf hoog-risico is (Bijlage III): zo ja, gelden de provider-verplichtingen (Art. 8-15) plus de deployer-plichten van Art. 26.

Een oversight-logboek is het gelijktijdige verslag dat menselijk toezicht op een hoog-risico AI-systeem aantoont onder Art. 26.2 van de EU AI Act. Het legt per toezichtmoment vast wie de AI-output beoordeelde, wat de beslissing was en waarom, en moet minimaal zes maanden worden bewaard onder Art. 26.6.