Kunstmatige intelligentie is geen ver-van-je-bed-show meer. AI-tools zoals ChatGPT, Midjourney en AI-analysesystemen zitten inmiddels in de dagelijkse praktijk van bijna elke organisatie. Maar met die groei komt ook regelgeving. De grootste verandering? De EU AI Act.

Sinds februari 2025 is deze wet officieel van kracht. En vanaf augustus 2025 wordt hij actief gehandhaafd. Organisaties die werken met AI moeten kunnen aantonen dat ze technologie veilig, eerlijk en transparant inzetten.

Maar wat staat er precies in de AI Act? Wat moet je als organisatie regelen? En wat betekent het concreet voor jouw werk? Dit is de ultieme gids — speciaal geschreven voor professionals in HR, compliance, management en andere businessfuncties die AI niet langer als optie maar als noodzaak zien.

 

1. Wat is de EU AI Act?

De EU AI Act is de eerste uitgebreide wetgeving ter wereld die regels oplegt voor het ontwikkelen, verkopen en gebruiken van AI-systemen. Het doel is simpel:

• Risico’s beperken

• Mensenrechten beschermen

• Innovatie stimuleren zonder veiligheid uit het oog te verliezen

De AI Act is onderdeel van de bredere digitale strategie van de EU. Denk aan vergelijkbare wetgeving zoals de GDPR, maar dan specifiek voor kunstmatige intelligentie.

Belangrijk: De AI Act kijkt niet alleen naar ontwikkelaars. Ook bedrijven die AI gebruiken in hun processen vallen onder de regels.

→ Lees ook Wat is AI-geletterdheid?

 

2. Risk Classification onder de AI Act

Het zogenaamde risicogebaseerd model is onderdeel van de AI Act. Dat betekent: hoe groter het risico, hoe zwaarder de regels. Er zijn vier categorieën:

Minimal risk

• Spraakassistenten

• Spamfilters

• AI-functies in games

Hier gelden nauwelijks verplichtingen.

Limited risk

• Chatbots

• Generatieve AI zoals ChatGPT (voor niet-kritische taken)

Hier moet je bijvoorbeeld gebruikers informeren dat ze met een AI-systeem praten.

High-risk AI

Dit is de belangrijkste categorie. Hier vallen systemen onder die grote invloed kunnen hebben op mensenrechten of veiligheid, bijvoorbeeld:

• AI-systemen voor HR-beslissingen (werving, promotie)

• Scoringssystemen voor kredietwaardigheid

• AI in kritieke infrastructuur

• Toegang tot essentiële diensten (scholing, werk, huisvesting)

Voor deze systemen gelden zware verplichtingen:

• Risicoanalyses

• Gedetailleerde documentatie

• Mogelijkheid tot audits

• Menselijke toezichtmechanismen

→ Lees ook Wat zijn high-risk AI-systemen volgens de EU AI Act?

Prohibited AI

Sommige AI-toepassingen worden helemaal verboden. Denk aan:

• AI die mensen manipuleert of uitbuit

• Biometrische categorisatie (ras, religie, politieke voorkeur)

• Sociale scoring zoals in China

Gebruik je zulke systemen toch? Dan loop je risico op hoge boetes.

→ Lees meer in Welke AI-systemen zijn verboden onder de AI Act?

 

3. High-risk AI-systemen: wie moet opletten?

Veel organisaties denken dat de AI Act alleen geldt voor techbedrijven. Dat klopt niet. Ook gebruikers zoals HR, finance, of klantenservice moeten opletten. Bijvoorbeeld:

• HR: Gebruik je AI voor cv-screening of sollicitatiegesprekken? Dat is waarschijnlijk high-risk.

• Finance: Laat je AI kredietscores berekenen? High-risk.

• Zorg: AI-diagnosehulpmiddelen? High-risk.

De kernvraag: kan jouw AI significant invloed hebben op mensenrechten of belangrijke levenskeuzes? Dan val je al snel in de high-risk categorie.

→ Lees ook AI Act en HR: wat moet je als HR-professional weten?

 

4. Documentatie en auditvereisten

Werk je met high-risk AI? Dan moet je je voorbereiden op:

✅ Risk assessments – inzicht in risico’s en maatregelen

✅ Gedetailleerde technische documentatie

✅ Mogelijkheid tot audits

✅ Bewijs van menselijke toezichtmechanismen

✅ Informatievoorziening aan gebruikers

Een audit kan onverwacht komen, net zoals bij de GDPR. Zorg dus dat je dossier op orde is.

→ Meer weten? Lees Documentatie-eisen onder de EU AI Act uitgelegd

 

5. AI Act vs GDPR: hoe verschillen ze?

Beide wetten beschermen mensen tegen risico’s van technologie, maar verschillen toch:

• GDPR → draait om persoonsgegevens

• AI Act → draait om hoe AI-systemen beslissingen nemen

In de praktijk vullen ze elkaar vaak aan. Bijvoorbeeld:

• Gebruik je AI op persoonsgegevens? → Je valt onder beide wetten.

• Doe je enkel procesoptimalisatie zonder persoonsgegevens? → Dan mogelijk alleen de AI Act.

 

6. Praktische stappen naar compliance

Deze wetgeving klinkt misschien complex, maar dit zijn je eerste stappen:

✅ Identificeer waar je AI gebruikt.

• Welke tools zijn in gebruik?

• Valt iets in high-risk?

✅ Voer een risk assessment uit.

• Kijk naar impact op mensenrechten, privacy, veiligheid.

✅ Documenteer alles.

• Toon aan dat je je bewust bent van risico’s.

• Wees voorbereid op audits.

✅ Train medewerkers.

• AI-geletterdheid is verplicht onder de wet.

• Medewerkers moeten weten hoe AI werkt en waar de risico’s liggen.

→ Bekijk onze AI-geletterdheid training voor teams of Masterclass voor leidinggevenden.

 

7. Veelgestelde vragen over de AI Act

Moet elk bedrijf iets doen met de AI Act?

Ja, als je AI gebruikt. Zelfs simpele chatbots kunnen onder limited risk vallen.

Wat zijn de boetes?

Bij high-risk overtredingen kunnen boetes oplopen tot €35 miljoen of 7% van de wereldwijde omzet.

Geldt dit ook voor kleine bedrijven?

Ja. Alleen de omvang van verplichtingen kan verschillen. Maar ook kleine bedrijven moeten risico’s beoordelen en gebruikers informeren.

→ Bekijk AI Act compliance checklist voor kleine bedrijven

 

8. Conclusie: waarom nú actie nodig is

De EU AI Act is geen theoretische wet — hij verandert hoe je werkt. Organisaties die nu niets doen, lopen straks niet alleen risico op boetes, maar ook op reputatieschade.

AI-geletterdheid is de sleutel. Want wetten volgen begint bij mensen die begrijpen hoe AI werkt.

Wil je jouw organisatie voorbereiden? Begin vandaag. Want AI is er niet morgen. Het is er nú.

→ Bekijk onze AI-geletterdheid training voor teams