De EU AI Act (Verordening (EU) 2024/1689) is de Europese verordening die verplichte eisen stelt aan wie AI ontwikkelt, op de markt brengt of gebruikt binnen de EU. Sinds 1 augustus 2024 in werking, gefaseerd tot in 2026 (EUR-Lex, 2024).
De verordening volgt een risicogerichte aanpak: hoe groter het risico van een AI-systeem voor gezondheid, veiligheid of grondrechten, hoe strenger de eisen. Systemen met een onaanvaardbaar risico zijn verboden, systemen met een hoog risico krijgen strenge verplichtingen.
De EU AI Act geldt niet in één keer voor iedereen. De verplichtingen treden gefaseerd in werking, verspreid over 2025 en 2026, met verschillende data voor verschillende typen AI-systemen (EUR-Lex, 2024).
De verordening geldt voor partijen die AI-systemen ontwikkelen, op de markt brengen of gebruiken binnen de EU, ongeacht waar de aanbieder is gevestigd. Ook een organisatie buiten de EU valt eronder zodra de output van het AI-systeem in de EU wordt gebruikt.
Begin daarom met het in kaart brengen van welke AI-systemen je organisatie gebruikt of aanbiedt, zodat je weet in welke risicocategorie ze vallen en welke verplichtingen daarbij horen.
Wat is de EU AI Act?
De EU AI Act, formeel Verordening (EU) 2024/1689, is de eerste brede Europese wetgeving die specifiek gericht is op kunstmatige intelligentie. De verordening stelt eisen aan AI-systemen op basis van het risico dat ze vormen, niet op basis van de technologie of de sector waarin ze worden gebruikt.
De verordening is op 1 augustus 2024 in werking getreden (EUR-Lex, 2024). Vanaf dat moment loopt de klok voor de gefaseerde toepassing van de verschillende verplichtingen.
Het doel van de verordening is tweeledig: burgers en organisaties beschermen tegen de risico’s van AI, en tegelijk een betrouwbaar kader bieden waarbinnen AI-toepassingen in de EU kunnen groeien. De verordening richt zich daarom vooral op de toepassing van AI, niet op de onderliggende techniek.
Voor wie geldt de EU AI Act?
De EU AI Act geldt voor vier soorten partijen in de keten rond een AI-systeem dat op de Europese markt wordt gebracht of gebruikt:
- Aanbieders (providers): organisaties die een AI-systeem ontwikkelen of laten ontwikkelen en het onder eigen naam op de markt brengen.
- Gebruiksverantwoordelijken (deployers): organisaties die een AI-systeem in de praktijk inzetten, bijvoorbeeld voor werving, kredietbeoordeling of klantcontact.
- Importeurs: partijen die een AI-systeem van buiten de EU op de Europese markt brengen.
- Distributeurs: partijen die een AI-systeem in de EU beschikbaar stellen zonder het zelf te ontwikkelen of te importeren.
De concrete verplichtingen verschillen sterk per partij en schalen mee met de risicocategorie van het AI-systeem. Een aanbieder van een hoog-risicosysteem heeft aanzienlijk meer verplichtingen dan een gebruiksverantwoordelijke van datzelfde systeem.
Is de EU AI Act verplicht?
Ja, de EU AI Act is verplicht. Het zit zo:
- Een verordening, geen richtlijn. De EU AI Act is een Europese verordening en daarmee rechtstreeks van toepassing in alle lidstaten, zonder dat nationale wetgeving eraan te pas hoeft te komen (EUR-Lex, 2024).
- Gefaseerde inwerkingtreding. De verplichtingen rond verboden AI-praktijken gelden vanaf 2 februari 2025. De verplichtingen voor AI-modellen voor algemene doeleinden gelden vanaf 2 augustus 2025. Het merendeel van de verplichtingen voor hoog-risicosystemen geldt vanaf 2 augustus 2026 (EUR-Lex, 2024).
- Handhaving met sancties. Nationale toezichthouders houden toezicht en kunnen boetes opleggen bij overtreding, met de hoogte afhankelijk van de aard van de overtreding.
Welke verplichtingen concreet gelden, hangt af van de risicocategorie van het AI-systeem en van de rol die de organisatie erin speelt.
Hoe werkt de risicoclassificatie van de EU AI Act?
De EU AI Act deelt AI-systemen in naar vier risicocategorieën, met oplopende verplichtingen:
- Onaanvaardbaar risico: AI-praktijken die zijn verboden, zoals social scoring door overheden en bepaalde vormen van biometrische identificatie op afstand in de openbare ruimte.
- Hoog risico: systemen die worden ingezet in gevoelige contexten zoals werving, kredietverlening, onderwijs of kritieke infrastructuur. Deze systemen krijgen strenge verplichtingen, waaronder een conformiteitsbeoordeling en verplichte documentatie.
- Beperkt risico: systemen waarvoor transparantieverplichtingen gelden, zoals het kenbaar maken dat content door AI is gegenereerd of dat een gebruiker met een chatbot in plaats van een mens communiceert.
- Minimaal risico: de grootste groep AI-systemen, waarvoor de verordening geen specifieke verplichtingen oplegt.
De risicocategorie van een AI-systeem bepaalt direct de zwaarte van de verplichtingen. Niet elk AI-systeem binnen dezelfde organisatie valt in dezelfde categorie.
EU AI Act vs andere normen
De EU AI Act staat niet op zichzelf en vervangt de AVG en NIS2 niet. De verordening vult ze aan, met een eigen invalshoek.
De AVG regelt de bescherming van persoonsgegevens; de EU AI Act regelt de risico’s van AI-systemen, ongeacht of er persoonsgegevens bij betrokken zijn. Een AI-systeem dat persoonsgegevens verwerkt, moet daarom aan beide voldoen: de AVG voor de gegevensverwerking, de EU AI Act voor het systeem zelf.
NIS2 regelt de cyberbeveiliging van organisaties in kritieke en belangrijke sectoren. Een organisatie die onder NIS2 valt en AI-systemen gebruikt, moet daarnaast apart beoordelen of die systemen onder de EU AI Act vallen en in welke risicocategorie.
Welke combinatie van AVG, NIS2 en de EU AI Act van toepassing is, hangt af van wat het AI-systeem doet en welke gegevens het verwerkt. Voor de meeste organisaties is dat een beoordeling per systeem, niet een vaste regel die voor de hele organisatie in één keer geldt.
Zo helpt ClickOn met de EU AI Act
ClickOn richt zich op de technische IT-omgeving en de Microsoft 365-configuratie rond AI-systemen, niet op de juridische classificatie van een AI-systeem in een risicocategorie. Die classificatie is specialistisch juridisch werk en hoort thuis bij een jurist of compliance-adviseur.
Wat ClickOn wel doet: de technische omgeving zo inrichten dat toegang, logging, back-up en beveiliging rond AI-toepassingen op orde zijn, ongeacht welke risicocategorie een jurist toekent. De Compliance Sprint brengt die technische basis binnen 30 dagen audit-klaar, voor een vaste prijs per werkplek.
Met compliant werkplekbeheer (PremiumOn) blijft het daarna werken: Microsoft 365-werkplekken inclusief 24/7 bewaking en support, voor €148 per werkplek per maand, met een werkplek binnen 24 uur compliant ingericht.
ClickOn is ISO 27001-gecertificeerd sinds 2021 en heeft 100 procent van 25 audits doorstaan, vanuit Pelmolenlaan 17A in Woerden (3447 GW). Die basis in informatiebeveiliging is dezelfde basis die nodig is om AI-systemen technisch veilig in te richten.
Wil je weten of je IT-omgeving klaar is voor AI-systemen onder de EU AI Act? Start de Compliance Sprint Bekijk compliant werkplekbeheer
Veelgestelde vragen over de EU AI Act
Is de EU AI Act verplicht?
Ja. De EU AI Act is een Europese verordening en daarmee rechtstreeks verplicht in alle lidstaten, zonder dat er nationale wetgeving voor nodig is. De verplichtingen gelden wel gefaseerd: vanaf 2 februari 2025 voor verboden praktijken, vanaf 2 augustus 2025 voor AI-modellen voor algemene doeleinden en vanaf 2 augustus 2026 voor het merendeel van de hoog-risicoverplichtingen (EUR-Lex, 2024).
Voor wie geldt de EU AI Act?
De EU AI Act geldt voor aanbieders, gebruiksverantwoordelijken, importeurs en distributeurs van AI-systemen die op de Europese markt worden gebracht of gebruikt. Ook organisaties buiten de EU vallen eronder zodra de output van hun AI-systeem in de EU wordt gebruikt.
Wat zijn de risicocategorieën van de EU AI Act?
De EU AI Act kent vier risicocategorieën: onaanvaardbaar risico (verboden), hoog risico (strenge verplichtingen zoals conformiteitsbeoordeling en documentatie), beperkt risico (transparantieverplichtingen) en minimaal risico (geen specifieke verplichtingen).
Wat is het verschil tussen de EU AI Act en de AVG?
De AVG beschermt persoonsgegevens; de EU AI Act reguleert de risico’s van AI-systemen. Een AI-systeem dat persoonsgegevens verwerkt, moet aan beide voldoen: de AVG voor de gegevensverwerking en de EU AI Act voor het systeem zelf.
Wanneer moet mijn organisatie voldoen aan de EU AI Act?
Dat hangt af van welk type verplichting van toepassing is. Verboden AI-praktijken golden al vanaf 2 februari 2025, verplichtingen voor AI-modellen voor algemene doeleinden vanaf 2 augustus 2025, en het merendeel van de verplichtingen voor hoog-risicosystemen vanaf 2 augustus 2026 (EUR-Lex, 2024).