Door:

Bastiaan Kolster

They Ask, You Answer Coach

Leestijd: +/- 9 min

24 december 2024

Deel dit item:

De AI Act 2025: Wat betekent deze wet voor jouw bedrijf en hoe bereid je je voor?

Een witte robot bekijkt een tablet tegen een achtergrond van blauwe computercode. De robot heeft een gladde, futuristische vormgeving met een rond hoofd en mechanische armen.

Als ondernemer of marketeer die AI tools zoals ChatGPT en Midjourney gebruikt, heb je misschien al gehoord dat de AI Act eraan komt. Met alle verschillende deadlines, risiconiveaus en compliance-eisen zie je misschien door de bomen het bos niet meer. Je vraagt je af wat deze wetgeving betekent voor je dagelijkse praktijk en wat je nu moet doen om je bedrijf voor te bereiden.

Als digital sales- en marketingcoach/-trainer bij Buzzlytics help ik bedrijven en marketingteams dagelijks met het verantwoord inzetten van AI. Vanuit m’n praktijkervaring met onze AI-workshop en ons TAYA Mastery-traject zie ik precies waar organisaties tegenaan lopen bij het verantwoord inzetten van AI.

In dit artikel maak ik de AI Act begrijpelijk en praktisch toepasbaar. Na het lezen weet je precies wat de AI Act is, welke tools in welke risicocategorie vallen en welke stappen je wanneer moet zetten om compliant te worden. Zo kun je AI toepassen zonder zorgen over boetes of reputatieschade.

Let op: dit artikel is bedoeld om jou te informeren over de AI Act, maar wij zijn geen juristen. Voor advies voor jouw specifieke situatie adviseren we je contact op te nemen met een jurist met expertise op dit vlak.

Hoe hoger het risico voor mensen, hoe strenger de regels.

Wat is de AI Act en waarom is deze belangrijk?

De AI Act is de eerste uitgebreide Europese wetgeving specifiek gericht op kunstmatige intelligentie. Het doel ervan is zorgen dat AI-systemen veilig en betrouwbaar zijn, zonder daarbij innovatie in de weg te staan. De wet hanteert verschillende risiconiveaus – hoe hoger het risico voor mensen, hoe strenger de regels.

De kern van de wet draait om risicobeoordeling, bescherming en vertrouwen. Door alle AI-toepassingen in te delen in risicocategorieën, zorgt de wet ervoor dat AI geen schade veroorzaakt of mensenrechten schendt. Met duidelijke regels weten bedrijven waar ze aan toe zijn en kunnen gebruikers erop vertrouwen dat AI eerlijk en veilig werkt.

Wat betekent de AI Act concreet voor bedrijven en hoe kun je je voorbereiden?

Heel concreet betekent de wet op korte termijn dat per februari 2025 het gebruik van AI tools met een onacceptabel risiconiveau verboden worden.

Dit zijn, onder andere, AI tools die:

  • mensen manipuleren zonder dat ze het doorhebben
  • kwetsbare groepen uitbuiten
  • social scoring toepassen
  • gezichtsherkenning gebruiken in openbare ruimtes (met uitzonderingen voor veiligheid)

Hier vind je een volledige lijst met praktijken die vanaf 2 februari 2025 verboden zijn.

De kans is erg klein dat de gemiddelde onderneming hierdoor anders moet gaan handelen. Wel is het een goed idee om te beginnen met het documenteren van de tools die je gebruikt en wat het risiconiveau hiervan is.

Vanaf februari 2025 is het gebruik van AI tools met een onacceptabel hoog risico verboden.

Welke AI-toepassingen vallen onder de nieuwe wet?

De wet onderscheidt vier risiconiveaus: onaanvaardbaar, hoog, beperkt en minimaal.

Hieronder vind je een toelichting van de verschillende niveaus en wanneer de wetgeving per risiconiveau ingaat.

Onaanvaardbaar risico (verboden vanaf februari 2025)

Vanaf februari 2025 verbiedt de AI Act technologie die onbewust mensen manipuleert of kwetsbare groepen uitbuit. Voor de gemiddelde ondernemer betekent dit zoals hierboven gezegd weinig, aangezien deze AI-systemen nauwelijks voorkomen in normale bedrijfsvoering. Wel is het verstandig om je marketingtools te controleren op verborgen beïnvloedingstechnieken.

Hoog risico (onder strenge voorwaarden vanaf februari 2026)

Een jaar later, in februari 2026, volgen strenge regels voor AI met hoog risico. Dit raakt wel veel bedrijven.

AI tools met dit risiconiveau kunnen de rechten, gezondheid of veiligheid van burgers schaden. Dit is het geval als je generatieve AI gebruikt om beslissingen over mensen te nemen.

Gebruik je bijvoorbeeld AI voor recruitment? Dan moet een mens altijd meekijken met beslissingen. Verder moet je voor populaire tools als ChatGPT bijhouden hoe je ze inzet en je medewerkers trainen in verantwoord gebruik. Ook systemen die kredietwaardigheid beoordelen vallen hieronder – je moet kunnen uitleggen hoe beslissingen tot stand komen.

Als je AI tools gebruikt voor recruitment, moet een mens vanaf februari 2026 meekijken met je beslissingen.

Beperkt risico (transparantie vereist vanaf augustus 2025)

Vanaf augustus 2025 gelden er nieuwe regels voor AI met beperkt risico, zoals chatbots en deepfakes. De impact hiervan is praktisch: je moet gebruikers direct laten weten dat ze met AI te maken hebben. Voor chatbots, bijvoorbeeld, betekent dit dat je gebruikers aan het begin van het gesprek moet melden dat ze contact hebben met een chatbot. En bij deepfakes moet duidelijk aangegeven worden dat de content door AI is gemaakt.

Minimaal risico (geen extra regels)

Voor basis AI-toepassingen zoals spamfilters en spellingcontrole verandert er niets. Toch is het verstandig om bij te houden welke systemen je gebruikt. Dit helpt je om compliant te blijven als de regels veranderen of als je later meer geavanceerde AI tools gaat gebruiken.

In 2027 en 2030 volgen nog deadlines voor specifieke situaties, zoals AI in producten en overheidssystemen. Voor de meeste bedrijven zijn de deadlines in 2025 en 2026 het meest relevant.

Begin tijdig met de voorbereiding op deze veranderingen. Focus eerst op transparantie en documentatie, en werk daarna toe naar de uitgebreidere eisen voor 2026.

Gebruik je chatbots? Dan moet je gebruikers vanaf augustus 2025 melden dat ze met een chatbot praten.

Praktische implementatie: zo word je AI Act-proof

Hoe bereid je je nu voor op de AI Act? Hieronder vind je een concreet stappenplan.

Stap 1: Inventarisatie (Q4 2024)

Breng alle AI-systemen die je gebruikt in kaart. Kijk naar je eigen tools, software van leveranciers en systemen die externe partners namens jou gebruiken. Documenteer per systeem de naam, de leverancier, het gebruiksdoel en waar nodig de afdeling/externe partner die de tool gebruikt.

Stap 2: Risicoclassificatie (Q4 2024)

Bepaal voor elk systeem het risiconiveau. Let op: één systeem kan verschillende classificaties hebben, afhankelijk van het gebruik.

Weet je niet waar je moet beginnen bij het kwalificeren van je AI-tools? Volg dan het volgende stappenplan:

1. Neem contact op met je leverancier

De eenvoudigste eerste stap is contact opnemen met je AI-leveranciers. Zij zijn verplicht het risiconiveau van hun tools te kennen en kunnen je vertellen in welke categorie jouw gebruik valt.

2. Gebruik de officiële checklist

De tweede optie is door gebruik te maken van de online compliance checker. Deze tool stelt gerichte vragen over je AI-systeem en bepaalt op basis daarvan het risiconiveau.

Via deze tool kun je ook extra informatie vinden over de specifieke regelgeving die op jou van toepassing zijn. Er is namelijk verschil tussen developers van AI-tools, bedrijven die AI-tools implementeren in hun eigen software, en bedrijven die enkel kant-en-klare software gebruiken.

Breng alle AI-systemen die je gebruikt in kaart.

3. Pas deze vuistregels toe

De derde manier is om het systeem zelf te beoordelen aan de hand van deze criteria.

Onaanvaardbaar risico:

Als je AI-systeem:

  • mensen onbewust beïnvloedt
  • kwetsbare groepen uitbuit
  • social scoring toepast
  • gezichtsherkenning gebruikt in openbare ruimtes

Hoog risico:

Als je AI-systeem:

  • belangrijke beslissingen neemt over mensen (zoals bij recruitment)
  • gebruikt wordt voor onderwijs of beroepsopleiding
  • kredietwaardigheid beoordeelt

Beperkt risico:

Als je AI-systeem:

  • direct met mensen communiceert (zoals chatbots)
  • content genereert (zoals deepfakes)
  • emoties analyseert

Minimaal risico:

Als je AI-systeem:

  • basistaken uitvoert (zoals spamfilters)
  • ondersteunend werk doet (zoals spellingcontrole)
  • algemene aanbevelingen doet

Voeg de risicokwalificatie toe aan de documentatie en werk deze periodiek bij, zodat je lijst altijd up-to-date is. Als je gebruikmaakt van AI tools met een onacceptabel risico, stop daar dan per direct mee.

Documenteer je maatregelen, zodat je deze makkelijk kunt aantonen bij een audit.

Stap 3: Compliance 2025 (Q4 2024)

Bereid je voor op de eerste deadline. Stop met systemen die onder ‘onaanvaardbaar risico’ vallen en implementeer transparantie-eisen voor AI met beperkt risico.

Stap 4: Quick wins (Q2-3 2025)

Begin met eenvoudige aanpassingen. Zorg dat chatbots zich identificeren als AI en controleer marketing tools op verboden beïnvloedingstechnieken. Documenteer in het overzicht de maatregelen die je hebt getroffen.

Stap 5: Voorbereiding 2026 (Q3-Q4 2025)

Als je systemen gebruikt met een hoog risico, zoals ChatGPT of recruitment tools, moet je voldoen aan specifieke eisen.

Hier zijn de belangrijkste voorbereidingen:

Technische en organisatorische maatregelen

  • Gebruik AI-systemen altijd volgens de instructies van de leverancier
  • Zorg voor passende technische beveiliging
  • Stel duidelijke procedures op voor gebruik

Menselijk toezicht

  • Wijs gekwalificeerde medewerkers aan voor toezicht
  • Zorg dat deze mensen de juiste training en bevoegdheden hebben
  • Bied voldoende ondersteuning aan toezichthouders

Datakwaliteit en -monitoring

  • Controleer of inputdata relevant en representatief is
  • Monitor continu hoe het AI-systeem functioneert
  • Houd logbestanden minimaal 6 maanden bij
  • Meld incidenten direct bij leverancier en autoriteiten

Transparantie

  • Informeer werknemers vooraf over AI-gebruik op de werkvloer
  • Zorg dat mensen weten wanneer ze met AI te maken hebben
  • Documenteer beslissingen die door AI worden ondersteund

Begin op tijd met deze voorbereidingen – de deadline van augustus 2026 lijkt ver weg, maar deze aanpassingen kosten tijd om goed te implementeren.

Documenteer je maatregelen, zodat je deze makkelijk kunt aantonen bij een audit. De beste aanpak hierbij verschilt per bedrijf. Grotere bedrijven zullen in de praktijk eerder risicoanalyses- en documentatie bijhouden per losse tool. Kleinere bedrijven zullen eerder projectmatig werken en ‘clusters’ maken van verschillende AI tools.

Stap 6: Monitoring en bijsturing (doorlopend)

Controleer regelmatig of je nog aan alle eisen voldoet. Pas processen aan waar nodig en blijf op de hoogte van nieuwe ontwikkelingen in de wet- en regelgeving. Er is nog veel onduidelijk, met name hoe de audit uitgevoerd zal worden.

Door dit stappenplan te volgen, werk je systematisch toe naar compliance met de AI Act. Begin vandaag nog – een goede voorbereiding zorgt ervoor dat je straks niet voor verrassingen komt te staan.

Met een goede voorbereiding kom je straks niet voor verrassingen te staan.

Aan de slag met de AI Act

De AI Act roept vragen op, maar biedt ook kansen. Nu heb je een helder beeld van de regels en een praktische aanpak hoe je AI kan blijven inzetten op een manier die zowel effectief als verantwoord is. De wetgeving vormt geen belemmering, zolang je bewust keuzes maakt en transparant handelt.

Bij Buzzlytics geloven we dat AI jouw bedrijf kan versterken zonder dat je hoeft in te leveren op je creativiteit of kwaliteit.

Onze AI-workshop biedt je praktische handvatten en inzichten om AI te integreren in je sales- en marketingstrategie. Ben je klaar om AI verder te integreren in jouw organisatie? Meld je dan hier aan voor de AI-workshop of lees eerst het artikel Is de AI-workshop van Buzzlytics iets voor mij? voor meer informatie over of de workshop bij jou en je organisatie past.