EU AI Act: wat betekent het voor jouw bedrijf?

Op 12 juli 2024 is de EU AI Act officieel gepubliceerd in het Publicatieblad van de Europese Unie (Verordening (EU) 2024/1689). De wet is op 1 augustus 2024 in werking getreden en is de eerste uitgebreide AI-verordening ter wereld. Ze is rechtstreeks van toepassing in alle EU-lidstaten — er is geen nationale omzetting nodig.

1. Wat regelt de EU AI Act?

De EU AI Act werkt met een risicogebaseerde aanpak: hoe groter het risico van een AI-systeem voor de samenleving, des te strenger de eisen. Er zijn vier risicocategorieën:

2. Voor wie geldt de EU AI Act?

De verordening is van toepassing op meerdere partijen in de keten:

• —Aanbieders (providers): bedrijven of personen die een AI-systeem ontwikkelen en op de EU-markt brengen of in gebruik stellen, ook als ze buiten de EU zijn gevestigd maar hun systeem in de EU werkt.
• —Deployers (gebruikers): organisaties die een AI-systeem inzetten voor hun eigen bedrijfsactiviteiten binnen de EU, ook als het systeem door een derde is ontwikkeld.
• —Importeurs en distributeurs: partijen die AI-systemen van buiten de EU in de EU-markt brengen of verspreiden.

Kleine en middelgrote ondernemingen (mkb) en startups vallen ook onder de wet, maar de Europese Commissie heeft maatregelen aangekondigd om de regeldruk voor deze groep te beperken, zoals vereenvoudigde documentatievereisten en toegang tot regelgevingssandboxen.

3. Verplichtingen voor hoog-risico AI-systemen

Voor aanbieders van hoog-risico AI-systemen gelden de meest uitgebreide eisen:

• —Risicomanagementsysteem:een doorlopend systeem om risico's te identificeren, analyseren en te beheersen gedurende de volledige levenscyclus van het AI-systeem.
• —Datakwaliteit en datagovernance: trainings-, validatie- en testdata moeten voldoen aan kwaliteitscriteria en relevant zijn voor het beoogde gebruik.
• —Technische documentatie: uitgebreide documentatie vóór het in gebruik stellen, zodat toezichthouders de naleving kunnen beoordelen.
• —Automatische logging: het systeem moet activiteiten automatisch vastleggen zodat resultaten traceerbaar zijn.
• —Transparantie en gebruikersinformatie: deployers en gebruikers moeten voldoende informatie krijgen om het systeem correct en veilig te kunnen gebruiken.
• —Menselijk toezicht: het systeem moet zodanig zijn ontworpen dat een mens de werking kan monitoren, onderbreken of corrigeren.
• —Nauwkeurigheid, robuustheid en cyberveiligheid: het systeem moet een consistent prestatieniveau behalen en bestand zijn tegen fouten en aanvallen.
• —Conformiteitsbeoordeling en CE-markering: vóór marktintroductie moet een conformiteitsbeoordeling worden uitgevoerd. In veel gevallen kan de aanbieder dit zelf uitvoeren; voor sommige toepassingen is een notified body verplicht.
• —Registratie in EU-database: hoog-risico AI-systemen moeten worden geregistreerd in een door de EU beheerde openbare database vóór marktintroductie.

4. General Purpose AI (GPAI)-modellen

De AI Act bevat aparte regels voor zogenoemde General Purpose AI (GPAI)-modellen — grote taalmodellen en andere fundamentele modellen die voor meerdere doeleinden kunnen worden ingezet, zoals GPT-4, Claude of Gemini.

Alle aanbieders van GPAI-modellen die in de EU beschikbaar zijn moeten:

• —Technische documentatie opstellen en bijhouden.
• —Informatie aan downstreamaanbieders beschikbaar stellen.
• —Een beleid voeren dat Europees auteursrecht respecteert.
• —Een samenvatting publiceren van de trainingsdata die voor auteursrechtelijk beschermd materiaal is gebruikt.

Voor GPAI-modellen met systemisch risico — modellen getraind met meer dan 10²⁵ FLOP (een rekenmaatstaf) — gelden aanvullende verplichtingen, waaronder het uitvoeren van adversarial testing (red-teaming), het melden van ernstige incidenten aan de Europese Commissie en het nemen van cyberveiligheidsmaatregelen.

5. Tijdlijn: wanneer gelden welke regels?

De EU AI Act wordt gefaseerd van kracht. De verordening kende een inwerkingtreding op 1 augustus 2024; daarna gelden de volgende deadlines:

6. Sancties bij overtredingen

De AI Act voorziet in aanzienlijke boetes:

Bij mkb-bedrijven en startups geldt het lagere bedrag van de twee grenzen. Bij grote ondernemingen geldt het hogere bedrag.

7. Wat moet jouw bedrijf concreet doen?

Een eerste stap voor elk bedrijf dat AI inzet of ontwikkelt is een AI-inventarisatie: breng in kaart welke AI-systemen je gebruikt, ontwikkelt of inzet en bepaal voor elk systeem in welke risicocategorie het valt.

• —Gebruik je uitsluitend minimaal-risico AI (bijv. spellingscorrectie, aanbevelingssystemen voor interne tools)? Dan gelden er vanuit de AI Act geen specifieke verplichtingen, maar controleer wel of andere wetgeving (AVG, sectorspecifiek) van toepassing is.
• —Zet je chatbots of andere AI-interfaces in richting klanten of medewerkers? Zorg dan voor duidelijke communicatie dat de gebruiker met een AI-systeem interageert (transparantieplicht, verplicht per 2 augustus 2026).
• —Gebruik of ontwikkel je hoog-risico AI (bijv. voor cv-selectie, kredietbeoordeling of kritieke operationele beslissingen)? Start dan tijdig met de vereiste risicoanalyse, documentatie en governance. Dit vergt doorgaans meerdere maanden voorbereiding.
• —Bouw je AI-producten voor de markt? Dan ben je aanbieder en gelden de zwaarste verplichtingen. Zorg voor technische documentatie, een conformiteitsbeoordeling en registratie in de EU-database vóór marktintroductie.

8. Wie houdt toezicht?

Elke EU-lidstaat wijst een of meerdere nationale toezichthouders aan. In Nederland is dit naar verwachting de Autoriteit Persoonsgegevens (AP) in combinatie met sectorspecifieke toezichthouders. Op Europees niveau speelt het AI Office bij de Europese Commissie een centrale rol, met name voor het toezicht op GPAI-modellen. Het AI Office is per 21 mei 2024 operationeel.