EU AI Act: wat je moet weten

De EU AI Act: de eerste AI-wet ter wereld

De Europese Unie heeft met de AI Act de eerste uitgebreide wetgeving ter wereld aangenomen die specifiek gericht is op kunstmatige intelligentie. De verordening is op 1 augustus 2024 in werking getreden en wordt stapsgewijs van kracht tot 2027. Voor MKB-bedrijven die AI gebruiken of willen gaan gebruiken, is het essentieel om te begrijpen wat deze wet inhoudt en wat je moet doen om eraan te voldoen.

Kern van de wet: risico-gebaseerde aanpak

De AI Act classificeert AI-systemen in vier risicocategorieen. Hoe hoger het risico, hoe strenger de eisen:

Onaanvaardbaar risico (verboden)

Bepaalde AI-toepassingen zijn simpelweg verboden in de EU:

• Social scoring door overheden (het beoordelen van burgers op basis van hun gedrag).
• Real-time biometrische identificatie in openbare ruimtes door rechtshandhaving (met beperkte uitzonderingen).
• AI die gebruikmaakt van subliminal techniques om gedrag te manipuleren.
• AI die kwetsbaarheden van specifieke groepen exploiteert (kinderen, mensen met beperkingen).
• Het scrapen van gezichtsbeelden van internet of beveiligingscamera's voor gezichtsherkenningsdatabases.
• Emotieherkenning op de werkplek en in onderwijsinstellingen (met beperkte uitzonderingen).

Relevantie voor MKB: De meeste MKB-bedrijven zullen niet met deze categorie te maken krijgen, maar het is goed om te weten dat deze grenzen bestaan.

Hoog risico

Dit is de categorie waar de meeste regels gelden. AI-systemen worden als hoog risico beschouwd als ze worden ingezet voor:

• Werving en selectie – AI die cv's screent, sollicitanten rangschikt of selectiebeslissingen ondersteunt.
• Kredietbeoordeling – AI die bepaalt of iemand een lening of krediet krijgt.
• Onderwijs – AI die studenten beoordeelt of de toegang tot onderwijs bepaalt.
• Kritieke infrastructuur – AI in energienetwerken, water, verkeer.
• Rechtshandhaving – AI voor risicobeoordeling of bewijsanalyse.
• Biometrische identificatie – Gezichtsherkenning en andere biometrische systemen.

Voor hoog-risico AI-systemen gelden strenge eisen op het gebied van risicobeheer, datakwaliteit, transparantie, menselijk toezicht en nauwkeurigheid.

Beperkt risico (transparantieverplichtingen)

Voor bepaalde AI-systemen gelden specifieke transparantieverplichtingen:

• Chatbots – Gebruikers moeten weten dat ze met een AI communiceren, niet met een mens.
• Deepfakes – AI-gegenereerde of gemanipuleerde content moet als zodanig worden gelabeld.
• Emotieherkenning – Wanneer emotieherkenning wordt toegepast (waar toegestaan), moeten mensen hierover worden geinformeerd.
• Generatieve AI – AI-gegenereerde tekst die wordt gepubliceerd met als doel het publiek te informeren moet als zodanig worden gemarkeerd.

Relevantie voor MKB: Als je een AI-chatbot op je website hebt, moet je duidelijk aangeven dat het om een AI gaat. Dit is relatief eenvoudig te implementeren.

Minimaal risico

De meeste AI-toepassingen vallen in deze categorie en zijn vrij van specifieke verplichtingen onder de AI Act. Denk aan:

• Spamfilters.
• AI-gestuurde productaanbevelingen.
• AI voor interne tekstgeneratie en -bewerking.
• Voorraadoptimalisatie.
• AI voor data-analyse en rapportage.

Relevantie voor MKB: Het merendeel van de AI-toepassingen die MKB-bedrijven gebruiken valt in deze categorie. Je bent vrij om deze te gebruiken, maar de Europese Commissie moedigt aan om vrijwillig de principes van betrouwbare AI toe te passen.

Verplichtingen voor general-purpose AI (GPAI)

Een apart hoofdstuk in de AI Act gaat over general-purpose AI-modellen, zoals de grote taalmodellen achter ChatGPT, Claude en Gemini. De verplichtingen richten zich primair op de aanbieders van deze modellen (OpenAI, Anthropic, Google), niet op de gebruikers. Maar het is goed om te weten dat:

• Aanbieders moeten technische documentatie bijhouden.
• Aanbieders moeten de EU-auteursrechtwetgeving naleven.
• Modellen met systeemrisico (zeer krachtige modellen) hebben aanvullende verplichtingen op het gebied van veiligheid en transparantie.

Als MKB-gebruiker van deze modellen hoef je je hier niet direct zorgen over te maken, maar het geeft wel zekerheid dat de tools die je gebruikt aan strengere eisen gaan voldoen.

Tijdlijn: wanneer moet je compliant zijn?

De AI Act wordt gefaseerd ingevoerd:

• Februari 2025: Verboden AI-toepassingen zijn niet meer toegestaan.
• Augustus 2025: Regels voor general-purpose AI-modellen en governance-structuur treden in werking.
• Augustus 2026: De meeste verplichtingen worden van kracht, waaronder de eisen voor hoog-risico AI-systemen.
• Augustus 2027: Alle overgangsperiodes zijn verlopen; volledige naleving is vereist.

Impact op het MKB: wat moet je nu doen?

De goede nieuws is dat de AI Act specifieke maatregelen bevat om de last voor het MKB te beperken. Er komen sandboxes en ondersteuningsprogramma's. Maar voorbereiding is wel verstandig. Dit zijn de stappen die je nu kunt nemen:

Stap 1: Inventariseer je AI-gebruik

Maak een overzicht van alle AI-systemen die je organisatie gebruikt of van plan is te gebruiken. Noteer per systeem het doel, de aanbieder, welke data het verwerkt en wie er mee werkt.

Stap 2: Classificeer het risico

Bepaal voor elk AI-systeem in welke risicocategorie het valt. De meeste MKB-toepassingen zullen minimaal of beperkt risico zijn. Let extra op als je AI gebruikt voor werving, kredietbeoordeling of andere beslissingen die mensen significant raken.

Stap 3: Implementeer transparantiemaatregelen

Voor chatbots en andere AI-systemen die direct met mensen communiceren: zorg dat het duidelijk is dat het om AI gaat. Dit kan al met een eenvoudige melding.

Stap 4: Documenteer en monitor

Leg vast hoe je AI-systemen werken, welke beslissingen ze nemen en hoe je menselijk toezicht hebt ingericht. Dit is niet alleen een wettelijke vereiste maar ook best practice.

Stap 5: Blijf op de hoogte

De AI Act is een levend document. Er zullen nog uitvoeringsregels, richtsnoeren en standaarden volgen die de verplichtingen verder verduidelijken. Zorg dat je de ontwikkelingen volgt.

AI Act en AVG: hoe verhouden ze zich?

De AI Act vervangt de AVG niet maar vult deze aan. Als je AI persoonsgegevens verwerkt, moet je aan beide wetten voldoen. De AVG-verplichtingen voor AI blijven onverminderd van kracht. De AI Act voegt daar eisen aan toe op het gebied van transparantie, risicobeheer en technische robuustheid.

Ga voorbereid het AI-tijdperk in

De EU AI Act is geen reden om bang te zijn voor AI. Het is een kader dat ervoor zorgt dat AI op een verantwoorde manier wordt ingezet, wat uiteindelijk ook goed is voor je klanten en je bedrijf. Door nu al stappen te zetten richting compliance, voorkom je verrassingen later.

Bij CleverAI Advies begeleiden we MKB-bedrijven bij het navigeren van de AI-wet- en regelgeving. Onze AI Governance & Compliance dienst helpt je bij het inventariseren, classificeren en compliant maken van je AI-gebruik. Neem contact op voor een vrijblijvend gesprek over wat de AI Act voor jouw bedrijf betekent.