Wie valt er onder de EU AI Act?

De eerste vraag die veel bedrijven stellen, is: geldt deze wet eigenlijk voor ons? Het korte antwoord: hoogstwaarschijnlijk wel. De AI Act is van toepassing op alle bedrijven die AI-systemen ontwikkelen, inzetten of aanbieden op de Europese markt. Dat geldt voor leveranciers die AI-modellen bouwen, maar ook voor organisaties die AI inzetten in hun bedrijfsvoering.

Ook bedrijven buiten de EU vallen eronder zodra hun systemen in de EU gebruikt worden. Denk aan een Amerikaanse ontwikkelaar van AI-software die een Nederlandse klant bedient. Zodra er een gebruiker in de EU is, gelden de regels.

Voorbeelden zijn talrijk: recruitment software die cv’s analyseert, chatbots die klantvragen beantwoorden, fraudedetectietools bij fintechs of AI-modellen die cyberdreigingen signaleren. Het maakt niet uit of je AI zelf ontwikkelt of als kant-en-klare oplossing inkoopt; zodra het systeem wordt gebruikt in de EU, valt het onder de AI Act.

Er zijn een paar uitzonderingen. AI die exclusief wordt gebruikt voor militaire of nationale veiligheidstoepassingen, valt buiten de wet. Hetzelfde geldt voor AI-systemen die uitsluitend worden gebruikt voor wetenschappelijk onderzoek zonder commerciële toepassing, en voor AI die puur privé wordt ingezet. Maar zodra er commerciële toepassing is, vervalt die uitzondering.

De vier risicocategorieën van de AI Act

De AI Act maakt onderscheid tussen vier hoofdcategorieën van risico (Onacceptabel risico, Hoog risico, Beperkt risico & Minimaal risico) , plus een aparte categorie voor General Purpose AI (GPAI). Elke categorie heeft zijn eigen regels en verplichtingen.

1. Onacceptabel risico – Verboden toepassingen

AI-toepassingen in deze categorie worden beschouwd als een directe bedreiging voor de fundamentele rechten en veiligheid van burgers. Ze zijn daarom volledig verboden in de EU.

Voorbeelden:

• Social scoring: het rangschikken van burgers op basis van gedrag of kenmerken.

• Real-time gezichtsherkenning in publieke ruimtes (behalve in zeer uitzonderlijke veiligheidsgevallen).

• Manipulatieve AI: systemen die gedrag beïnvloeden op een manier die schade kan veroorzaken.

Deze verbodscategorie is bedoeld om misbruik van AI voor controle, manipulatie of discriminatie te voorkomen.

2. Hoog risico – Strenge eisen en toezicht

Hoog-risico AI-systemen zijn toegestaan, maar alleen onder zeer strikte voorwaarden. Ze hebben een directe impact op vitale processen en rechten.

Voorbeelden:

• AI in gezondheidszorg (diagnosetools, medische apparatuur).

• AI in infrastructuur (energie, transport, waterbeheer).

• AI in justitie en rechtshandhaving (risicoanalyse, bewijsbeoordeling).

• AI in recruitment en onderwijs (selectie van kandidaten, examensystemen).

Verplichtingen:

• Uitgebreide documentatie van data, training en prestaties.

• Continue risicoanalyse en -beheer.

• Menselijk toezicht (human-in-the-loop).

• Conformiteitsbeoordelingen en audits.

Deze categorie vraagt om een structurele compliance-aanpak.

3. Beperkt risico – Transparantieverplichtingen

In de categorie beperkt risico ligt de nadruk op transparantie richting gebruikers.

Voorbeelden:

• Chatbots die zich voordoen als menselijke medewerkers.

• Generatieve AI-content (bijv. deepfakes of AI-gegenereerde campagnes).

• AI die gebruikers op een subtiele manier beïnvloedt, zoals aanbevelingssystemen in e-commerce.

Verplichtingen:

• Gebruikers informeren dat zij met AI communiceren.

• Duidelijke labeling van AI-gegenereerde content.

• Instructies geven over correct gebruik van de AI.

Doel is dat gebruikers altijd weten wanneer en hoe AI in hun interacties wordt toegepast.

4. Minimaal risico – Vrij gebruik

AI-toepassingen met minimaal risico mogen vrij worden ingezet zonder aanvullende verplichtingen.

Voorbeelden:

• Spamfilters in e-maildiensten.

• AI in videogames (NPC’s, dynamische gameplay).

• Automatische vertaalsoftware.

Deze categorie bevat de AI-toepassingen die we dagelijks gebruiken en die geen directe risico’s voor burgers opleveren.

General Purpose AI (GPAI) – Extra regels voor krachtige modellen

Naast de vier hoofdcategorieën is er de aparte categorie General Purpose AI. Dit gaat om generieke AI-modellen zoals foundation models (bijvoorbeeld GPT of andere grote taalmodellen).

Specifieke verplichtingen:

• Transparantie over gebruikte data en trainingsmethoden.

• Beoordeling van risico’s en prestaties, vooral bij zeer krachtige modellen (bijvoorbeeld modellen boven 10²⁵ FLOPS).

GPAI krijgt extra aandacht omdat deze modellen breed inzetbaar zijn en daarmee ook brede risico’s kunnen hebben.

Risicoanalyse: IT-sector

De IT-sector staat midden in de AI-transformatie. AI wordt hier niet alleen gebruikt als eindproduct, maar ook diep geïntegreerd in ontwikkelprocessen, cybersecurity, infrastructuurbeheer en data-analyse. Juist daarom raakt de AI Act de IT-sector op meerdere niveaus tegelijk.

Veel IT-organisaties bouwen of integreren AI-modellen in softwareoplossingen. Denk aan machine learning-modellen voor predictive maintenance, anomaly detection in netwerken, of AI-assistenten voor ontwikkelaars die code reviewen en bugs opsporen. Afhankelijk van de toepassing vallen deze systemen in de categorie hoog risico of beperkt risico.

Een cruciaal aandachtspunt is documentatie. Voor softwareontwikkelaars en IT-dienstverleners betekent dit dat er gedetailleerd moet worden vastgelegd hoe AI-modellen zijn getraind, welke datasets zijn gebruikt en hoe prestaties en risico’s worden gemonitord. Zeker wanneer AI wordt ingezet in omgevingen met hoge impact, zoals financiële transacties, gezondheidsdata of kritieke infrastructuur, is dit verplicht.

Daarnaast speelt transparantie een steeds grotere rol. AI die beslissingen beïnvloedt (bijvoorbeeld in toegangssystemen, geautomatiseerde besluitvorming of incidentprioritering) moet begrijpelijk zijn voor eindgebruikers. Dit vereist niet alleen technische aanpassingen, maar ook heldere communicatie in handleidingen, user interfaces en rapportages.

Cybersecurity is een ander domein waar de AI Act impact heeft. AI-systemen voor threat detection of geautomatiseerde respons vallen in de meeste gevallen onder hoog risico, zeker wanneer ze invloed hebben op kritieke systemen. IT-organisaties moeten daarom zorgen voor robuuste human oversight: AI mag ondersteunen, maar beslissingen moeten controleerbaar blijven door security teams.

Ook General Purpose AI (GPAI) speelt in de IT-sector een grote rol. Grote taalmodellen, foundation models en AI-frameworks worden vaak ingebouwd in applicaties of platforms. Voor krachtige modellen gelden aanvullende eisen rondom transparantie, evaluatie en risicobeoordeling. Dit betekent dat IT-teams hun leveranciers kritisch moeten bevragen en contractueel moeten vastleggen dat zij voldoen aan de AI Act.

Tot slot is er de uitdaging van doorlopende compliance. In de IT-sector veranderen systemen, modellen en infrastructuren razendsnel. Elke update kan impact hebben op de risicocategorie of compliance-status van een AI-toepassing. Het is daarom essentieel dat IT-organisaties een proces inrichten voor periodieke herbeoordeling en continue monitoring.

De kern voor IT-bedrijven is duidelijk: compliance is geen eenmalige oefening, maar een integraal onderdeel van softwareontwikkeling, security en operations. Door nu robuuste processen in te bouwen, kunnen IT-organisaties niet alleen voldoen aan de AI Act, maar ook vertrouwen opbouwen bij klanten en partners die steeds kritischer kijken naar verantwoord AI-gebruik.

Risicoanalyse: Retail

In de retailsector wordt AI steeds vaker ingezet om klantervaringen te personaliseren en processen efficiënter te maken. Denk aan chatbots die vragen beantwoorden, algoritmes die producten aanbevelen en AI die marketingcampagnes optimaliseert. Onder de EU AI Act vallen deze toepassingen in de meeste gevallen onder beperkt risico.

Dat betekent vooral één ding: transparantie is verplicht. Gebruikers moeten weten dat zij te maken hebben met AI. Een chatbot die zich voordoet als menselijke medewerker moet dit expliciet melden. Ook AI-gegenereerde content, zoals productbeschrijvingen of campagnes, moet herkenbaar zijn als door AI gecreëerd.

Een belangrijk aandachtspunt in retail is het gebruik van aanbevelingssystemen. Deze algoritmes zijn vaak getraind op grote hoeveelheden klant data. Hier zit een risico op bias: bepaalde doelgroepen kunnen onbedoeld worden bevoordeeld of uitgesloten. De AI Act verplicht bedrijven om dergelijke systemen te toetsen en indien nodig aan te passen.

Retailers moeten daarnaast hun documentatie op orde hebben. Ook al zijn de risico’s lager dan in bijvoorbeeld de gezondheidszorg, het is essentieel dat er duidelijkheid is over hoe AI wordt getraind en toegepast. Bedrijven die hun processen transparant inrichten, kunnen hiermee niet alleen voldoen aan de wet, maar ook klant vertrouwen winnen.

Risicoanalyse: Recruitment

De impact van AI in recruitment is groot. Van automatische cv-screening tot geautomatiseerde assessments: steeds meer stappen in het selectieproces worden ondersteund of zelfs uitgevoerd door AI. Onder de AI Act vallen deze systemen vrijwel altijd onder hoog risico.

Dat betekent dat recruitment organisaties en HR-afdelingen te maken krijgen met strikte eisen. Alle gebruikte AI-modellen moeten grondig worden gedocumenteerd. Het gaat hierbij om trainingsdata, gebruikte algoritmes, evaluatiemethoden en manieren waarop bias wordt voorkomen.

Een belangrijk aandachtspunt is transparantie naar kandidaten. Kandidaten moeten weten dat hun sollicitatie deels door AI wordt beoordeeld. Ook moet duidelijk worden gemaakt hoe beslissingen tot stand komen. Dit vraagt om heldere communicatie, bijvoorbeeld via aangepaste privacyverklaringen of toelichtingen tijdens het proces.

Daarnaast speelt menselijk toezicht een cruciale rol. Beslissingen over aanname of afwijzing mogen nooit volledig aan AI worden overgelaten. Er moet altijd een menselijke beoordelaar zijn die kan ingrijpen en de uiteindelijke beslissing neemt. Dit is niet alleen een wettelijke eis, maar helpt ook om vertrouwen te behouden bij sollicitanten.

Risicoanalyse: Healthtech

In de gezondheidszorg zijn de risico’s rondom AI het grootst. AI-systemen worden gebruikt voor diagnostiek, besluitvorming, patiëntmonitoring en zelfs in medische apparaten. Deze toepassingen vallen onder de AI Act vrijwel altijd in de categorie hoog risico.

De eisen voor hoog-risico AI in healthtech zijn uitgebreid. Ontwikkelaars en zorgorganisaties moeten technische documentatie opstellen waarin onder meer datasets, modelprestaties en validatieresultaten worden vastgelegd. Daarnaast is een conformiteitsbeoordeling verplicht voordat de AI in gebruik mag worden genomen.

Menselijk toezicht is een ander belangrijk element. Een AI-diagnosetool mag bijvoorbeeld nooit zelfstandig een definitieve diagnose stellen zonder dat een arts de resultaten beoordeelt. De AI Act wil hiermee voorkomen dat fouten of bias in modellen direct gevolgen hebben voor patiënten.

Ook post-market monitoring is verplicht. Dit betekent dat na de implementatie het functioneren van het AI-systeem continu moet worden gevolgd en dat incidenten gerapporteerd moeten worden aan de toezichthoudende autoriteit.

Risicoanalyse: Marketing

In marketing wordt AI veel gebruikt voor contentcreatie, segmentatie en campagne-optimalisatie. Denk aan AI-tools die advertentieteksten genereren, visuals maken of advertenties automatisch richten op doelgroepen. Deze toepassingen vallen meestal in de categorie beperkt risico.

De belangrijkste verplichting is ook hier transparantie. AI-gegenereerde content, zoals deepfakes of synthetische modellen in campagnes, moet herkenbaar zijn als door AI gecreëerd. Campagnes mogen geen misleidende indruk wekken.

Daarnaast is bias in targeting een aandachtspunt. Algoritmes kunnen onbedoeld groepen uitsluiten of juist overmatig targeten. De AI Act vereist dat marketeers inzicht hebben in hoe hun AI-algoritmes werken en dat zij deze regelmatig evalueren op eerlijkheid.

Voor marketingteams betekent dit dat er interne processen moeten komen voor controle en documentatie. Door vast te leggen hoe AI wordt ingezet, welke tools worden gebruikt en hoe transparantie wordt geborgd, kan niet alleen aan de wet worden voldaan, maar wordt ook het imago van betrouwbaarheid versterkt.

Wat zijn de uitzonderingen op de AI Act?

Niet alle AI-toepassingen vallen onder dezelfde strenge eisen. Zoals eerder genoemd, zijn militaire toepassingen en nationale veiligheid uitgezonderd. AI-systemen voor wetenschappelijk onderzoek zonder commerciële toepassing vallen er ook buiten.

Daarnaast is er ruimte voor niet-commerciële open-sourceprojecten, mits er geen commerciële exploitatie plaatsvindt. Maar zodra een project commercieel wordt ingezet of verkocht, gelden de regels wél.

Deze uitzonderingen moeten voorkomen dat innovatie in onderzoek en veiligheidsdomeinen wordt afgeremd, maar zorgen er ook voor dat commerciële AI-toepassingen onder scherp toezicht blijven.

Hoe verhoudt de EU AI Act zich tot AI-regelgeving in de VS en China?

Onder IT-professionals leven nog veel vragen over de EU AI Act. Zo wordt in een recente Reddit-discussie, waarin iemand meewerkte aan het opstellen van de wet, gevraagd hoe de Europese regelgeving zich verhoudt tot AI-regelgeving in de VS en China.

Het antwoord laat goed zien hoe verschillend de wereldmachten omgaan met kunstmatige intelligentie.

Europa kiest met de AI Act voor een uniform, bindend regelgevend kader. Het is de eerste grootschalige wet ter wereld die AI-systemen classificeert op basis van risico: van onacceptabel (verboden) tot minimaal risico (vrij toegestaan). Hierbij ligt de nadruk op grondrechten, transparantie, menselijk toezicht en duidelijke compliance-eisen.

In de Verenigde Staten is er geen federale AI-wet. De aanpak is decentraal en innovatiegedreven, met sectorale richtlijnen (bijvoorbeeld in gezondheidszorg en privacy) en vrijwillige kaders zoals de AI Bill of Rights en het NIST AI Risk Management Framework. Bedrijven hebben veel vrijheid en regulering gebeurt grotendeels via zelfregulering.

China daarentegen heeft een zeer gecentraliseerde aanpak. AI wordt streng gereguleerd via verplichte registratie, licenties voor modellen en strikte controle op content (zoals deepfakes en algoritmeregels). De nadruk ligt minder op individuele rechten en meer op nationale veiligheid, staatscontrole en naleving van “Chinese kernwaarden”.

Kortom: de EU AI Act is uniek in zijn breedte en juridische binding. Waar de VS vooral inzet op innovatie en China op controle, zet de EU in op een internationale standaard voor verantwoorde AI.

Wat zijn de kritiekpunten en loopholes in de AI Act?

Hoewel de AI Act wordt geprezen als een wereldprimeur, is er ook kritiek. Grote Europese bedrijven hebben al opgeroepen tot uitstel, omdat de regels volgens hen te snel worden ingevoerd en te weinig concreet zijn uitgewerkt. Ze vrezen dat innovatie wordt afgeremd.

Er zijn ook inhoudelijke zorgen. Zo is er een copyright-loophole waardoor creatieve makers onvoldoende beschermd zijn als hun werk wordt gebruikt voor het trainen van AI-modellen. Verder is er veel ruimte voor zelfregulering: bedrijven moeten zelf toezien op naleving, wat volgens critici kan leiden tot te weinig controle.

De uitzondering voor nationale veiligheid is een ander heikel punt. Die kan in de praktijk betekenen dat overheden AI-systemen inzetten voor grootschalige surveillance zonder volledige transparantie.

Hoe implementeer je de EU AI Act? (Stappenplan)

Het implementeren van de EU AI Act lijkt op het eerste gezicht complex, maar met een gestructureerde aanpak kun je stap voor stap zorgen dat jouw organisatie compliant is. Hieronder vind je een helder stappenplan.

Stap 1: Breng al je AI-systemen in kaart

Begin met een inventarisatie van alle AI-toepassingen binnen je organisatie.

• Denk aan interne tools (zoals AI in HR-systemen), klantgerichte oplossingen (chatbots, voorspellingen) en embedded AI in producten of diensten.

• Vergeet ook niet externe AI-services die je inkoopt, bijvoorbeeld via cloudleveranciers.

Voorbeeld: Een cybersecurityplatform met AI-anomaliedetectie én een AI-chatbot voor klantenservice moet beide systemen apart beoordelen.

Stap 2: Bepaal de risicocategorie

Classificeer elk AI-systeem volgens de vier niveaus van de AI Act:

• Onacceptabel risico → verboden.

• Hoog risico → uitgebreide compliance-eisen.

• Beperkt risico → transparantieverplichtingen.

• Minimaal risico → geen extra regels.

Tip: Raadpleeg Annex III van de AI Act of werk samen met een AI-compliance consultant om zeker te zijn van de juiste indeling.

Stap 3: Richt processen en documentatie in

Afhankelijk van de risicocategorie zijn er verschillende acties nodig:

• Hoog risico: opstellen van technische documentatie (datasets, trainingsmethoden, testresultaten), riskmanagement implementeren, menselijk toezicht borgen, conformiteitsbeoordeling uitvoeren.

• Beperkt risico: zorgen voor transparantie, zoals gebruikers informeren dat ze met AI te maken hebben, labeling van AI-content en duidelijke gebruiksinstructies.

Voorbeeld: Een AI-recruitmenttool moet aantonen hoe bias wordt voorkomen, terwijl een chatbot alleen verplicht is om te melden dat het een AI is.

Stap 4: Implementeer technische en organisatorische maatregelen

• Voeg waar nodig menselijk toezicht toe (human-in-the-loop).

• Richt monitoringtools in om prestaties, fouten en risico’s te volgen.

• Stel een incident response plan op voor AI-gerelateerde problemen.

Stap 5: Blijf monitoren en rapporteren

Compliance stopt niet na implementatie. De AI Act vereist doorlopend toezicht:

• Houd wijzigingen in wetgeving bij.

• Rapporteer incidenten aan de bevoegde autoriteiten.

• Herzie documentatie bij updates of verbeteringen van AI-modellen.

Voorbeeld: Bij een grote update van een AI-analysemodel moet opnieuw worden bekeken of de risicocategorie en verplichtingen nog correct zijn.

Conclusie

Door dit stappenplan te volgen, zorg je ervoor dat je AI-systemen in lijn zijn met de EU AI Act én toon je aan klanten en partners dat je verantwoord en transparant met AI omgaat.

✅ Compliance Checklist – EU AI Act

Stap 1: Inventariseer je AI-systemen

☐ Alle interne AI-toepassingen in kaart gebracht

☐ Alle externe/ingekochte AI-systemen geïnventariseerd

☐ Overzicht gemaakt van doel, data en gebruikers per systeem

Stap 2: Bepaal de risicocategorie

☐ Categorie bepaald per systeem:

  ◻ Onacceptabel risico → ❌ Verboden

  ◻ Hoog risico → ⚠️ Strenge compliance

  ◻ Beperkt risico → ℹ️ Transparantie verplicht

  ◻ Minimaal risico → ✅ Vrij toegestaan

Stap 3: Voldoe aan de documentatieplicht

☐ Datasetdocumentatie opgesteld

☐ Trainingsmethoden en modelvalidatie vastgelegd

☐ Auditresultaten en versies opgeslagen

Stap 4: Implementeer transparantievereisten

☐ Gebruikers geïnformeerd dat ze met AI communiceren

☐ AI-content duidelijk gelabeld

☐ Instructies opgesteld voor veilig gebruik

Stap 5: Richt risicobeheer en toezicht in

☐ Riskmanagementproces ingericht

☐ Menselijk toezicht geborgd (human-in-the-loop)

☐ Conformiteitsbeoordelingen uitgevoerd (waar nodig)

Stap 6: Blijf monitoren en rapporteren

☐ Incidentenregistratie opgezet

☐ Periodieke herbeoordeling ingepland

☐ Updates verwerkt in documentatie

Conclusie

De invoering van de EU AI Act markeert een belangrijk keerpunt voor organisaties die met kunstmatige intelligentie werken. Waar AI jarenlang vrij ongereguleerd kon worden toegepast, komt er nu een helder kader dat veiligheid, transparantie en verantwoordelijkheid centraal stelt.

Voor bedrijven in IT, recruitment, healthtech, retail en marketing betekent dit meer dan alleen voldoen aan nieuwe regels: het is een kans om processen te professionaliseren en vertrouwen op te bouwen bij klanten en partners. Door tijdig te inventariseren welke AI-systemen je gebruikt, de juiste risicocategorie te bepalen en te zorgen voor duidelijke documentatie en toezicht, kun je niet alleen boetes voorkomen, maar ook je positie als betrouwbare speler in de markt versterken.

Organisaties die nu in actie komen, zijn straks niet alleen compliant, maar lopen ook voorop in een toekomst waarin verantwoorde AI het verschil maakt tussen succes en stilstand.

Veelgestelde vragen over de EU AI Act

1. Wie heeft de AI Act opgesteld?

De Europese Commissie heeft de AI Act ontwikkeld in nauwe samenwerking met het Europees Parlement en de Raad van de Europese Unie. Het initiatief kwam voort uit de behoefte aan een duidelijk regelgevend kader voor kunstmatige intelligentie, met focus op veiligheid, transparantie en ethiek. Wil je weten hoe AI-regelgeving zich verhoudt tot andere IT-compliancekaders? Lees dan ook onze NIS2 2025-gids voor IT-compliance en impact.

2. Wie heeft de AI Act voorgesteld?

De Europese Commissie heeft in april 2021 het voorstel voor de AI Act gepresenteerd. Het doel was om innovatie te stimuleren, maar tegelijkertijd ook de fundamentele rechten van burgers te beschermen.

3. Wie handhaaft de AI Act?

De handhaving van de AI Act gebeurt via twee lagen:

• De European AI Board coördineert op EU-niveau.

• Nationale toezichthouders voeren toezicht en handhaving uit in de lidstaten.

Bedrijven zijn zelf verantwoordelijk voor naleving en kunnen bij overtredingen forse boetes krijgen, oplopend tot 35 miljoen euro of 7% van de wereldwijde jaaromzet. Overweeg je de AI Act te combineren met andere AI-gerelateerde normen? Lees hoe ISO 42005 helpt om jouw AI-systeem wettelijk klaar te maken.

4. Wie heeft de AI Act aangenomen?

De AI Act is in 2024 formeel aangenomen door het Europees Parlement en de Raad van de Europese Unie. Na publicatie in het Publicatieblad van de EU begon de gefaseerde invoering.

5. Waarom is de AI Act ingevoerd?

De AI Act werd ingevoerd omdat bestaande wetgeving onvoldoende was om de specifieke uitdagingen van AI te adresseren. Belangrijke doelen zijn:

• Bescherming van grondrechten.

• Voorkomen van discriminatie en bias.

• Zorgen voor transparantie en vertrouwen in AI.

• Veilig gebruik en innovatie stimuleren.

Ontdek hoe dit in de praktijk samenwerkt met AI-technologie, bijvoorbeeld via onze complete gids voor LLM-integratie in je IT-omgeving (2025-editie).

6. Is de AI Act een verdrag?

Nee. De AI Act is geen verdrag, maar een EU-verordening. Dat betekent dat de wet direct van toepassing is in alle lidstaten, zonder dat deze eerst moet worden omgezet in nationale wetgeving.

Bekijk ook: 

 complete gids voor LLM-integratie in je IT-omgeving (2025-editie)