Geldt de EU AI Act voor bedrijven buiten de EU?

Ja. De wet is van toepassing op iedere aanbieder die een AI-systeem op de EU-markt brengt of in de EU in gebruik neemt, ongeacht waar die aanbieder gevestigd is. Het geldt ook voor in de EU gevestigde exploitanten. Als de output van uw AI-systeem in de EU wordt gebruikt, geldt de wet vrijwel zeker voor u.

Wat is het verschil tussen een provider en een implementer onder de EU AI Act?

Een aanbieder ontwikkelt een AI-systeem en brengt dit op de markt of neemt het in gebruik. Een uitvoerder gebruikt een AI-systeem in een professionele context onder eigen gezag. De meeste bedrijven die tools als ChatGPT, Microsoft Copilot of recruitment-AI van derden gebruiken, zijn implementeerders. Aanbieders hebben zwaardere verplichtingen – technische documentatie, conformiteitsbeoordelingen, registratie – maar aanbieders van risicovolle AI hebben ook echte verplichtingen.

Wordt het gebruik van ChatGPT of Microsoft Copilot gereguleerd onder de AI Act?

Deze tools zijn General Purpose AI (GPAI)-modellen. Hun providers – OpenAI, Microsoft, Google – moeten voldoen aan GPAI-verplichtingen, waaronder technische documentatie en naleving van auteursrechten. Als implementeerder erft u hun naleving via hun voorwaarden en modelkaarten. Als u een GPAI-model echter gebruikt op een manier die een AI-toepassing met een hoog risico creëert – bijvoorbeeld door een door AI aangedreven CV-screeningtool te bouwen – wordt u verantwoordelijk voor de verplichtingen met een hoog risico.

Welke AI-toepassingen zijn al verboden sinds februari 2025?

De verboden praktijken die vanaf 2 februari 2025 van toepassing zijn, zijn onder meer: AI die mensen manipuleert door middel van subliminale technieken of door hun kwetsbaarheden uit te buiten; sociale scoresystemen die door overheidsinstanties worden gebruikt; real-time biometrische identificatie op afstand in openbare ruimtes (met beperkte uitzonderingen op het gebied van wetshandhaving); biometrische categorisering die gevoelige kenmerken zoals ras, religie of politieke mening afleidt; gezichtsbeelden van internet of CCTV schrappen om herkenningsdatabases op te bouwen; emotieherkenning op werkplekken of onderwijsinstellingen; en AI die crimineel gedrag voorspelt op basis van profilering.

Wat zijn de boetes onder de EU AI Act?

Overtredingen waarbij verboden AI-systemen betrokken zijn, kunnen resulteren in boetes tot € 35 miljoen of 7% van de wereldwijde jaaromzet, afhankelijk van welke van de twee het hoogste is. Op het niet naleven van verplichtingen voor AI-systemen met een hoog risico staan boetes tot € 15 miljoen of 3% van de wereldwijde jaaromzet. Het verstrekken van onjuiste of misleidende informatie aan autoriteiten kan boetes tot € 7,5 miljoen of 1% van de wereldwijde jaaromzet tot gevolg hebben. Voor kmo's en startende ondernemingen wordt de boete gemaximeerd op het laagste bedrag.

EU AI Act: wat je bedrijf moet doen vóór de deadline van augustus 2026

Belangrijkste afhaalrestaurants

AI-verplichtingen met een hoog risico gelden vanaf 2 augustus 2026 – over twee maanden
De meeste bedrijven die AI-tools van derden gebruiken, zijn implementeerders en geen aanbieders, maar implementeerders van AI met een hoog risico hebben nog steeds echte wettelijke verplichtingen
Acht categorieën van bijlage III definiëren AI met een hoog risico. AI op het gebied van werkgelegenheid en rekrutering valt onder de reikwijdte van de meeste gereguleerde bedrijven
Verschillende AI-praktijken zijn sinds februari 2025 verboden, waaronder emotieherkenning op de werkplek en door AI aangedreven sociale scores
Als u ChatGPT, Copilot of Gemini gebruikt, wordt u een GPAI-implementant: u erft hun naleving, maar bent verantwoordelijk voor de manier waarop u ze implementeert
Voor de ernstigste overtredingen kunnen boetes oplopen tot € 35 miljoen of 7% van de mondiale omzet

Wat de EU AI Act is

De EU AI Act (Verordening EU 2024/1689) is 's werelds eerste alomvattende wettelijke kader voor kunstmatige intelligentie. De wet werd op 12 juli 2024 gepubliceerd en trad op 1 augustus 2024 in werking. In tegenstelling tot sectorspecifieke regels die AI in bepaalde sectoren regelen, is de wet horizontaal van toepassing op alle sectoren en alle AI-gebruiksgevallen, waarbij gebruik wordt gemaakt van een risicogebaseerde benadering om te bepalen welke verplichtingen van toepassing zijn.

De wet schept verplichtingen voor twee belangrijke soorten actoren. Aanbieders AI-systemen ontwikkelen en op de EU-markt brengen – denk aan softwareleveranciers, SaaS-bedrijven en ontwikkelaars van AI-tools. Implementeerders AI-systemen in een professionele context onder eigen gezag gebruiken. De meeste bedrijven – inclusief het MKB dat kant-en-klare AI-tools gebruikt voor HR, klantenservice of bedrijfsvoering – zijn implementeerders en geen leveranciers. Aanbieders hebben zwaardere verplichtingen. Implementeerders van risicovolle AI hebben lichtere, maar nog steeds inhoudelijke.

Domein

De wet is van toepassing op aanbieders die AI op de EU-markt brengen, ongeacht waar ze gevestigd zijn, en op aanbieders die zich in de EU bevinden. Als u AI gebruikt bij uw activiteiten in Nederland, het Verenigd Koninkrijk (waar de post-Brexit-equivalentie wordt bewaakt) of een andere EU-lidstaat, en de AI-output gevolgen heeft voor mensen in de EU, is deze wet op u van toepassing.

De vier risiconiveaus

De wet classificeert AI-systemen in vier niveaus. Het niveau bepaalt uw verplichtingen – van helemaal niets voor de meeste dagelijkse AI tot een volledig verbod voor de gevaarlijkste toepassingen.

Onaanvaardbaar risico, Verboden Van kracht sinds 2 februari 2025

Deze AI-praktijken zijn ronduit verboden. Geen enkele zakelijke rechtvaardiging kan hen autoriseren.

Sociale scores door overheidsinstanties Subliminale manipulatie Emotieherkenning op de werkvloer Realtime biometrische identificatie in openbare ruimtes Database voor gezichtsherkenning schrapen Voorspelling van crimineel gedrag door profilering

Hoog risico Vanaf 2 augustus 2026 gelden er verplichtingen

AI-systemen vermeld in bijlage III. Zowel aanbieders als uitvoerders hebben verplichtingen. Omvat acht categorieën, waaronder werkgelegenheids-AI, kredietscores, onderwijssystemen en kritieke infrastructuur.

CV-screening en rekruterings-AI Bewaking van de prestaties van medewerkers Krediet- en verzekeringsscores Studentenbeoordeling AI Biometrische identificatiesystemen

Beperkt risico Alleen transparantieverplichtingen

AI-systemen die met mensen communiceren, moeten onthullen dat ze AI zijn. Chatbots moeten gebruikers vertellen dat ze met een machine praten. Door AI gegenereerde inhoud moet als zodanig worden gelabeld.

Chatbots voor klantenservice Door AI gegenereerde tekst en afbeeldingen Deepfake-inhoud

Minimaal risico Geen specifieke verplichtingen

De overgrote meerderheid van de AI-toepassingen – spamfilters, aanbevelingsmotoren, AI in productiviteitstools, de meeste automatisering – vallen hier onder. Aanbieders kunnen vrijwillig gedragscodes aannemen.

Spamfilters Zoeken op basis van AI Voorraadprognoses Grammatica correctie

Verboden AI: wat sinds februari 2025 verboden is

De verbodsbepalingen uit Hoofdstuk II van de wet zijn op 2 februari 2025 van kracht geworden. Als uw organisatie gebruik maakt van een van de volgende zaken, bent u al in overtreding.

Subliminale manipulatie: AI die mensen beïnvloedt via technieken die buiten de bewuste waarneming opereren om hun gedrag of beslissingen te vervormen op een manier die schade veroorzaakt.
Kwetsbaarheden misbruiken: AI die de kwetsbaarheden van specifieke groepen – leeftijd, handicap, sociale of economische situatie – uitbuit om hun gedrag op schadelijke wijze te vervormen.
Sociaal scoren: AI die door overheidsinstanties wordt gebruikt om individuen te beoordelen of te classificeren op basis van hun sociale gedrag of persoonlijke kenmerken, wat leidt tot een schadelijke of ongunstige behandeling.
Voorspelling van crimineel gedrag door profilering: AI die het risico inschat dat een persoon een misdrijf pleegt, uitsluitend gebaseerd op profilering of persoonlijkheidskenmerken, in plaats van op objectieve, verifieerbare feiten.
Ongericht biometrisch schrapen: AI-systemen die gezichtsherkenningsdatabases creëren of uitbreiden door afbeeldingen van internet of CCTV-beelden te schrappen zonder een specifiek doel.
Emotieherkenning op de werkvloer en in het onderwijs: AI die de emoties van werknemers of studenten afleidt. Dit is een directe en onmiddellijke zorg voor werkgevers die instrumenten voor het monitoren van stemming of betrokkenheid gebruiken.
Biometrische categorisering op basis van gevoelige kenmerken: AI die mensen op basis van biometrische gegevens categoriseert in groepen die worden gedefinieerd op basis van ras, politieke overtuiging, religie, seksuele geaardheid of andere gevoelige kenmerken.
Realtime biometrische identificatie op afstand in openbare ruimtes: AI wordt gebruikt voor live biometrische identificatie van mensen in publiek toegankelijke ruimtes, behoudens beperkte en streng gecontroleerde uitzonderingen op het gebied van wetshandhaving.

Controleer nu

Platforms voor het monitoren van de betrokkenheid van medewerkers, tools voor het volgen van de productiviteit die gezichtsuitdrukkingen of emotionele toestanden registreren, en alle HR-technologie die werknemers scoort of categoriseert op basis van biometrische signalen, kunnen al verboden AI zijn. Controleer dergelijke hulpmiddelen voordat enige handhavingsactie het probleem afdwingt.

Hoogrisico-AI: de acht bijlage III-categorieën

Bijlage III somt de categorieën AI-systemen op die als hoog risico worden geclassificeerd. De verplichtingen voor aanbieders en uitvoerders in deze categorieën gelden vanaf 2 augustus 2026. De meeste organisaties zullen risico’s tegenkomen in de categorieën arbeidsbemiddeling en financiële dienstverlening.

Biometrische systemen

AI gebruikt voor biometrische identificatie of categorisering op afstand van natuurlijke personen, en AI gebruikt voor emotieherkenning. Heeft invloed op beveiligingssystemen, toegangscontrole en aanwezigheidsmonitoring met behulp van gezichts- of biometrische gegevens.

Kritieke infrastructuur

AI wordt gebruikt als veiligheidscomponent bij het beheer en de exploitatie van digitale infrastructuur, wegen, spoorwegen, water, gas, verwarming en elektriciteit. Relevant voor nutsbedrijven, logistiek en beheerde infrastructuuraanbieders.

Onderwijs en beroepsopleiding

AI die de toegang bepaalt tot of mensen toewijst aan onderwijsinstellingen, leerresultaten evalueert, studenten beoordeelt bij examens of controleert op verboden gedrag. Relevant voor trainingsaanbieders, HR-leerplatforms en beoordelingsinstrumenten.

Werkgelegenheid en werknemersbeheer

AI gebruikt voor werving (cv-screening, targeting van vacatureadvertenties, interviewanalyse), promotiebeslissingen, taaktoewijzing, prestatiemonitoring en contractbeëindiging. Dit is de categorie die het meest relevant is voor gereguleerde bedrijven die HR-technologie van derden gebruiken.

Essentiële particuliere en publieke diensten

AI gebruikt bij kredietscores, beoordeling van verzekeringsrisico's, beoordeling van de kredietwaardigheid en de inzet van hulpdiensten. Cruciaal voor financiële dienstverleners en verzekeraars.

Wetshandhaving

AI gebruikt om het risico te beoordelen dat een persoon slachtoffer wordt van een misdrijf, polygrafen en soortgelijke instrumenten, en profilering in de context van strafbare feiten. In de eerste plaats van toepassing op wetshandhavingsinstanties.

Migratie, asiel en grenscontrole

AI wordt gebruikt om de risico’s voor visumaanvragen, asielaanvragen en grensoverschrijdingen te beoordelen. Dit geldt in de eerste plaats voor overheidsinstanties, maar ook externe dienstverleners kunnen hierdoor worden getroffen.

Rechtsbedeling en democratische processen

AI die helpt bij het onderzoeken en interpreteren van feiten en recht, of het beïnvloeden van verkiezingen. Met name relevant voor de juridische dienstverlening en het openbaar bestuur.

Wat aanbieders van risicovolle AI moeten doen

Als uw organisatie gebruik maakt van een risicovol AI-systeem, zijn uw verplichtingen als uitvoerder anders dan die van de aanbieder. De aanbieder is verantwoordelijk voor het ontwerp, de documentatie en de conformiteitsbeoordeling van het systeem. U bent verantwoordelijk voor het gebruik ervan.

Gebruik het zoals bedoeld: U dient het systeem te gebruiken in overeenstemming met de gebruiksaanwijzingen van de aanbieder. Wijzigingen of gebruiksgevallen die buiten de beoogde reikwijdte vallen, verschuiven de aansprakelijkheid jegens u.
Implementeer menselijk toezicht: U moet een persoon aanwijzen met de noodzakelijke competentie, autoriteit en middelen om menselijk toezicht op de werking van het systeem uit te voeren. Volledig geautomatiseerde risicovolle beslissingen zonder zinvolle menselijke beoordeling zijn niet toegestaan.
Monitor op onverwacht gedrag: U moet toezicht houden op de werking van het systeem en ernstige incidenten of storingen melden aan de aanbieder en, indien vereist, aan de relevante markttoezichtautoriteit.
Houd logboeken bij: Wanneer het AI-systeem automatisch logbestanden genereert, moet u deze logbestanden bewaren gedurende de periode die vereist is door de toepasselijke wetgeving.
Informeer de getroffen werknemers: Als het AI-systeem gevolgen heeft voor werknemers – bijvoorbeeld bij het monitoren van prestaties of het toewijzen van taken – moet u de werknemers en hun vertegenwoordigers informeren over het gebruik van het systeem voordat het wordt ingezet.
Voer een grondrechteneffectbeoordeling (FRIA) uit: Implementeerders die overheidsinstanties zijn, of die AI met een hoog risico inzetten voor kredietscores, verzekeringen of bepaalde andere diensten, moeten vóór de implementatie een FRIA uitvoeren en documenteren.

2 augustus
2026

Er zijn AI-verplichtingen met een hoog risico van toepassing, bijlage III-systemen

€ 35 miljoen

of 7% mondiale omzet – maximale boete voor verboden AI

€ 15 miljoen

of 3% wereldwijde omzet – maximale boete voor niet-naleving met een hoog risico

AI-modellen voor algemeen gebruik: wat implementeerders moeten weten

General Purpose AI (GPAI)-modellen – de grote basismodellen die ten grondslag liggen aan ChatGPT, Microsoft Copilot, Google Gemini en soortgelijke tools – vallen onder een apart spoor in de wet. GPAI-verplichtingen voor providers zijn vanaf 2 augustus 2025 afdwingbaar geworden.

Voor de meeste bedrijven is het belangrijkste punt dit: wanneer u een GPAI-model gebruikt via een API, een abonnementsproduct of een platform zoals Microsoft 365 Copilot, bent u een implementeerder van dat GPAI-systeem. De provider – OpenAI, Microsoft, Google – draagt de primaire GPAI-nalevingsverplichtingen, waaronder het bijhouden van technische documentatie, het publiceren van samenvattingen van trainingsgegevens en het voldoen aan de EU-auteursrechtwetgeving. U erft hun naleving via hun voorwaarden en transparantiedocumentatie.

De situatie verandert echter als je voortbouwt op een GPAI-model. Als u een basismodel verfijnt, toevoegt aan een product dat u op de markt brengt, of een GPAI-model gebruikt om een applicatie aan te drijven die in een risicovolle Annex III-categorie valt – zoals een GPAI-aangedreven CV-screeningtool – dan gaat u verplichtingen aan als aanbieder van die downstream-applicatie. De naleving van de onderliggende GPAI-provider dekt niet de risicovolle applicatie die u erbovenop hebt gebouwd.

Verantwoord gebruik maken van ChatGPT of Copilot is niet hetzelfde als compliant zijn. Als de use case die u met deze tools hebt gebouwd een hoog risico met zich meebrengt, volgen de verplichtingen de use case en niet de tool.

GPAI-modellen met systeemrisico

GPAI-modellen die zijn getraind met behulp van meer dan 10²⁵ drijvende-kommabewerkingen (ruwweg gelijkwaardig aan de meest capabele grensmodellen die momenteel beschikbaar zijn) worden aangemerkt als systeemrisico's. Hun leveranciers worden geconfronteerd met aanvullende vereisten: tests op tegenspraak, het melden van incidenten aan het Europese AI-bureau, cyberbeveiligingsmaatregelen en rapportage over energie-efficiëntie. Als uitvoerder van deze modellen zijn uw verplichtingen ongewijzigd, maar u moet bevestigen dat uw GPAI-provider zich heeft geregistreerd bij het EU AI Office en de vereiste transparantiedocumentatie heeft gepubliceerd.

De implementatietijdlijn

1 augustus 2024

De wet treedt in werking

Verordening (EU) 2024/1689 gepubliceerd en van kracht. Overgangsperioden beginnen.

2 februari 2025

Verboden AI is van toepassing

Hoofdstuk I (definities) en Hoofdstuk II (verboden praktijken) worden afdwingbaar. De acht categorieën van verboden AI zijn nu illegaal.

2 augustus 2025

GPAI-modelverplichtingen zijn van toepassing

Aanbieders van AI-modellen voor algemeen gebruik moeten voldoen aan documentatie-, transparantie- en auteursrechtvereisten. GPAI-aanbieders die systeemrisico's met zich meebrengen, hebben te maken met aanvullende tests op tegenspraak en verplichtingen voor het melden van incidenten.

2 augustus 2026

Er zijn AI-verplichtingen met een hoog risico van toepassing – naderend

AI-systemen met een hoog risico uit bijlage III moeten voldoen aan alle verplichtingen van aanbieders en exploitanten. Dit omvat werkgelegenheids-AI, kredietscores, onderwijssystemen, biometrische identificatie en de andere zes bijlage III-categorieën.

2 augustus 2027

Bijlage I product AI is van toepassing

AI met een hoog risico die is ingebed als veiligheidscomponent in gereguleerde producten (medische apparaten, machines, voertuigen, speelgoed) moet hieraan voldoen. Relevant voor fabrikanten en importeurs van gereguleerde producten.

Wat de meeste bedrijven nu moeten doen

Nu de deadline van augustus 2026 nadert, is het nuttigste startpunt een gestructureerde inventarisatie van uw AI-gebruik. U kunt uw verplichtingen niet beoordelen zonder eerst te weten welke AI-systemen u gebruikt en in welke context.

Stap 1: Inventariseer uw AI-gebruik

Maak een lijst van alle AI-systemen die in uw organisatie worden gebruikt – niet alleen de systemen die IT heeft aangeschaft, maar ook de tools die door individuele teams en individuen worden gebruikt. Inclusief productiviteits-AI (Copilot, ChatGPT), HR-platforms met AI-functies, klantgerichte chatbots, tools voor fraudedetectie en alle analyseplatforms die beslissingen nemen of informeren over mensen. Shadow AI is hier een reëel risico: veel organisaties ontdekken via dit proces dat werknemers AI-tools gebruiken waar hun IT-functie niet naar heeft gekeken.

Stap 2: Classificeer elk systeem op risiconiveau

Bepaal voor elk geïdentificeerd systeem welk niveau van toepassing is. De belangrijkste vraag voor de meeste MKB-bedrijven: neemt het AI-systeem beslissingen over mensen in de context van werkgelegenheid, onderwijs, kredietverlening of essentiële diensten, of ondersteunt het deze in belangrijke mate? Zo ja, dan is er waarschijnlijk sprake van een hoog risico. Als het een chatbot is waarvan gebruikers weten dat ze ermee praten, is het risico beperkt. Als het een aanbevelingsmotor of een interne productiviteitstool is, is het risico waarschijnlijk minimaal.

Stap 3: Controleer uw HR- en recruitment-AI

Werkgelegenheid en werknemersbeheer is de categorie van bijlage III die het meest relevant is voor het breedste scala aan organisaties. Als u een tool gebruikt die het screenen van cv's, het rangschikken van kandidaten, het plannen van sollicitatiegesprekken, het monitoren van de productiviteit van werknemers of het nemen van beslissingen over taaktoewijzing automatiseert of helpt, controleer dan of de aanbieder van die tool over documentatie beschikt die hun benadering van de AI Act bevestigt. Vraag uw HR-technologieleveranciers rechtstreeks: zijn uw systemen geclassificeerd als risicovol onder de EU AI Act, en wat is uw compliance-roadmap?

Stap 4: Controleer uw verboden AI-blootstelling

Doorloop de verboden AI-categorieën en controleer of een huidige tool mogelijk binnen het toepassingsgebied valt. Emotieherkenning en monitoring op de werkplek zijn de twee meest waarschijnlijke risico's voor organisaties uit de particuliere sector. Elk platform dat gezichtsuitdrukkingen, stemgeluid of fysiek gedrag analyseert om de betrokkenheid van medewerkers of de emotionele toestand af te leiden, moet onmiddellijk worden beoordeeld.

Stap 5: Update uw AI-beleid en informeer uw personeel

De wet verplicht aanbieders van AI met een hoog risico om werknemers te informeren wanneer AI-systemen worden gebruikt bij arbeidsbeslissingen. Naast de wettelijke vereiste is het bewustzijn van het personeel over welke AI-instrumenten in gebruik zijn en hoe deze werken een goed bestuur. Werk uw beleid voor acceptabel gebruik bij om generatieve AI aan te pakken, documenteer welke tools zijn goedgekeurd en voor welke doeleinden, en zorg ervoor dat de persoon die verantwoordelijk is voor AI-toezicht zowel de autoriteit als de tijd heeft om dit uit te oefenen.

Ons audit- en complianceteam werkt samen met organisaties om hun AI Act-gereedheidsbeoordelingen te structureren, van inventarisatie tot gap-analyse tot herstel. Ons AI-adviespraktijk ondersteunt bedrijven die AI op verantwoorde wijze inzetten in gereguleerde sectoren, waaronder de financiële dienstverlening, de gezondheidszorg en de horeca.

De fijne structuur

De wet voorziet in een drieledige strafstructuur. Nationale markttoezichtautoriteiten zijn verantwoordelijk voor de handhaving binnen elke lidstaat, waarbij het Europese AI-bureau rechtstreeks toezicht houdt op GPAI-aanbieders.

Verboden AI-overtredingen: Tot € 35 miljoen of 7% van de totale wereldwijde jaaromzet, afhankelijk van welke van de twee het hoogst is.
Niet-naleving van AI-verplichtingen met een hoog risico: Tot € 15 miljoen of 3% van de totale wereldwijde jaaromzet, afhankelijk van welke van de twee het hoogst is.
Het verstrekken van onjuiste, onvolledige of misleidende informatie aan autoriteiten: Tot € 7,5 miljoen of 1% van de totale wereldwijde jaaromzet, afhankelijk van welke van de twee het hoogst is.

Voor kleine en middelgrote ondernemingen en startende ondernemingen worden de boetes gemaximeerd op het laagste bedrag: het absolute plafond of het percentage van de omzet. Dit biedt enige bescherming ten opzichte van de behandeling van grote bedrijven, maar de absolute cijfers blijven op elke schaal significant. Het European AI Office heeft aangegeven dat de handhaving zich in eerste instantie zal richten op de ernstigste overtredingen en op herhaalde of nalatige niet-naleving, in plaats van op de eerste keer dat organisaties technische inbreuken plegen door organisaties die zich daadwerkelijk inspannen om hieraan te voldoen.