AI Act: De eerste wereldwijde AI-wet

De AI Act is de eerste uitgebreide regulering van kunstmatige intelligentie ter wereld. De verordening trad in augustus 2024 in werking en wordt gefaseerd van toepassing; de meeste verplichtingen gelden vanaf 2026. De AI Act bepaalt welke AI-toepassingen wel en niet zijn toegestaan, welke risiconiveau's er zijn, en welke eisen voor elk niveau gelden. 

Als verordening werkt de AI Act rechtstreeks in alle EU-lidstaten, met dezelfde regels en uitleg. De wet richt zich zowel op aanbieders (wie ontwikkelt AI) als gebruikers (wie zet AI in een professionele context in). 

Plan een kennismaking
Twee mannen die samen een smartphone bekijken op een balkon van een kantoor of hotel, met een glazen muur en binnenruimte met een bank en planten erachter.

Voor wie is de AI Act relevant?

In de praktijk: als je AI gebruikt of ontwikkelt op een manier die de levens of rechten van mensen raakt, krijg je met de AI Act te maken. 

  • Aanbieders van AI-systemen: bedrijven die AI ontwikkelen of in de markt brengen. 

  • Gebruikers van AI in een professionele context: vrijwel elke organisatie die AI-tools inzet voor besluitvorming, automatisering of klantcontact. 

  • Importeurs en distributeurs van AI-systemen op de EU-markt. 

  • Aanbieders van General Purpose AI-modellen (zoals grote taalmodellen), met specifieke eisen voor de meest impactvolle modellen. 

Wat betekent de AI Act voor jou?

De AI Act werkt met een risicogebaseerde aanpak met vier niveaus: 

  • Verboden toepassingen. Bijvoorbeeld social scoring door overheden, real-time biometrische identificatie in publieke ruimtes (behoudens uitzonderingen), en AI die kwetsbaarheden van specifieke groepen misbruikt. 

  • Toegestaan onder strikte voorwaarden. Bijvoorbeeld AI in werving en selectie, kredietbeoordeling, medische apparatuur, onderwijs, rechtshandhaving en kritieke infrastructuur. Verplicht: risicobeoordeling, dataquality-eisen, technische documentatie, logging, menselijk toezicht en conformiteitsbeoordeling. 

  • Transparantieverplichtingen. Mensen moeten weten dat ze met AI te maken hebben (denk aan chatbots) of dat content door AI is gegenereerd (denk aan deepfakes). 

  • Geen specifieke verplichtingen, wel aanbevelingen voor vrijwillige gedragscodes. Verreweg de meeste AI-toepassingen vallen in deze categorie. 

Voor General Purpose AI-modellen gelden aanvullende eisen rond transparantie, technische documentatie en, voor de meest impactvolle modellen, systemic risk management. 

We helpen organisaties grip krijgen op hun AI-gebruik: in kaart brengen welke AI-systemen worden gebruikt of ontwikkeld, classificeren onder de AI Act, en de noodzakelijke maatregelen inrichten. Voor hoog-risico-systemen helpen we met de inrichting van risicobeoordeling, documentatie, logging en menselijk toezicht. Vaak in combinatie met bestaande ISO 27001- of privacy-maatregelen. 

De AI Act raakt ook bestaande normen: er komt een aansluitende ISO-norm voor AI-managementsystemen (ISO 42001). Voor wie nu al aan ISO 27001 voldoet, is dat een logische uitbreiding. 

Hoe helpt Rethink bij de AI Act?

Meer over Advies & Begeleiding 
Let op: Rethink Security geeft geen juridisch advies. Voor specifieke juridische vraagstukken rond de AI Act werken we samen met gespecialiseerde juristen.
Twee mannen hebben een gesprek op een kantoor. Ze zitten aan een tafel met laptops voor zich. Een van hen gebruikt een laptop met een scherm dat een zakelijke presentatie toont.

Veelgestelde vragen

  • Vrijwel zeker ja, als gebruiker. Voor de meeste werkgerelateerde toepassingen geldt 'minimaal' of 'beperkt risico'. Maar als je AI inzet voor besluitvorming over mensen (werving, beoordeling, kredietverlening), kom je al snel in 'hoog risico'. Maak in elk geval een AI-inventarisatie en bepaal de risiconiveau's per toepassing. 

  • Het verbod op onaanvaardbare AI is per februari 2025 ingegaan. De eisen voor General Purpose AI-modellen gelden per augustus 2025. De meeste eisen voor hoog-risico-systemen gelden per augustus 2026. Sommige onderdelen lopen door tot 2027. 

  • ISO 42001 is de internationale norm voor AI-managementsystemen, gepubliceerd in december 2023. Vergelijkbaar met ISO 27001, maar dan voor het managen van AI-systemen en hun risico's. Voor organisaties die AI op een gestructureerde manier willen inzetten, is dit hét aansluitende raamwerk bij de AI Act. 

  • Ja, en de boetes zijn fors. Voor het gebruik van verboden AI-toepassingen: tot 35 miljoen euro of 7% van de wereldwijde omzet. Voor andere overtredingen: tot 15 miljoen of 3% van de omzet. Bestuurlijke aansprakelijkheid is mogelijk. 

Drie mensen in een gesprek in een kantoorruimte, twee mannen en een vrouw, met laptops en kopjes koffie op de tafel.

10+ Jaar
ervaring

Expertise

Menselijk &
pragmatisch

Geperfectioneerde aanpak

Bij 100+
organisaties

Bewezen succes

Klaar om je AI-gebruik in kaart te brengen? 

In een eerste gesprek bekijken we welke AI-systemen je gebruikt of ontwikkelt en wat de AI Act voor jou betekent.  

Man met bril, glimlach, is aan het bellen op een telefoon, zit op gele bank, binnen, moderne kantooromgeving. Neem contact op met Rethink.