AI-wetgeving Nederland & EU AI Act – Uitgebreide compliance-gids

Overzicht en doel van de EU AI-verordening

De EU AI-verordening (Regulation (EU) 2024/1689) is de eerste brede wetgeving voor kunstmatige intelligentie, met als doel innovaties veilig en betrouwbaar te maken. De wet werkt risicogebaseerd: hoe groter het risico van een AI-systeem voor de samenleving, hoe strenger de eisen.

De wet is op 2 augustus 2024 in werking getreden en kent een gefaseerde invoering. Vanaf februari 2025 zijn alle verboden AI-toepassingen verboden. Vanaf augustus 2025 gelden regels voor grote generieke AI-modellen. Vanaf augustus 2026 zijn alle hoog-risico AI-systemen volledig gereguleerd, en vanaf augustus 2027 ook risicoproducten met ingebouwde AI.

De vier risicocategorieën

• De AI-verordening deelt AI-systemen in op basis van het risico dat zij vormen:
• Onaanvaardbaar risico (Verboden): Systemen die een duidelijke bedreiging vormen voor rechten en veiligheid. Voorbeelden zijn sociale scoring door overheden, subliminale beïnvloedingstechnieken en realtime biometrische identificatie in openbare ruimten.
• Hoog risico (Gereguleerd): Systemen met significante impact op levens van mensen, zoals in biometrie, kritieke infrastructuur, gezondheid, onderwijs, HR en rechtshandhaving. Deze moeten voldoen aan strenge eisen: conformiteitsbeoordeling (CE-markering), hoogwaardige datasets, gedetailleerde logging, menselijk toezicht (human-in-the-loop) en aantoonbare robuustheid en cybersecurity.
• Beperkt risico (Transparantieverplichting): AI-systemen waarbij gebruikers moeten weten dat ze met AI communiceren, zoals chatbots, deepfakes en emotieherkenningssystemen.
• Minimaal of geen risico (Vrij toegestaan): De overgrote meerderheid van AI-toepassingen, zoals AI-spellen en spamfilters. Geen specifieke wettelijke verplichtingen, maar vrijwillige gedragscodes worden aangemoedigd.

Uitvoering in Nederland en samenwerking toezichthouders

In Nederland werken de Autoriteit Persoonsgegevens (AP) en de Rijksinspectie Digitale Infrastructuur (RDI) nauw samen. Bestaande markttoezichtautoriteiten houden toezicht op hoog-risico AI-systemen (Annex I), met technische ondersteuning van de RDI. De AP en RDI richten zich gezamenlijk op verboden AI, grote taalmodellen (Annex III) en transparantieverplichtingen zoals artikel 50 voor generatieve AI. Sectorale toezichthouders als de AFM (financiën), NZa (zorg) en ACM spelen ook een rol binnen hun eigen domeinen.

De overlap met de AVG/GDPR blijft groot: elke AI-toepassing die persoonsgegevens verwerkt valt ook onder de Algemene Verordening Gegevensbescherming. Dataminimalisatie, doelbinding en de rechtsgrondslag voor het trainen van modellen blijven van kracht naast de AI Act-vereisten. De AI-verordening vervangt de AVG niet – zij vult deze aan.

Artikel 4 van de AI-verordening introduceert een verplichte AI-geletterdheidseis: aanbieders en gebruikers van AI-systemen moeten zorgen dat hun personeel voldoende kennis en vaardigheden heeft om AI verantwoord in te zetten. Dit is geen aanbeveling, maar een wettelijke verplichting.

Vijfstappenplan voor AI-compliance in organisaties

• Experts adviseren organisaties te werken met een concreet en gefaseerd nalevingsplan:
• Stap 1 – Inventarisatie: Breng in kaart welke AI-tools en modellen uw organisatie inzet. Veel bedrijven ontdekken dat er meer AI-toepassingen in gebruik zijn dan verwacht – van SaaS-chatbots tot analysesoftware en aanbevelingssystemen.
• Stap 2 – Risicoanalyse: Classificeer elk systeem in een van de vier risicocategorieën. Zo ziet u snel of u met verboden AI werkt (dan moet het stoppen) of dat extra eisen gelden, zoals documentatie en CE-markering voor hoog-risico systemen.
• Stap 3 – Beleidskaders en contracten: Pas interne IT- en databeleid aan voor AI. Neem modelcontractclausules op die aanbieders verplichten hun AI Act-plichten na te komen. Zorg dat ICT-contracten aansprakelijkheid en audits voor AI-naleving bevatten.
• Stap 4 – Implementatie en training: Voer technische beheersmaatregelen in (risicomanagementsystemen, datakwaliteit, menselijk toezicht) en train personeel in AI-geletterdheid op alle niveaus.
• Stap 5 – Documentatie en monitoring: Leg alle stappen vast in een AI-register of compliance-rapport. Stel procedures bij na incidenten en evalueer minimaal jaarlijks. Benoem een verantwoordelijke persoon of team voor AI-compliancezaken.

Checklists en contractclausules

In ICT-contracten zijn straks specifieke AI-clausules noodzakelijk. De EU heeft modelclausules gepubliceerd die focussen op AI Act-verplichtingen: risicomanagement, audit- en rapportagerechten, transparantieplicht en menselijk toezicht. Voeg ook boetebepalingen toe voor het geval verboden AI toch wordt geleverd. Let er op dat de modelclausules geen allesomvattende contracten zijn – zaken als intellectueel eigendom en GDPR-verplichtingen blijven apart geregeld.

Voor ondernemers betekent compliance niet alleen een juridische exercitie. Het vereist coördinatie tussen ICT, data-privacy en toezichthouders. Concrete bronnen voor Nederlandse organisaties zijn de AI Act-gids van de Rijksoverheid, de uitleg van het Ministerie van Economische Zaken en de praktijkadviezen van de AP en RDI.

Hoe Gigabyte Consultancy kan helpen

Gigabyte Consultancy ondersteunt Nederlandse en Europese organisaties bij elke stap van AI Act-naleving: van systeminventarisaties en risicoklassificaties tot het inrichten van governance, human-in-the-loop-mechanismen, audittrails en AI-geletterdheidsprogramma's voor medewerkers.

Of u nu een MKB-ondernemer bent die voor het eerst met AI-regelgeving te maken krijgt, of een IT-dienstverlener die klanten begeleidt – wij bieden praktische, implementatiegerichte ondersteuning zonder onnodige juridische complexiteit. Neem contact op voor een vrijblijvend gesprek.