Uitgebreide gids voor de EU AI Act & AI-wetgeving in Nederland

Inleiding: Wat is de EU AI Act?

De EU AI Act heeft als doel een evenwicht te vinden tussen het stimuleren van innovatie en het beschermen van grondrechten, veiligheid en ethiek. De wetgeving hanteert een risicogebaseerde aanpak: hoe groter het risico van het AI-systeem, hoe strenger de regels. Als eerste bindende AI-wet wereldwijd schept het een precedent voor hoe democratieën opkomende technologie reguleren.

De vier risicocategorieën

• Onaanvaardbaar risico (Verboden systemen): Systemen die een duidelijke bedreiging vormen voor de veiligheid en rechten van mensen. Voorbeelden zijn social scoring door overheden, subliminale beïnvloedingstechnieken en realtime biometrische identificatie in openbare ruimten (met beperkte uitzonderingen voor wetshandhaving).

• Hoog risico (Gereguleerd): Systemen met een significante impact op het leven van mensen — in HR en werving, kritieke infrastructuur, onderwijs, gezondheidszorg en het rechtsstelsel. Deze moeten een conformiteitsbeoordeling (CE-markering) ondergaan, hoogwaardige datasets gebruiken om discriminatie te voorkomen, gedetailleerde documentatie en logging bijhouden, menselijk toezicht implementeren (human-in-the-loop) en robuustheid, cyberbeveiliging en nauwkeurigheid garanderen.

• Beperkt risico (Transparantieverplichting): AI-systemen waarbij gebruikers moeten weten dat ze met AI communiceren. Voorbeelden zijn chatbots, deepfake-generatoren en emotieherkenningssystemen. De primaire verplichting is transparantie.

• Minimaal / Geen risico (Vrij toegestaan): De overgrote meerderheid van AI-toepassingen — AI-gestuurde spellen, spamfilters, aanbevelingssystemen. Geen specifieke wettelijke verplichtingen onder de AI Act, hoewel vrijwillige gedragscodes worden aangemoedigd.

AI-wetgeving in de Nederlandse context

• Toezichthouders: De Autoriteit Persoonsgegevens (AP) is een centrale speler gezien de overlap tussen AI en persoonsgegevens. De Rijksinspectie Digitale Infrastructuur (RDI) en sectorspecifieke toezichthouders — zoals de AFM voor financiële diensten — spelen ook een cruciale rol in het nationale AI-toezicht.

• Overlap met de AVG/GDPR: Elke AI-toepassing die persoonsgegevens verwerkt valt direct onder de Algemene Verordening Gegevensbescherming. Dataminimalisatie, doelbinding en de rechtsgrondslag voor het trainen van modellen blijven onverminderd van kracht. De AI Act vervangt de AVG niet — zij vult deze aan.

• AI-geletterdheid (Artikel 4): Een fundamenteel onderdeel van de wet vereist dat aanbieders en gebruikers van AI ervoor zorgen dat hun personeel voldoende AI-geletterd is. Dit is geen optie — het is een wettelijke verplichting die van invloed is op training, inkoop en operaties.

Stapsgewijs nalevingsplan

• 1. Inventarisatie: Breng alle AI-systemen in de organisatie in kaart. Identificeer welke intern zijn ontwikkeld (als 'aanbieder') en welke bij derden zijn ingekocht (als 'gebruiker' of 'deployer').

• 2. Risicoklassificatie: Bepaal voor elk systeem in welke van de vier risicocategorieën het valt. Documenteer de redenering, met name voor systemen nabij de drempel voor hoog risico.

• 3. Gap-analyse & governance: Beoordeel of huidige IT-processen, contracten (SLA's, verwerkersovereenkomsten) en intern beleid al voldoen aan de eisen van de AI Act. Pas ze aan waar ze tekortschieten.

• 4. Training & AI-geletterdheid: Investeer in AI-geletterdheidsprogramma's voor medewerkers op alle niveaus — van bestuurders die strategie bepalen tot operationele medewerkers die dagelijks AI-tools gebruiken.

• 5. Doorlopend toezicht: Naleving van de AI Act is geen eenmalig project. Stel monitoringprocessen in om regelgevingsupdates, nieuwe richtlijnen van de AP en RDI, en wijzigingen in het gebruik van uw AI-systemen bij te houden.

Belangrijke data en tijdlijn

De EU AI Act is op 1 augustus 2024 in werking getreden. Verboden systemen moeten uiterlijk februari 2025 voldoen. Verplichtingen voor hoog-risicosystemen in Bijlage I gelden vanaf augustus 2026, en bredere verplichtingen voor hoog-risicosystemen vanaf augustus 2027. De Nederlandse overheid bereidt actief nationale handhavingsinfrastructuur voor om deze deadlines te ondersteunen.

Hoe Gigabyte Consultancy kan helpen

Gigabyte Consultancy ondersteunt organisaties in Nederland en de EU bij het navigeren van AI Act-naleving. Van AI-systeeminventarisaties en risicoklassificaties tot governancekaders, human-in-the-loop-implementatie, opzet van audittrails en AI-geletterdheidsprogramma's voor medewerkers — wij bieden praktische, implementatiegerichte ondersteuning.