De AI Act explainer voor niet-juristen: alleen wat je moet weten
Verboden gezichtsherkenning, verplichte risicoanalyses en transparantieregels voor chatbots — de EU-wetgeving is van kracht. Hier lees je wat het praktisch betekent, zonder juridisch jargon.
Frank Duindam
Vanaf maart 2025 zijn de basisregels van kracht
De Europese AI Act is sinds augustus 2024 officieel wet. De meeste verplichtingen gaan gefaseerd in tussen 2025 en 2027, maar enkele regels golden al vanaf februari 2025. Als je AI gebruikt in je werk, als klant of als burger, is het verstandig te snappen welke systemen onder welke regels vallen.
De kern: de EU deelt AI-systemen op in risicocategorieën. Hoe groter het risico voor mensen, hoe strenger de eisen. Dit artikel laat zien waar de grenzen liggen — zonder dat je juridische teksten hoeft te ontrafelen.
Vier categorieën: van verboden tot laag risico
De AI Act hanteert vier niveaus:
Onaanvaardbaar risico — volledig verboden
Hoog risico — mag, maar met strikte verplichtingen
Beperkt risico — transparantieverplichting
Minimaal risico — geen specifieke eisen
De meeste AI-toepassingen vallen in die laatste categorie. Denk aan spelletjes, spamfilters, aanbevelingen voor series op Netflix. Voor die systemen verandert er niets.
Maar zodra AI invloed heeft op fundamentele rechten — zoals bij sollicitaties, kredietaanvragen, medische diagnoses of politiewerk — wordt het interessant.
Wat is verboden (onaanvaardbaar risico)
Een handvol AI-toepassingen mag de EU niet toestaan, omdat ze te veel inbreuk maken op mensenrechten. Deze verboden gelden vanaf februari 2025:
Social scoring door overheden — zoals een systeem dat burgers een 'betrouwbaarheidsscore' geeft op basis van gedrag (denk aan het Chinese sociale kredietsysteem). Dit mag nergens in de EU.
Manipulatieve AI — systemen die kwetsbare groepen (kinderen, ouderen, mensen met een beperking) bewust misleiden of onder druk zetten. Bijvoorbeeld een chatbot die een kind overhaalt iets gevaarlijks te doen.
Biometrische categorisering in real-time — systemen die op straat automatisch iemands ras, geloof, politieke overtuiging of seksuele voorkeur proberen te 'lezen' via camera's. Uitzondering: achteraf analyseren van beelden mag onder strikte voorwaarden, bijvoorbeeld bij terrorisme-onderzoek.
Emotieherkenning op scholen en op de werkvloer — een systeem dat via gezichtsuitdrukkingen bepaalt of je 'gelukkig' of 'gestrest' bent, mag niet zomaar door werkgevers of scholen worden ingezet. Er zijn uitzonderingen voor medische doeleinden of veiligheidsredenen.
Massale gezichtsherkenning in de openbare ruimte — live camera's die iedereen identificeren terwijl je over straat loopt. Dit is verboden, met enkele strikte uitzonderingen voor terrorismebestrijding of opsporing van vermiste kinderen, en alleen na rechterlijke toestemming.
Als een bedrijf of overheid tóch zo'n systeem gebruikt, riskeert het boetes tot 7% van de wereldwijde omzet of 35 miljoen euro (wat het hoogste is).
Wat is hoog-risico (en wat betekent dat)
Hoog-risico AI mag wél, maar moet aan harde eisen voldoen. Dit zijn systemen die ingrijpende beslissingen nemen over mensen. De AI Act noemt specifieke sectoren:
Werk en HR — AI die cv's screent, sollicitatiegesprekken analyseert, prestaties beoordeelt of promoties voorstelt.
Onderwijs — systemen die studenten een studieadvies geven, examens beoordelen of toegang tot opleidingen bepalen.
Financiële diensten — AI die kredietaanvragen beoordeelt, verzekeringspremies vaststelt of iemands kredietwaardigheid inschat.
Rechtspraak en politie — algoritmes die recidiverisico inschatten, verdachten prioriteren of bewijsmateriaal analyseren.
Migratie en grensbewaking — gezichtsherkenning bij paspoortcontroles, risico-inschatting voor asielaanvragen.
Essentiële diensten — AI die bepaalt of je in aanmerking komt voor een sociale uitkering, zorgtoeslag of publieke voorzieningen.
Medische hulpmiddelen — diagnostische tools, behandelplannen, risicoanalyse voor patiënten (alleen als het systeem als medisch hulpmiddel is gecertificeerd).
Wat moeten leveranciers van hoog-risico AI doen?
Als een bedrijf zo'n systeem op de markt brengt, moet het:
Risicoanalyse uitvoeren — documenteren welke fouten kunnen optreden en hoe die worden voorkomen.
Datakwaliteit waarborgen — de trainingsdata moeten representatief en accuraat zijn. Als je een sollicitatie-AI traint op data waarin vrouwen structureel lager scoren, reproduceert het systeem die bias.
Technische documentatie bijhouden — hoe werkt het model, welke data zijn gebruikt, hoe presteren de algoritmes?
Menselijk toezicht inbouwen — er moet altijd een mens kunnen ingrijpen. Een volledig geautomatiseerde afwijzing van een kredietaanvraag zonder menselijke beoordeling is niet toegestaan.
Transparantie richting gebruikers — mensen moeten weten dat een AI-systeem een rol speelt in de beslissing die over hen wordt genomen.
Registratie in een EU-database — hoog-risico systemen worden opgenomen in een openbare databank, zodat toezichthouders en burgers kunnen zien welke systemen in omloop zijn.
Wat betekent dit voor gebruikers?
Als jouw werkgever een AI-tool gebruikt om prestaties te beoordelen, mag je vragen: hoe werkt dit systeem? Welke data worden gebruikt? Kan ik bezwaar maken tegen de uitkomst? De leverancier en gebruiker van het systeem zijn verplicht die informatie te geven.
Wat valt onder beperkt risico (transparantieplicht)
Dit is de categorie waar de meeste mensen direct mee te maken krijgen: chatbots, deepfakes, AI-gegenereerde teksten en afbeeldingen.
De regel is simpel: je moet weten dat je met AI te maken hebt.
Chatbots — als je chat met een AI-assistent (klantenservice, website-bot), moet het systeem vertellen dat het geen mens is. Tenzij het uit de context al overduidelijk is.
Deepfakes en synthetische content — AI-gegenereerde video's, audio (zoals een nagesynchroniseerde stem van een politicus) of afbeeldingen moeten gelabeld worden. "Dit is gegenereerd met AI" of een watermerk. Uitzondering: als het duidelijk satire, kunst of redactionele illustratie is.
Emotieherkenning en biometrische systemen — als een bedrijf een systeem gebruikt dat jouw emoties of biometrische kenmerken analyseert, moet je daar van tevoren over geïnformeerd worden.
De EU wil voorkomen dat mensen ongemerkt gemanipuleerd of misleid worden. Als je weet dat je met AI communiceert, kun je je verwachtingen aanpassen.
Wat valt onder minimaal risico (vrijwel alles)
De meeste AI-systemen hebben geen specifieke regels. Denk aan:
Spelletjes met AI-tegenstanders
Aanbevelingsalgoritmes voor muziek, films, recepten
AI-tools die je helpen teksten te schrijven, samenvattingen te maken, foto's te bewerken
Interne bedrijfstools die geen beslissingen over mensen nemen
Hiervoor blijven de algemene regels gelden: AVG voor privacy, consumentenrecht, aansprakelijkheid. Maar geen extra AI-specifieke eisen.
Hoe zit het met algemene AI-modellen (zoals ChatGPT)?
Grote taalmodellen zoals GPT-4, Claude of Gemini vallen onder aparte regels. De leveranciers moeten:
Transparant zijn over hoe het model getraind is (welke data, welke methodes)
Copyright-informatie delen — of auteursrechtelijk beschermd materiaal is gebruikt
Een samenvatting publiceren van de trainingsdata
Systemen bouwen om misbruik tegen te gaan (zoals het genereren van illegale content)
Voor de allergrootste modellen (meer dan 10^25 floating point operations tijdens de training — een maatstaf voor rekenkracht) gelden nóg strengere eisen, zoals verplichte risicoanalyses en stresstests.
Wie handhaaft de AI Act?
Elk EU-land wijst een nationale toezichthouder aan. In Nederland is dat de Autoriteit Persoonsgegevens (AP), die al toezicht houdt op de AVG. Voor sectoren zoals medische hulpmiddelen of luchtvaart zijn er gespecialiseerde instanties.
Daarnaast komt er een Europees AI Bureau dat toezicht houdt op de grootste algemene AI-modellen.
Boetes kunnen fors zijn: tot 35 miljoen euro of 7% van de wereldwijde jaaromzet voor de zwaarste overtredingen (verboden systemen). Voor minder ernstige overtredingen liggen de boetes lager, maar nog altijd aanzienlijk.
Wat kun je er morgen mee?
Drie dingen om te onthouden:
Vraag altijd of AI een rol speelt in beslissingen die jou raken — bij je werkgever, verzekeraar, bank, school. Je hebt daar recht op.
Let op labels bij gegenereerde content — deepfakes en synthetische media moeten gemarkeerd zijn. Als dat niet zo is, mag je dat melden bij de toezichthouder.
Weet dat niet alle AI hetzelfde is — een chatbot op een website heeft andere regels dan een algoritme dat bepaalt of je een hypotheek krijgt. Hoog-risico systemen hebben véél strengere eisen, en jij hebt meer rechten als gebruiker.
De AI Act is geen volmaakt document — er blijven grijze zones, en handhaving zal tijd kosten. Maar het is de eerste wet wereldwijd die een duidelijke grens trekt: AI mag niet alles, en waar het wél mag, moet het verantwoord.
Wil je meer weten? Kijk op de website van de Europese Commissie (digital-strategy.ec.europa.eu/ai-act) of van de Autoriteit Persoonsgegevens. Of vraag je werkgever, verzekeraar of gemeente hoe zij omgaan met AI-systemen — vanaf nu mogen en móeten ze daar antwoord op geven.
Lees ook
AVG en AI: de 5 vragen die elk bedrijf zich moet stellen
Je gebruikt AI voor klantcontact of personeelsanalyse. Maar heb je bedacht welke rechtsgrondslag je hebt? En wat doet die chatbot eigenlijk met die data? Concreet verhaal over compliance die verder gaat dan een vinkje.
Bias in AI: waarom je model discrimineert zonder dat je het weet
Je AI-model lijkt perfect te werken, tot iemand erachter komt dat het systematisch bepaalde groepen benadeelt. Hoe ontstaat dit — en belangrijker: hoe voorkom je het?
AI-transparantie verplicht stellen: wat betekent dit voor je bedrijf?
Vanaf dit jaar moet je in sommige gevallen expliciet vermelden wanneer content door AI is gemaakt. We leggen uit wanneer dat moet, hoe je dat doet, en waar je op moet letten.