AI Act — een nieuwe regulerende realiteit
De Europese Unie heeft als eerste ter wereld een alomvattende regelgeving voor kunstmatige intelligentie gecreëerd. De AI Act-verordening (Regulation (EU) 2024/1689) is op 1 augustus 2024 in werking getreden en wordt gefaseerd toegepast: de eerste verplichtingen gelden vanaf 2 februari 2025, het hoofddeel vanaf 2 augustus 2026, volledige toepassing vanaf 2 augustus 2027. Elke onderneming die AI-systemen in de operationele activiteiten in de EU implementeert, moet er bekend mee zijn.
De AI Act verbiedt kunstmatige intelligentie niet — hij reguleert het op basis van een risicogebaseerde benadering. Hoe hoger het risico, hoe strenger de eisen. De meeste zakelijke AI-toepassingen vallen in de categorieën laag of beperkt risico, wat relatief lichte verplichtingen betekent. Maar er zijn gebieden waar de eisen zeer rigoureus zijn.
Tijdschema van inwerkingtreding (Art. 113)
- 1 augustus 2024 — inwerkingtreding van de verordening
- 2 februari 2025 — toepassing van verboden op gevaarlijke praktijken (Hoofdstuk II, Art. 5) en de AI-geletterdheidsverplichting (Art. 4)
- 2 augustus 2025 — verplichtingen voor aanbieders van general-purpose AI-modellen (Hoofdstuk V) en bepalingen over toezichthoudende autoriteiten en boetes
- 2 augustus 2026 — toepassing van verplichtingen voor hoog-risicosystemen (Hoofdstuk III), transparantie van chatbots en deepfakes (Art. 50), regulatoire sandboxen
- 2 augustus 2027 — volledige toepassing, inclusief verplichtingen voor hoog-risicosystemen die zijn ingebouwd in producten die al onder bestaande EU-harmonisatievoorschriften vallen (Bijlage I)
Risicoclassificatie van AI-systemen
De AI Act verdeelt AI-systemen in vier risicocategorieën:
- Onaanvaardbaar risico (verboden, Art. 5) — systemen die menselijk gedrag manipuleren onder de bewustzijnsdrempel, social scoring door overheden, realtime biometrische bewaking (met uitzonderingen), emotieherkenning op de werkplek en in het onderwijs, voorspellende criminele profilering. Deze systemen zijn verboden.
- Hoog risico (Hoofdstuk III, Art. 6-27) — AI gebruikt in werving, kredietverlening, gezondheidszorg, onderwijs, rechtspraak, kritieke infrastructuur. De strengste eisen: documentatie, testing, transparantie, menselijk toezicht, registratie in de EU-database.
- Beperkt risico (Art. 50) — chatbots, deepfakes, content-genererende systemen. Transparantieverplichting: de gebruiker moet weten dat hij met AI praat, en door AI gegenereerde content moet machineleesbaar worden gemarkeerd.
- Minimaal risico — de meeste zakelijke AI-toepassingen: spamfilters, productaanbevelingen, automatisering van interne processen. Minimale of geen verplichtingen.
Wie is aanbieder en wie is gebruiker van een AI-systeem?
De AI Act onderscheidt twee belangrijke rollen. Aanbieder (provider) is een entiteit die een AI-systeem creëert en op de markt brengt. Deployer is een entiteit die een AI-systeem in de economische activiteit gebruikt. De verplichtingen verschillen per rol — aanbieders hebben strengere eisen op het gebied van technische documentatie en certificering.
Een bedrijf dat een kant-en-klare AI-oplossing van een aanbieder koopt en deze voor eigen processen gebruikt, is een deployer. Een bedrijf dat een model aanpast of fine-tunet voor eigen toepassingen kan een aanbieder worden met alle bijbehorende consequenties.
Verplichtingen van deployers van hoog-risicosystemen (Art. 26)
Als uw bedrijf een hoog-risico AI-systeem gebruikt (bijv. een scoringsysteem in het kredietproces, een tool voor cv-preselectie, een medisch diagnoseondersteuningssysteem), moet u:
- Menselijk toezicht op de beslissingen van het AI-systeem waarborgen
- Operationele logs gedurende minimaal 6 maanden bijhouden
- Een effectbeoordeling voor de grondrechten uitvoeren (FRIA, Art. 27)
- Werknemers informeren over AI-systemen die hen betreffen
- Ernstige incidenten en storingen aan de bevoegde toezichthoudende autoriteit melden
Regulatoire sandboxen (Art. 57-63)
De AI Act voorziet in regulatoire sandboxen — een mechanisme waarmee bedrijven innovatieve AI-systemen onder toezicht van de toezichthoudende autoriteit kunnen testen in een gecontroleerde omgeving. Elke lidstaat is verplicht om vóór 2 augustus 2026 ten minste één sandbox in te stellen. Voor bedrijven die AI-oplossingen in hoog-risicogebieden ontwikkelen, is dit een praktisch pad om feedback van toezichthouders te krijgen vóór de volledige certificering.
Sancties (Art. 99)
Boetes voor overtreding van de AI Act zijn getrapt afhankelijk van het type overtreding:
- tot 35 miljoen EUR of 7% van de wereldwijde jaaromzet (het hoogste bedrag) voor het toepassen van verboden praktijken (Art. 5)
- tot 15 miljoen EUR of 3% van de wereldwijde jaaromzet voor overtredingen van overige verplichtingen van de verordening
- tot 7,5 miljoen EUR of 1% van de wereldwijde jaaromzet voor het verstrekken van onjuiste, onvolledige of misleidende informatie aan toezichthoudende autoriteiten
Voor KMO's en start-ups geldt het laagste van de twee bedragen, om onevenredige last te voorkomen.
Hoe ESKOM.AI naleving van de AI Act ondersteunt
ESKOM.AI helpt organisaties zich voor te bereiden op de AI Act-vereisten. Wij bieden een audit van bestaande AI-systemen op risicoclassificatie, het opstellen van technische documentatie, de implementatie van mechanismen voor menselijk toezicht en logging, evenals trainingen voor teams die verantwoordelijk zijn voor compliance. Elke nieuwe AI-implementatie van onze kant is vanaf dag één ontworpen met het oog op AI Act-naleving.