De EU AI Act (Verordening (EU) 2024/1689) is de eerste uitgebreide AI-wetgeving ter wereld. De verordening stelt regels op basis van risico voor het in de handel brengen, in gebruik nemen en gebruiken van AI-systemen in de Europese Unie.

Wanneer is de AI Act van kracht?

De AI Act is op 1 augustus 2024 in werking getreden. De bepalingen worden gefaseerd toegepast: verboden praktijken vanaf 2 februari 2025, GPAI-verplichtingen vanaf 2 augustus 2025, en de meeste verplichtingen voor hoog-risico AI-systemen vanaf 2 augustus 2026. Volledig van kracht op 2 augustus 2027.

Welke risiconiveaus kent de AI Act?

De AI Act onderscheidt vier risiconiveaus: onaanvaardbaar risico (verboden), hoog risico (strikt gereguleerd), beperkt risico (transparantieverplichtingen) en minimaal risico (geen specifieke verplichtingen). Daarnaast gelden aparte regels voor general-purpose AI (GPAI) modellen.

Hoe hoog zijn de boetes onder de AI Act?

Boetes lopen op tot € 35 miljoen of 7% van de wereldwijde jaaromzet voor verboden praktijken, tot € 15 miljoen of 3% voor andere overtredingen, en tot € 7,5 miljoen of 1% voor het verstrekken van onjuiste informatie aan toezichthouders.

Voor wie geldt de AI Act?

De AI Act geldt voor aanbieders, gebruiksverantwoordelijken (deployers), importeurs, distributeurs en fabrikanten van AI-systemen, ook als zij buiten de EU gevestigd zijn maar het AI-systeem in de EU op de markt brengen of gebruiken.

AI Act Kompas — Interactieve gids voor de EU AI Act (Verordening 2024/1689)

Hoofdstuk 01

Wat is de AI Act?

Een risicogebaseerd regelgevingskader dat AI-innovatie mogelijk maakt en tegelijk grondrechten beschermt.

De verordening

De AI Act (Verordening (EU) 2024/1689) is de eerste uitgebreide wetgeving ter wereld die artificiële intelligentie reguleert. De wet is op 1 augustus 2024 in werking getreden en wordt gefaseerd van kracht.

De EU wil innovatie bevorderen en tegelijk de grondrechten van burgers beschermen. De AI Act zorgt voor een geharmoniseerd kader zodat AI-systemen veilig, transparant en niet-discriminerend zijn.

Voor wie geldt het?

Aanbieders (developers) van AI-systemen die in de EU op de markt worden gebracht
Gebruiksverantwoordelijken (deployers) die AI-systemen inzetten in de EU
Importeurs en distributeurs van AI-systemen
Fabrikanten die AI-systemen in hun producten integreren
Ook bedrijven buiten de EU als hun AI-systeem in de EU wordt gebruikt

Kernprincipes

Risicogebaseerde aanpak

Strengere regels voor hogere risico's. Het overgrote deel van AI-systemen valt onder minimaal risico en heeft geen verplichtingen.

Bescherming van grondrechten

Privacy, non-discriminatie en transparantie staan centraal. Burgers hebben recht op uitleg bij AI-beslissingen.

Innovatievriendelijk

Regulatory sandboxes voor experimenten. KMO's en startups krijgen proportionele regels en ondersteuning.

Extraterritoriale werking

De wet geldt ook voor organisaties buiten de EU wanneer hun AI-systemen worden gebruikt door personen in de EU.

Hoofdstuk 02

De Risicopiramide

De AI Act classificeert AI-systemen in vier risicocategorieën. Klik op een niveau voor details.

Onaanvaardbaar risico Verboden

Deze AI-systemen zijn volledig verboden:

Manipulatieve technieken die schade veroorzaken
Exploitatie van kwetsbare groepen (leeftijd, handicap)
Social scoring door overheden
Real-time biometrische identificatie op afstand in openbare ruimtes door rechtshandhaving (met uitzonderingen)
Biometrische categorisatie op basis van gevoelige kenmerken
Scrapen van gezichtsbeelden voor gezichtsherkenningsdatabanken
Emotieherkenning op de werkplek en in het onderwijs
Predictive policing op basis van profilering

Van kracht sinds: 2 februari 2025

Hoog risico Strenge eisen & conformiteitsbeoordeling

AI-systemen in kritieke sectoren:

Biometrie & identificatie
Kritieke infrastructuur (water, gas, elektriciteit, verkeer)
Onderwijs & beroepsopleiding (toelating, beoordeling)
Werkgelegenheid (werving, evaluatie, ontslag)
Essentiële diensten (kredietbeoordeling, verzekeringen)
Rechtshandhaving (bewijsbeoordeling, recidiverisico)
Migratie & grenscontrole (asielaanvragen, risicoanalyse)
Rechtsbedeling (juridisch onderzoek, feiten toepassen op recht)

Verplichtingen: Risicobeheersysteem, datakwaliteit, technische documentatie, logging, transparantie, menselijk toezicht, nauwkeurigheid & robuustheid, cybersecurity.

Van kracht: 2 augustus 2026

Beperkt risico Transparantieverplichtingen

AI-systemen met transparantieverplichtingen:

Chatbots — gebruikers moeten weten dat ze met AI communiceren
Deepfakes — moeten gelabeld worden als AI-gegenereerd
Emotieherkenning — gebruikers moeten worden geïnformeerd
AI-gegenereerde tekst — moet als zodanig worden aangemerkt wanneer gepubliceerd over publieke aangelegenheden

Van kracht: 2 augustus 2026

Minimaal risico Geen specifieke verplichtingen

Het overgrote deel van AI-systemen valt in deze categorie:

Spamfilters
AI in videogames
Inventarisbeheersystemen
Vertaaldiensten
Aanbevelingsalgoritmen (niet-hoog-risico)

Geen verplichtingen uit de AI Act, maar vrijwillige gedragscodes worden aangemoedigd.

General Purpose AI (GPAI)

AI-modellen voor algemene doeleinden (zoals grote taalmodellen) hebben aparte regels:

Technische documentatie en informatie aan downstream-aanbieders
Naleving van het auteursrecht
Publiceren van een samenvatting van de trainingsdata
Systeemrisico-modellen (zeer krachtige modellen): aanvullende verplichtingen zoals modelevaluatie, adversarial testing, ernstige incidenten melden, cyberbeveiliging

Hoofdstuk 03

Risico-check

Beantwoord zeven vragen om een indicatief risiconiveau te bepalen voor jouw AI-systeem.

Hoofdstuk 04

Implementatietijdlijn

De AI Act wordt gefaseerd ingevoerd. De rode stip markeert de huidige fase.

1 augustus 2024

AI Act treedt in werking (publicatie in het Publicatieblad van de EU)

2 februari 2025

Verboden AI-praktijken worden van kracht. AI-geletterdheidsverplichtingen gaan in.

2 augustus 2025

GPAI-regels worden van kracht. Benoeming van nationale toezichthouders. Governance-structuur operationeel.

2 augustus 2026

Hoog-risico AI-systemen (bijlage III) en transparantieverplichtingen worden van kracht. Volledige handhaving.

2 augustus 2027

Hoog-risico AI-systemen in gereguleerde producten (bijlage I) worden van kracht.

31 december 2030

Bestaande AI-systemen bij overheidsinstanties moeten volledig voldoen.

Hoofdstuk 05

Verplichtingen per rol

Klik op een rol om de specifieke verplichtingen te bekijken.

Aanbieders (Providers) ▾

Risicobeheersysteem opzetten en onderhouden
Data governance en datakwaliteit waarborgen
Technische documentatie opstellen
Automatische logging inbouwen
Transparantie-informatie verstrekken aan gebruikers
Menselijk toezicht mogelijk maken
Nauwkeurigheid, robuustheid en cybersecurity garanderen
Conformiteitsbeoordeling uitvoeren vóór marktintroductie
CE-markering aanbrengen
EU-databank registratie
Kwaliteitsmanagementsysteem implementeren
Post-market monitoring
Ernstige incidenten melden

Gebruiksverantwoordelijken (Deployers) ▾

AI-systeem gebruiken conform de gebruiksaanwijzing
Menselijk toezicht toewijzen aan bevoegde personen
Inputdata relevant en representatief houden
Werking van het AI-systeem monitoren
Logs bewaren (minimaal 6 maanden)
Werknemers en hun vertegenwoordigers informeren over AI-gebruik
Grondrechteneffectbeoordeling uitvoeren (voor bepaalde organisaties)
Betrokken personen informeren over geautomatiseerde besluitvorming
Samenwerken met toezichthouders

GPAI-aanbieders ▾

Technische documentatie opstellen en bijhouden
Informatie en documentatie verstrekken aan downstream-aanbieders
Beleid invoeren om het auteursrecht na te leven
Samenvatting van trainingsdata publiceren

Extra voor GPAI met systeemrisico

Modelevaluaties uitvoeren
Adversarial testing (red teaming)
Systeemrisico's beoordelen en beperken
Ernstige incidenten bijhouden en rapporteren
Adequate cyberbeveiliging

AI-geletterdheid (alle organisaties) ▾

Sinds 2 februari 2025 moeten alle organisaties die AI-systemen aanbieden of gebruiken zorgen voor voldoende AI-geletterdheid van hun personeel:

Trainingen en bewustmaking over AI-systemen
Kennis van technische aspecten en beperkingen
Begrip van de juridische en ethische context
Aangepast aan het kennisniveau en de rol van het personeel

Hoofdstuk 06

Sancties en boetes

De AI Act voorziet in aanzienlijke boetes bij niet-naleving.

⛔

Verboden praktijken

€35M

of 7% wereldwijde omzet

het hoogste bedrag geldt

⚠

Hoog-risico verplichtingen

€15M

of 3% wereldwijde omzet

het hoogste bedrag geldt

ℹ

Onjuiste informatie

€7,5M

of 1% wereldwijde omzet

het hoogste bedrag geldt

KMO's en startups

Voor kleine en middelgrote ondernemingen en startups gelden proportionele boeteplafonds, zodat de sancties niet onevenredig uitvallen. De lagere drempel (percentage of vast bedrag) is van toepassing.

Wie handhaaft?

Nationaal: Markttoezichtautoriteiten per lidstaat
EU-niveau: Het AI Office (Europese Commissie)
Klachtrecht: Burgers kunnen klachten indienen
Recht op uitleg: Bij hoog-risico AI-beslissingen

Hoofdstuk 08

25 Praktijk Use Cases

Echte AI-toepassingen beoordeeld onder de AI Act. Klik op "Bekijk feedback" voor een juridische analyse.

1. Social scoring van burgers

Onaanvaardbaar

Overheidsinstantie — puntensysteem op basis van sociaal gedrag

Een gemeente wil een puntensysteem invoeren dat burgers beoordeelt op basis van hun sociale gedrag — afvalscheiding, buurtparticipatie, betalingsgedrag — om voorrang te geven bij diensten.

Verboden. Social scoring door overheden is expliciet verboden onder Art. 5(1)(c) van de AI Act. Dit systeem mag niet worden ontwikkeld, op de markt gebracht of gebruikt in de EU. Het maakt niet uit hoe 'positief' het doel is geformuleerd — het classificeren van burgers op basis van sociaal gedrag met nadelige gevolgen is niet toegestaan. Actie: Onmiddellijk stopzetten. Sinds 2 feb 2025 van kracht.

2. Real-time gezichtsherkenning op straat

Onaanvaardbaar

Politiekorps — camerasysteem type Clearview AI

Een politiekorps wil real-time biometrische identificatie toepassen op camera's in het stadscentrum om gezochte personen automatisch te herkennen in de menigte.

Verboden (met smalle uitzonderingen). Real-time biometrische identificatie op afstand in openbare ruimtes door rechtshandhaving is in principe verboden (Art. 5(1)(h)). Er zijn slechts drie strikt afgebakende uitzonderingen: zoeken naar vermiste personen/ontvoeringsslachtoffers, voorkomen van een specifieke terroristische dreiging, en opsporing van verdachten van ernstige misdrijven. Elke inzet vereist voorafgaande rechterlijke toestemming.

3. Emotieherkenning op de werkplek

Onaanvaardbaar

Callcenter — AI-emotieanalyse type Cogito

Een callcenter wil AI inzetten die via stemanalyse de emoties van medewerkers monitort om "stressniveaus" te meten en productiviteitsscores te koppelen aan de emotionele staat van werknemers.

Verboden. Emotieherkenning op de werkplek is expliciet verboden onder Art. 5(1)(f). De wetgever beschouwt dit als een onaanvaardbare inbreuk op de waardigheid en privacy van werknemers. Het maakt niet uit of het wordt geframed als "welzijnsmonitoring". Actie: Dit systeem mag niet worden ingezet. Zoek alternatieve, niet-AI-methoden voor welzijnsbeleid.

4. Manipulatieve AI gericht op kinderen

Onaanvaardbaar

Speelgoedfabrikant — interactieve AI-pop

Een speelgoedbedrijf ontwikkelt een AI-aangedreven interactieve pop die via gepersonaliseerde gesprekken kinderen subtiel aanstuurt om extra accessoires te willen kopen, door in te spelen op emotionele gehechtheid.

Verboden. Dit valt onder Art. 5(1)(a) en (b): manipulatieve AI-technieken én exploitatie van kwetsbare groepen (kinderen). Het doelbewust inzetten van AI om het gedrag van kinderen te manipuleren voor commercieel gewin is een van de duidelijkste voorbeelden van verboden praktijken. Actie: Onmiddellijk uit de handel nemen. Herontwerp zonder manipulatieve technieken.

5. AI-screening van sollicitanten

Hoog risico

HR-platform type HireVue / Textkernel

Een groot bedrijf gebruikt AI om cv's te screenen, kandidaten te ranken en automatisch de eerste selectieronde uit te voeren op basis van patroonherkenning in eerdere succesvolle aanwervingen.

Hoog risico — Bijlage III, punt 4(a). AI voor werving en selectie is expliciet hoog-risico. Het systeem kan onbedoeld discrimineren (bijv. geslacht, leeftijd, etniciteit) als de trainingsdata historische vooroordelen bevatten — het beruchte Amazon-voorbeeld. Verplichtingen: Risicobeheersysteem, bias-testing, transparantie naar kandidaten, menselijk toezicht bij finale beslissingen, technische documentatie, logging. Kandidaten moeten worden geïnformeerd dat AI wordt gebruikt. Deadline: 2 augustus 2026.

6. Kredietscoring door een bank

Hoog risico

Bank met AI-kredietmodel type FICO / Zest AI

Een bank gebruikt een AI-model om de kredietwaardigheid van consumenten te beoordelen en automatisch te beslissen over het toekennen of weigeren van leningen en de rentevoet.

Hoog risico — Bijlage III, punt 5(b). AI voor kredietbeoordeling en risicoscoring van natuurlijke personen is hoog-risico. Onjuiste beoordelingen kunnen mensen uitsluiten van essentiële financiële diensten. Verplichtingen: Het model moet uitlegbaar zijn, bias-tests ondergaan op beschermde kenmerken, menselijk toezicht hebben bij weigeringen, en consumenten moeten recht op uitleg krijgen. Grondrechteneffectbeoordeling vereist.

7. AI-gestuurde examenbeoordeling

Hoog risico

Universiteit met AI-beoordeling type Gradescope

Een universiteit gebruikt AI om open vragen in tentamens automatisch te beoordelen en cijfers toe te kennen, inclusief beslissingen over slagen/zakken.

Hoog risico — Bijlage III, punt 3(a). AI in het onderwijs die toegang, toelating of beoordeling bepaalt is hoog-risico. Het bepaalt de educatieve en professionele toekomst van studenten. Verplichtingen: Menselijk toezicht is cruciaal — een docent moet de mogelijkheid hebben om AI-beoordelingen te overrulen. Het systeem moet getraind zijn op representatieve data, en studenten moeten worden geïnformeerd over AI-gebruik.

8. Predictive policing

Hoog risico

Politie met gebiedsgerichte voorspelling type PredPol

Een politiekorps gebruikt AI om te voorspellen in welke buurten de kans op criminaliteit het grootst is, en stuurt hierop politie-inzet aan. Het systeem voorspelt hotspots, geen individuen.

Hoog risico (let op de grens met verboden). Predictive policing op basis van individuele profilering is verboden (Art. 5(1)(d)). Gebiedsgerichte voorspellingen (waar, niet wie) zijn hoog-risico onder Bijlage III, punt 6. Risico: Zelfs gebiedsgerichte modellen kunnen indirect discrimineren als historische politiedata de trainingsdata vormen — overpolicing in bepaalde wijken wordt dan versterkt.

9. AI voor medische beelddiagnostiek

Hoog risico

Ziekenhuis met AI-radiologie type Lunit / Aidence

Een ziekenhuis zet AI in om röntgenfoto's en CT-scans te analyseren en tumoren of afwijkingen te detecteren, als ondersteuning voor radiologen bij hun diagnose.

Hoog risico — Bijlage I (medisch hulpmiddel). AI-systemen die als medisch hulpmiddel kwalificeren vallen onder de bestaande MDR-regelgeving én de AI Act. Verplichtingen: CE-markering als medisch hulpmiddel, conformiteitsbeoordeling via een notified body, klinische evaluatie, post-market surveillance, én alle AI Act hoog-risico vereisten. De radioloog blijft eindverantwoordelijk. Dit is een schoolvoorbeeld van waardevolle hoog-risico AI.

10. Autonome besturing energienetwerk

Hoog risico

Netbeheerder met AI-gestuurde load balancing type Siemens

Een energienetbeheerder gebruikt AI om in real-time de elektriciteitsbelasting te voorspellen en automatisch het netwerk te balanceren, inclusief het afschakelen van segmenten bij overbelasting.

Hoog risico — Bijlage III, punt 2. AI als veiligheidscomponent van kritieke infrastructuur (elektriciteit, water, gas) is hoog-risico. Fouten kunnen leiden tot black-outs. Verplichtingen: Uitgebreide technische documentatie, robuustheidstesting, fallback-mechanismen, menselijk toezicht (operator moet kunnen ingrijpen), cybersecuritymaatregelen, en continue monitoring. Het systeem moet fail-safe zijn.

11. AI-beoordeling asielaanvragen

Hoog risico

Immigratiedienst — AI-risicoprofilering

Een immigratiedienst gebruikt AI om asielaanvragen te pre-screenen, risicoprofielen op te stellen en de prioritering van dossiers te bepalen op basis van herkomstland, reisroute en verklaringen.

Hoog risico — Bijlage III, punt 7. AI in migratie en grenscontrole is een van de meest gevoelige categorieën. Fouten kunnen leiden tot onterechte afwijzing van bescherming. Verplichtingen: Grondrechteneffectbeoordeling is verplicht, menselijk toezicht bij elke individuele beslissing, bias-testing op nationaliteit en etniciteit, volledige transparantie. Het AI-systeem mag nooit autonoom beslissen.

12. AI-verzekeringspremie berekening

Hoog risico

Verzekeraar met AI-risicotaxatie type Lemonade

Een verzekeraar gebruikt AI om op basis van persoonlijke data automatisch de premie te berekenen en te beslissen over acceptatie of afwijzing van polissen.

Hoog risico — Bijlage III, punt 5(b). AI voor risicobeoordeling en prijsstelling bij verzekeringen is hoog-risico wanneer het individuen betreft. Verplichtingen: Uitlegbaarheid van het model, non-discriminatie testing (let op proxy-variabelen voor ras, gender), recht op uitleg voor de consument, menselijk toezicht bij afwijzingen. Let op: gezondheidsdata vergt ook AVG-compliance.

13. Autonome voertuigen

Hoog risico

Autofabrikant met zelfrijdend systeem type Waymo / Tesla FSD

Een autofabrikant brengt een voertuig op de markt met een AI-systeem dat autonoom kan rijden op de openbare weg, inclusief sturen, remmen en navigatie.

Hoog risico — Bijlage I (voertuigveiligheid). AI als veiligheidscomponent in voertuigen valt onder bestaande typegoedkeuringsregelgeving én de AI Act. Dubbel gereguleerd. Verplichtingen: Conformiteitsbeoordeling via notified body, uitgebreide real-world testing, fail-safe mechanismen, cybersecurity, post-market monitoring, incidentrapportage. De lat voor nauwkeurigheid en robuustheid ligt uitzonderlijk hoog. Deadline: 2 augustus 2027 (Bijlage I).

14. AI-recidiverisico inschatting

Hoog risico

Rechtbank met risicotaxatie type COMPAS

Een rechtbank gebruikt een AI-systeem om het recidiverisico van verdachten in te schatten als input voor beslissingen over voorlopige hechtenis, strafmaat of voorwaardelijke invrijheidstelling.

Hoog risico — Bijlage III, punt 6(d) en 8(a). Dit is een van de meest controversiële AI-toepassingen. Het COMPAS-systeem in de VS heeft aangetoond dat dergelijke systemen raciale bias kunnen vertonen. Verplichtingen: Het AI-systeem mag uitsluitend als aanvulling dienen — de rechter beslist. Volledige uitlegbaarheid, bias-audits op beschermde kenmerken, logging van elke beoordeling, en recht op uitleg voor de verdachte.

15. Biometrische toegangscontrole bedrijf

Hoog risico

Bedrijf met gezichtsherkenning bij de ingang

Een bedrijf installeert een AI-gezichtsherkenningssysteem bij de ingang om medewerkers te identificeren en toegang te verlenen tot beveiligde zones, als vervanging van toegangspasjes.

Hoog risico — Bijlage III, punt 1. Biometrische identificatie (anders dan in openbare ruimtes door politie, wat verboden is) is hoog-risico. Verplichtingen: Datakwaliteit en nauwkeurigheid van herkenning, AVG-compliance (expliciete toestemming of zwaarwegend belang), alternatief aanbieden (bijv. pasje), technische documentatie, en cybersecurity. Medewerkers moeten worden geïnformeerd en een alternatief krijgen.

16. AI-chatbot voor klantenservice

Beperkt risico

Webshop met chatbot type Zendesk AI / Intercom

Een webshop zet een AI-chatbot in op de website om klanten te helpen met veelgestelde vragen over bestellingen, retourzendingen en productinformatie.

Beperkt risico — Transparantieverplichtingen. Klanten moeten duidelijk worden geïnformeerd dat ze met een AI-systeem communiceren, niet met een mens (Art. 50). Een simpele melding als "Je chat met een AI-assistent" volstaat. Aanbeveling: Bied altijd een optie om door te schakelen naar een menselijke medewerker. Bewaar geen onnodige persoonsgegevens uit gesprekken.

17. AI-gegenereerde nieuwsartikelen

Beperkt risico

Nieuwsmedium met AI-redactie type Associated Press

Een nieuwsorganisatie gebruikt AI om automatisch nieuwsberichten te genereren op basis van databronnen (sportscores, beurskoersen, weersvoorspellingen) en publiceert deze op de website.

Beperkt risico — Art. 50(4). AI-gegenereerde tekst die wordt gepubliceerd over zaken van publiek belang moet worden gelabeld als kunstmatig gegenereerd. Verplichtingen: Duidelijke vermelding dat het artikel (deels) door AI is geschreven. Als de content misleidend kan zijn (desinformatie), verschuift dit richting hogere risicocategorieën.

18. Deepfake-video voor marketing

Beperkt risico

Marketingbureau met AI-video type Synthesia / HeyGen

Een marketingbureau maakt gepersonaliseerde videoboodschappen met AI-gegenereerde avatars die eruitzien als echte personen, voor reclamecampagnes op social media.

Beperkt risico — Art. 50(4). Deepfake-content moet worden gelabeld als AI-gegenereerd. Verplichtingen: Elk deepfake-video moet duidelijk worden gemarkeerd als kunstmatig gegenereerd. Dit moet machineleesbaar zijn (watermarking/metadata) én zichtbaar voor de kijker. Als de deepfake wordt ingezet om personen te imiteren zonder toestemming, kan dit verschuiven naar onaanvaardbaar risico.

19. AI-vertaalservice

Beperkt risico

Bedrijf met AI-vertaling type DeepL / Google Translate

Een internationaal bedrijf gebruikt AI-vertalingstools om interne documenten, e-mails en klantcommunicatie automatisch te vertalen naar meerdere talen.

Beperkt tot minimaal risico. Voor intern gebruik neigt dit naar minimaal risico. Wanneer AI-vertalingen extern worden gepubliceerd als definitieve tekst, geldt de transparantieverplichting. Aandachtspunt: Bij juridische of medische vertalingen kan de impact van fouten significant zijn — overweeg dan menselijke controle. Bij gevoelige documenten: let op dataverwerking door externe AI-diensten (AVG).

20. AI-ondersteuning in juridisch onderzoek

Beperkt risico

Advocatenkantoor met AI-onderzoek type Harvey AI / Luminance

Een advocatenkantoor gebruikt AI om relevante jurisprudentie te doorzoeken, contracten te analyseren en samenvattingen te maken van juridische documenten.

Beperkt risico (kan hoog worden). Als de AI puur als onderzoeksassistent dient en de advocaat beslist, is dit beperkt risico. Let op: Zodra het AI-systeem rechtstreeks wordt ingezet voor rechtsbedeling — het toepassen van recht op feiten met invloed op uitkomsten — verschuift het naar hoog-risico (Bijlage III, punt 8). AI-hallucinaties (verzonnen jurisprudentie) zijn een reëel risico. Menselijke verificatie is essentieel.

21. Spamfilter voor e-mail

Minimaal risico

E-mailprovider type Gmail / Outlook

Een e-mailprovider gebruikt AI om inkomende e-mails te classificeren als spam of niet-spam en automatisch naar de juiste map te verplaatsen.

Minimaal risico — geen specifieke verplichtingen. Spamfiltering is een van de voorbeelden die de Europese Commissie zelf noemt als minimaal risico. De impact op individuen is laag. Aanbeveling: Minimaliseer false positives en geef gebruikers de mogelijkheid om classificaties te corrigeren. Volg vrijwillige gedragscodes.

22. AI in videogames (NPC-gedrag)

Minimaal risico

Gamestudio type Ubisoft / CD Projekt Red

Een gamestudio gebruikt AI voor het aansturen van non-player characters — vijanden die tactisch reageren, bijpersonages met dynamische dialogen, en procedureel gegenereerde werelden.

Minimaal risico — geen specifieke verplichtingen. AI in videogames is expliciet benoemd als minimaal risico. Het entertainmentkarakter en de afwezigheid van reële impact op grondrechten maken het een van de veiligste categorieën. Let op: Als het spel AI-gegenereerde content bevat die schadelijk kan zijn (bijv. voor kinderen), valt dat onder andere wetgeving (AVG, DSA).

23. AI-aanbevelingsengine webshop

Minimaal risico

E-commerce platform type Bol.com / Amazon

Een webshop gebruikt AI om op basis van browsegedrag en aankoophistorie gepersonaliseerde productaanbevelingen te doen: "klanten kochten ook" en "speciaal voor jou geselecteerd".

Minimaal risico — geen specifieke AI Act-verplichtingen. Aanbevelingsalgoritmen in e-commerce zijn minimaal risico. Let op: Als het platform een "zeer groot online platform" is (>45 mln gebruikers), gelden er wél verplichtingen onder de Digital Services Act (DSA). AVG-compliance (profiling, cookietoestemming) blijft ook van toepassing.

24. AI-voorraadoptimalisatie warehouse

Minimaal risico

Logistiek bedrijf type Picnic / Jumbo

Een supermarktketen gebruikt AI om de optimale voorraden per filiaal te berekenen op basis van historische verkoopdata, weer, evenementen en seizoenspatronen, om verspilling te minimaliseren.

Minimaal risico — geen specifieke verplichtingen. AI voor supply chain en voorraadbeheer raakt geen grondrechten van individuen. Het is een puur operationele toepassing. Dit is precies het type AI-innovatie dat de EU wil stimuleren. Focus op datakwaliteit en operationele betrouwbaarheid.

25. AI-muziekaanbeveling streaming

Minimaal risico

Streamingdienst type Spotify Discover Weekly / Apple Music

Een muziekstreamingdienst gebruikt AI om gepersonaliseerde afspeellijsten samen te stellen op basis van luistergedrag, voorkeuren en de luistergewoonten van vergelijkbare gebruikers.

Minimaal risico — geen specifieke verplichtingen. Muziekaanbevelingen hebben geen impact op grondrechten. Aanbeveling: Vrijwillige transparantie over hoe aanbevelingen werken kan het vertrouwen van gebruikers vergroten. Privacy-aspecten vallen onder de AVG, niet de AI Act.

Hoofdstuk 09

Begrippenlijst

Zoek en ontdek de kernbegrippen uit de AI Act.

AI-systeem: Een op een machine gebaseerd systeem dat met variërende niveaus van autonomie werkt en dat expliciete of impliciete doelstellingen kan afleiden uit input en output genereert zoals voorspellingen, aanbevelingen, of beslissingen.

Aanbieder (Provider): Een natuurlijke of rechtspersoon die een AI-systeem ontwikkelt of laat ontwikkelen en het op de markt brengt of in gebruik stelt onder eigen naam of merk.

Gebruiksverantwoordelijke: Een natuurlijke of rechtspersoon die een AI-systeem onder eigen verantwoordelijkheid gebruikt, tenzij dat gebruik in het kader van een persoonlijke, niet-beroepsmatige activiteit plaatsvindt.

GPAI-model: General Purpose AI — een AI-model dat getraind is met grote hoeveelheden data, aanzienlijke algemeenheid vertoont, en geschikt is voor een breed scala aan taken.

Hoog-risico AI-systeem: Een AI-systeem dat valt onder bijlage I of III van de AI Act en significante risico's vormt voor gezondheid, veiligheid of grondrechten.

Conformiteitsbeoordeling: Het proces om aan te tonen dat een hoog-risico AI-systeem voldoet aan de vereisten van de AI Act, vóór het op de markt wordt gebracht.

CE-markering: Markering waarmee een aanbieder aangeeft dat een AI-systeem voldoet aan de toepasselijke eisen van de AI Act en andere relevante EU-wetgeving.

Regulatory sandbox: Een gecontroleerd kader dat door een toezichthouder wordt opgezet en waarbinnen aanbieders innovatieve AI-systemen kunnen ontwikkelen en testen onder toezicht.

Post-market monitoring: Alle activiteiten die een aanbieder uitvoert om systematisch ervaringen met AI-systemen op de markt te verzamelen en analyseren.

AI-geletterdheid: Vaardigheden, kennis en begrip waarmee aanbieders, gebruikers en betrokken personen AI-systemen geïnformeerd kunnen inzetten en zich bewust zijn van de kansen en risico's.

Grondrechteneffectbeoordeling: Een beoordeling door gebruiksverantwoordelijken van de mogelijke impact van een hoog-risico AI-systeem op de grondrechten van betrokken personen.

AI Office: Het EU AI Office, onderdeel van de Europese Commissie, verantwoordelijk voor het toezicht op GPAI-modellen en de coördinatie van de handhaving op EU-niveau.

Systeemrisico: Een risico dat specifiek is voor de capaciteiten van GPAI-modellen met een groot bereik, met aanzienlijke impact op de gezondheid, veiligheid, openbare veiligheid, grondrechten of de samenleving als geheel.

Deepfake: Door AI gegenereerd of gemanipuleerd beeld-, audio- of videomateriaal dat een gelijkenis vertoont met bestaande personen, objecten, plaatsen of andere entiteiten, en dat ten onrechte als authentiek kan worden beschouwd.

Biometrische identificatie: De geautomatiseerde herkenning van fysieke, fysiologische of gedragsmatige menselijke kenmerken om de identiteit van een natuurlijke persoon vast te stellen.

Menselijk toezicht: Maatregelen die ervoor zorgen dat een AI-systeem effectief wordt overzien door natuurlijke personen die risico's kunnen identificeren en het systeem kunnen stoppen of ingrijpen.

Wat is de AI Act?

De verordening

Voor wie geldt het?

Kernprincipes

Risicogebaseerde aanpak

Bescherming van grondrechten

Innovatievriendelijk

Extraterritoriale werking

De Risicopiramide

General Purpose AI (GPAI)

Risico-check

Implementatie­tijdlijn

Verplichtingen per rol

Extra voor GPAI met systeemrisico

Sancties en boetes

KMO's en startups

Wie handhaaft?

Compliance Checklist

Stap 1 — Inventarisatie

Stap 2 — AI-geletterdheid (deadline: 2 feb 2025)

Stap 3 — Verboden praktijken controleren

Stap 4 — Hoog-risico compliance (deadline: 2 aug 2026)

Stap 5 — Governance

25 Praktijk Use Cases

1. Social scoring van burgers

2. Real-time gezichtsherkenning op straat

3. Emotieherkenning op de werkplek

4. Manipulatieve AI gericht op kinderen

5. AI-screening van sollicitanten

6. Kredietscoring door een bank

7. AI-gestuurde examenbeoordeling

8. Predictive policing

9. AI voor medische beelddiagnostiek

10. Autonome besturing energienetwerk

11. AI-beoordeling asielaanvragen

12. AI-verzekeringspremie berekening

13. Autonome voertuigen

14. AI-recidiverisico inschatting

15. Biometrische toegangscontrole bedrijf

16. AI-chatbot voor klantenservice

17. AI-gegenereerde nieuwsartikelen

18. Deepfake-video voor marketing

19. AI-vertaalservice

20. AI-ondersteuning in juridisch onderzoek

21. Spamfilter voor e-mail

22. AI in videogames (NPC-gedrag)

23. AI-aanbevelingsengine webshop

24. AI-voorraadoptimalisatie warehouse

25. AI-muziekaanbeveling streaming

Begrippenlijst

Implementatietijdlijn