Fundamenteel9 min leestijd19 februari 2026

EU AI Act: wat betekent het voor jouw bedrijf?

De EU AI Act is de eerste AI-wet ter wereld. Wat moet je weten en doen als ondernemer in Nederland?

Wat is de EU AI Act?

De EU AI Act is de eerste uitgebreide wet ter wereld die kunstmatige intelligentie reguleert. Het Europees Parlement heeft de wet in maart 2024 aangenomen. De regels treden gefaseerd in werking tussen 2024 en 2027.

Het doel van de wet is drieledig: de veiligheid van AI-systemen waarborgen, fundamentele rechten beschermen en innovatie mogelijk houden. De EU zoekt een balans - streng genoeg om burgers te beschermen, flexibel genoeg om Europese bedrijven niet te verlammen.

Voor ondernemers in Nederland is dit relevante wetgeving. Als je AI gebruikt in je bedrijf - of dat nu ChatGPT is, een AI-chatbot op je website of een geautomatiseerd beslissysteem - moet je weten welke regels voor jou gelden.

Wanneer gaat het in?

De EU AI Act treedt gefaseerd in werking:

  • Februari 2025: Verboden AI-praktijken (onaanvaardbaar risico) zijn per direct verboden
  • Augustus 2025: Regels voor general purpose AI-modellen (zoals GPT-4, Claude) treden in werking
  • Augustus 2026: Meeste andere verplichtingen, inclusief hoog-risico AI-systemen
  • Augustus 2027: Regels voor hoog-risico AI-systemen die vallen onder bestaande EU-productwetgeving

Je hebt dus nog tijd om je voor te bereiden, maar de verboden op de zwaarste categorie gelden al.

Het risico-classificatiesysteem

De kern van de EU AI Act is een indeling in vier risiconiveaus. Hoe hoger het risico, hoe strenger de regels.

Onaanvaardbaar risico (verboden)

Deze AI-toepassingen zijn per direct verboden in de EU:

  • Social scoring door overheden (zoals China's puntensysteem)
  • Emotieherkenning op de werkplek en in het onderwijs
  • Biometrische categorisatie op basis van gevoelige kenmerken (ras, religie, seksuele orientatie)
  • Ongerichte scraping van gezichten van internet of beveiligingscamera's voor gezichtsherkennningdatabases
  • AI die kwetsbare groepen manipuleert (kinderen, ouderen, mensen met beperkingen)
  • Predictive policing uitsluitend gebaseerd op profilering

Hoog risico

AI-systemen die een aanzienlijke impact kunnen hebben op mensen. Voorbeelden:

  • AI in werving en selectie (CV-screening, sollicitatiegesprekken beoordelen)
  • Kredietscoring en verzekeringsbeoordeling
  • AI in onderwijs (examens beoordelen, toegang bepalen)
  • AI in de rechtspraak (recidive-inschatting, strafmaat-advies)
  • AI in medische hulpmiddelen en diagnostiek
  • Biometrische identificatie (gezichtsherkenning)
  • AI in kritieke infrastructuur (energie, water, transport)

Voor hoog-risico systemen gelden strenge eisen: risicobeoordeling, technische documentatie, menselijk toezicht, transparantie en nauwkeurigheidstests.

Beperkt risico

AI-systemen die met mensen interacteren zonder hoog risico te zijn. Denk aan chatbots, AI-gegenereerde content en emotieherkenningssystemen die niet onder "verboden" vallen.

De voornaamste verplichting hier is transparantie: je moet mensen vertellen dat ze met AI communiceren. Als een klant chat met een AI-bot op je website, moet duidelijk zijn dat het geen mens is.

Minimaal risico

De meeste AI-toepassingen vallen hier: spamfilters, aanbevelingssystemen, vertaaltools, AI-assistenten voor intern gebruik. Geen specifieke verplichtingen vanuit de EU AI Act, al gelden uiteraard bestaande wetten (AVG, consumentenrecht).

Wat moet je als ondernemer doen?

De acties hangen af van hoe je AI inzet. Hier is een praktische checklist:

Stap 1: Inventariseer je AI-gebruik

Maak een lijst van alle AI-tools en -systemen die je bedrijf gebruikt. Denk breder dan alleen ChatGPT:

  • Chatbots op je website
  • AI-functies in je CRM, ERP of HR-software
  • Geautomatiseerde e-mailcampagnes met AI-personalisatie
  • AI-gestuurde analytics en rapportages
  • Recruiting tools met AI-screening
  • Content-generatie met AI

Stap 2: Classificeer het risico

Bepaal per AI-toepassing in welke risicocategorie deze valt. De meeste MKB-toepassingen vallen in "minimaal" of "beperkt" risico. Gebruik je AI voor werving, kredietbeoordeling of medische doeleinden, dan zit je waarschijnlijk in "hoog risico."

Stap 3: Transparantie regelen

Dit geldt voor vrijwel iedereen. Als klanten of medewerkers met AI interacteren: - Vermeld dat ze met AI communiceren (chatbot, AI-assistent) - Label AI-gegenereerde content als zodanig - Documenteer welke AI-tools je gebruikt en waarvoor

Stap 4: Hoog-risico verplichtingen (als relevant)

Als je hoog-risico AI-systemen gebruikt: - Voer een risicobeoordeling uit (conformiteitsbeoordeling) - Stel technische documentatie op - Richt menselijk toezicht in - Zorg voor logging en traceerbaarheid - Implementeer een kwaliteitsmanagementsysteem - Registreer het systeem in de EU-database (verplicht voor hoog-risico)

Transparantieverplichtingen

Transparantie is de rode draad door de EU AI Act. Ongeacht de risicocategorie gelden deze regels:

AI-interactie melden - Als een persoon communiceert met een AI-systeem, moet duidelijk zijn dat het AI is. Een chatbot op je website moet herkenbaar zijn als chatbot, niet als mens.

AI-gegenereerde content labelen - Tekst, beeld, audio of video die door AI is gemaakt moet als zodanig herkenbaar zijn. Dit geldt vooral voor deepfakes en synthetische media, maar ook voor AI-gegenereerde marketingteksten in bepaalde contexten.

Informatieplicht - Bij hoog-risico systemen moeten de mensen die erdoor worden geraakt weten dat AI een rol speelt in de beslissing. Een sollicitant moet weten dat AI zijn CV heeft gescreend.

De transparantieverplichtingen zijn niet bedoeld om AI-gebruik te ontmoedigen. Ze zorgen ervoor dat mensen weloverwogen kunnen reageren. Iemand die weet dat een chatbot AI is, stelt andere vragen dan iemand die denkt met een mens te praten.

General Purpose AI (GPAI)

De EU AI Act heeft specifieke regels voor general purpose AI-modellen - de grote taalmodellen zoals GPT-4, Claude en Gemini. Deze regels richten zich op de makers van de modellen (OpenAI, Anthropic, Google), niet op de bedrijven die ze gebruiken.

Wat moeten modelmakers doen: - Technische documentatie publiceren - Copyright-beleid opstellen en trainingsdataset beschrijven - Voldoen aan de EU Copyright Directive - Samenwerken met downstream-aanbieders

Voor modellen met "systeemrisico" (de krachtigste modellen) gelden extra eisen: red teaming, incidentmonitoring, cyberbeveiliging en energieverbruik rapporteren.

Als gebruiker van deze modellen (via ChatGPT, Claude of een AI Agent) ben je primair verantwoordelijk voor de transparantie naar je klanten en medewerkers, niet voor de technische compliance van het model zelf.

Boetes

De EU AI Act hanteert boetes vergelijkbaar met de AVG:

  • Verboden AI-praktijken: tot 35 miljoen euro of 7% van de wereldwijde omzet
  • Overige overtredingen: tot 15 miljoen euro of 3% van de wereldwijde omzet
  • Onjuiste informatie verstrekken aan toezichthouders: tot 7,5 miljoen euro of 1% van de wereldwijde omzet

Voor MKB-bedrijven en startups gelden aangepaste, proportionele boetes. De EU wil voorkomen dat kleine bedrijven onevenredig hard worden geraakt.

De handhaving wordt nationaal georganiseerd. In Nederland zal een nog aan te wijzen toezichthouder dit oppakken, waarschijnlijk de Autoriteit Persoonsgegevens (die ook de AVG handhaaft) of een nieuw op te richten autoriteit.

De relatie met de AVG

De EU AI Act vervangt de AVG niet - ze vullen elkaar aan. Als je AI-systeem persoonsgegevens verwerkt, gelden beide wetten tegelijk.

Praktisch betekent dit: - AVG-verplichtingen blijven bestaan (verwerkingsregister, verwerkersovereenkomsten, rechten van betrokkenen) - De EU AI Act voegt daar AI-specifieke eisen aan toe (transparantie, risicobeoordeling, menselijk toezicht) - Bij hoog-risico AI met persoonsgegevens moet je een Data Protection Impact Assessment (DPIA) uitvoeren

De overlap is logisch. Een AI-systeem dat sollicitaties screent, verwerkt persoonsgegevens (AVG) en is een hoog-risico AI-systeem (AI Act). Beide wetten zijn van toepassing.

Wat betekent dit voor AI Agents?

AI Agents - doorlopend draaiende AI-systemen die via meerdere kanalen bereikbaar zijn - vallen in de meeste gevallen onder "beperkt risico." De transparantieverplichting is het belangrijkste: klanten die met een AI Agent communiceren moeten weten dat het AI is.

Aandachtspunten voor bedrijven met een AI Agent:

  • Duidelijke identificatie: de AI Agent moet zich niet voordoen als mens
  • Data-isolatie: de agent verwerkt alleen data waarvoor je toestemming hebt
  • Logging: bewaar interacties voor audit-doeleinden
  • Menselijk toezicht: zorg dat een mens kan ingrijpen als de agent onjuist handelt
  • Informatie aan klanten: vermeld in je privacybeleid dat je AI inzet

Als de AI Agent beslissingen neemt die directe impact hebben op mensen (kredietadvies, medisch advies, juridisch advies) verschuift de classificatie naar "hoog risico" en gelden de strengere eisen.

Hoe aiagent.nl hiermee omgaat

Bij aiagent.nl is compliance ingebouwd in onze aanpak:

  • EU hosting: data wordt verwerkt en opgeslagen in Europa (eu-central-1)
  • Data-isolatie: elke klant draait in een eigen, dedicated server
  • Transparantie: AI Agents identificeren zich als AI, niet als mens
  • Logging: alle interacties worden gelogd voor audit en kwaliteitscontrole
  • Anthropic-modellen: Claude voldoet als GPAI-model aan de modelverplichtingen
  • Geen verboden toepassingen: we bouwen geen social scoring, emotieherkenning of manipulatieve systemen

De EU AI Act is geen belemmering - het is een kwaliteitskeurmerk. Bedrijven die compliant zijn, laten zien dat ze AI verantwoord inzetten. In een markt waar vertrouwen in AI groeit, is dat een concurrentievoordeel.

Heb je vragen over hoe de EU AI Act van toepassing is op jouw AI-gebruik? We denken graag mee. Neem contact op via aiagent.nl.

Tarik Eraslan

Geschreven door

Tarik Eraslan

Founder van AI Agent. Helpt bedrijven AI te implementeren in hun dagelijkse werkprocessen.

LinkedIn

Meer lezen

Beginners8 min leestijd

AI voor beginners: waar start je?

Je hoeft geen developer te zijn om AI te gebruiken. Dit is het startpunt: wat AI is, wat het kan en hoe je er vandaag nog mee aan de slag gaat.

Lees meer
Use Cases6 min leestijd

5 manieren om AI te gebruiken in je bedrijf

Praktische toepassingen die je vandaag nog kunt implementeren. Van klantenservice tot content creatie - vijf bewezen manieren om AI in te zetten.

Lees meer
Prompting9 min leestijd

Wat is een prompt? De complete gids

Een prompt is de instructie die je aan AI geeft. De kwaliteit van je prompt bepaalt de kwaliteit van het resultaat. Hier leer je hoe prompts werken en hoe je ze schrijft.

Lees meer

Klaar om AI in te zetten?

Start vandaag met je eigen AI Agent of verdiep je in onze Academy.

Start gratisBekijk Academy
EU AI Act: wat betekent het voor jouw bedrijf? - AI Agent