De EU AI Act (AI-verordening — Verordening (EU) 2024/1689) is de eerste uitgebreide wet ter wereld over kunstmatige intelligentie. Hij trad in werking op 1 augustus 2024 en is van toepassing in fasen tot augustus 2027. Omdat het een verordening is, geldt hij rechtstreeks in België — er is geen nationale omzetting nodig, en hij is bindend voor elke organisatie die AI-systemen ontwikkelt, verkoopt, invoert of simpelweg gebruikt op de EU-markt, ongeacht waar de aanbieder is gevestigd.
Samenvatting — de EU AI Act in 6 punten
- Een risicogebaseerde wet: verplichtingen schalen mee met het risiconiveau van het AI-systeem.
- Vier niveaus: onaanvaardbaar (verboden), hoog risico, beperkt (transparantie), minimaal.
- Van toepassing op aanbieders en gebruiksverantwoordelijken — het gebruik van een AI-tool van derden schept ook verplichtingen.
- Belangrijke data: 2 februari 2025 (verboden + AI-geletterdheid), 2 augustus 2025 (AI voor algemene doeleinden), 2 augustus 2026 (hoog risico).
- Boetes tot €35 M of 7 % van de wereldwijde jaarlijkse omzet — hoger dan de AVG.
- België wijst nationale autoriteiten aan; de verplichting tot AI-geletterdheid geldt al.
Wat de AI Act reguleert — en wie hij bindt
De AI Act reguleert niet “AI” in abstracto. Hij reguleert AI-systemen en AI-modellen voor algemene doeleinden (GPAI) die op de EU-markt worden gebracht of waarvan de uitvoer in de EU wordt gebruikt. De verplichtingen zijn gekoppeld aan rollen, niet alleen aan technologieën. De twee meest relevante rollen voor een typisch Belgisch bedrijf zijn:
- Aanbieder — u ontwikkelt een AI-systeem (of laat het ontwikkelen) en brengt het op de markt onder uw eigen naam of merk.
- Gebruiksverantwoordelijke — u gebruikt een AI-systeem onder uw verantwoordelijkheid in een professionele context. De meeste Belgische kmo’s zijn gebruiksverantwoordelijken (bijvoorbeeld bij gebruik van een AI-wervingstool, een kredietscoringsmodel of een klantenserviceassistent).
Importeurs en distributeurs hebben ook verplichtingen, maar de rollen van aanbieder en gebruiksverantwoordelijke bepalen of u te maken krijgt met het zwaarder hoog-risico-regime of de lichtere transparantieverplichtingen.
De vier risiconiveaus
Alles in de AI Act hangt af van classificatie. Voordat u ook maar één nalevingsdocument opstelt, moet u weten in welk niveau uw systeem valt. Onze aanvullende gids, AI Act risicoklassificatie, doorloopt de beslissingsstappen één voor één; hieronder de samenvatting.
| Niveau | Wat het omvat | Kernverplichting |
|---|---|---|
| Onaanvaardbaar | Praktijken verboden onder art. 5 (bv. sociale scoring, manipulatieve of uitbuitende systemen, de meeste realtime biometrische identificatie op afstand in openbare ruimten). | Verboden — niet inzetten. |
| Hoog risico | Systemen in bijlage III-domeinen (tewerkstelling, onderwijs, essentiële diensten, rechtshandhaving, kritieke infrastructuur…) en veiligheidscomponenten van gereguleerde producten. | Volledig conformiteitsregime: risicobeheer, gegevensbeheer, logging, menselijk toezicht, registratie. |
| Beperkt | Systemen die interageren met mensen of inhoud genereren (chatbots, deepfakes, door AI gegenereerde media). | Transparantie: mensen informeren dat ze met AI te maken hebben; door AI gegenereerde inhoud labelen. |
| Minimaal | Al het overige (spamfilters, aanbevelingssystemen, de meeste productiviteitstools). | Geen verplichte verplichtingen; vrijwillige codes worden aangemoedigd. |
De nalevingstijdlijn
De AI Act is geen enkele deadline maar een trap. Noteer deze data — ze bepalen wat u gereed moet hebben en wanneer.
| Datum | Wat van toepassing wordt |
|---|---|
| 2 februari 2025 | Verboden praktijken (art. 5) en de verplichting inzake AI-geletterdheid (art. 4) — medewerkers die AI gebruiken, moeten dit adequaat begrijpen. |
| 2 augustus 2025 | Verplichtingen voor modellen voor AI voor algemene doeleinden (GPAI), bestuursorganen en het sanctiekader. |
| 2 augustus 2026 | Het grootste deel van de verplichtingen voor hoog risico (bijlage III-systemen) wordt afdwingbaar. |
| 2 augustus 2027 | Hoog-risico-verplichtingen voor AI als veiligheidscomponent van gereguleerde producten, en volledige naleving voor GPAI-modellen die vóór augustus 2025 al op de markt waren. |
Wat aanbieders en gebruiksverantwoordelijken met hoog risico concreet moeten doen
Als uw systeem hoog risico is, zijn de verplichtingen aanzienlijk. Aanbieders moeten een risicobeheersysteem over de volledige levenscyclus opzetten, gegevensbeheerpraktijken toepassen op trainings- en testdata, technische documentatie en automatische logging bijhouden, menselijk toezicht inbouwen, nauwkeurigheids-, robuustheids- en cyberbeveiligingsdoelstellingen halen, een conformiteitsbeoordeling uitvoeren, CE-markering aanbrengen en het systeem registreren in de EU-database. Gebruiksverantwoordelijken hebben een lichtere maar reële set van verplichtingen: het systeem gebruiken conform de instructies, menselijk toezicht waarborgen, de werking monitoren, logs bijhouden, en — voor veel toepassingen van algemeen belang — een grondrechtenimpactbeoordeling (gegevensbeschermingseffectbeoordeling) uitvoeren. Waar persoonsgegevens betrokken zijn, sluit dit aan op uw AVG-verplichtingen; zie AVG & AI in België.
AI voor algemene doeleinden (GPAI)
Als u bouwt op een basismodel — of er een aanbiedt — vereisen de GPAI-regels (van toepassing sinds 2 augustus 2025) technische documentatie, een openbare samenvatting van de trainingsinhoud via het sjabloon van de Commissie, en maatregelen om het EU-auteursrecht te respecteren. Modellen met een “systemisch risico” hebben aanvullende verplichtingen. De meeste Belgische bedrijven zijn consumenten van GPAI en geen aanbieders, maar als u een model verfijnt of herbrandt, kunt u aanbiederverplichtingen overnemen — verifieer dit voordat u ervan uitgaat dat u enkel gebruiksverantwoordelijke bent.
Sancties
Handhaving heeft tanden. Het schenden van de regels inzake verboden praktijken kan oplopen tot €35 miljoen of 7 % van de totale wereldwijde jaarlijkse omzet, afhankelijk van welk bedrag hoger is. Andere schendingen van verplichtingen en het verstrekken van onjuiste informatie aan autoriteiten kennen lagere (maar nog steeds aanzienlijke) plafonds. Het maximale plafond overstijgt al het AVG-plafond van €20 M / 4 %.
Hoe u zich voorbereidt — een pragmatische eerste 90 dagen
- Inventariseer uw AI. Lijst elk AI-systeem op dat u aanbiedt of inzet, inclusief ingebedde leveranciersfuncties. U kunt niet classificeren wat u niet in kaart hebt gebracht.
- Klassificeer elk systeem per risiconiveau — dit bepaalt alles wat volgt.
- Dicht de AI-geletterdheidkloof. Dit geldt al: geef medewerkers rolgerichte training en documenteer dit.
- Controleer op verboden gebruik en stop daarmee — de verboden zijn al van kracht.
- Bouw een governancebasislijn: eigenaarschap, documentatie, ontwerp van menselijk toezicht, en een koppeling aan uw bestaande AVG- en informatiebeveiligingsprogramma’s.
De AI Act beloont organisaties die al een gedisciplineerde nalevingsfunctie hebben. Als u een ISO 27001- of NIS2-programma heeft, kan een groot deel van de governancestructuur — risicobeheer, documentatie, toezicht — worden uitgebreid naar AI in plaats van opnieuw te worden opgebouwd. Het sluitstuk van deze reeks, AI inzetten in de EU, laat zien hoe de AI Act, AVG, NIS2 en DORA samenkomen gedurende de AI-levenscyclus.
Dit artikel is algemene informatie en geen juridisch advies. Voor beslissingen met echte blootstelling — het classificeren van een systeem, het afbakenen van hoog-risico-verplichtingen — valideer dit met een gekwalificeerde adviseur. ICTLAB helpt Belgische organisaties om AI-governance te operationaliseren naast hun beveiligingsprogramma; praat met ons team.