Welke EU-regelgeving is van toepassing bij het uitrollen van AI?

Doorgaans meerdere tegelijk: de EU AI Act (AI-specifieke veiligheid, risiconiveau, transparantie, menselijk toezicht), de AVG (alle persoonsgegevens in training, invoer of uitvoer), NIS2 (cyberweerbaarheid en governance voor essentiële/belangrijke entiteiten) en DORA (het gespecialiseerde regime voor financiële entiteiten, met name risico van derde partijen). Het NIST AI RMF is een nuttige vrijwillige methode om alle vier coherent te beheren.

Moet ik een DPIA en een AI Act-beoordeling afzonderlijk uitvoeren?

Ze overlappen sterk. Een goed uitgevoerde gegevensbeschermingseffectbeoordeling (DPIA) op grond van de AVG documenteert gegevensstromen, rechtsgrond, noodzakelijkheid en risico's op bias en fouten — veel van wat ook vereist is als risicobeheersbewijs voor de AI Act voor hoog-risicosystemen. Voer ze samen uit zodat één beoordeling beide regimes dient.

Wat zijn de meest voorkomende conformiteitsfouten in AI-projecten?

Een piloot als vrijgesteld beschouwen (verboden toepassingen en de AI-geletterdheidsplicht gelden al), training op hergebruikte persoonsgegevens zonder controle van de doelverenigbaarheid, gevoelige gegevens sturen naar een externe model-API zonder verwerkersovereenkomst (DPA) of locatiecontrole, chatbots of deepfakes lanceren zonder AI-vermelding, en niemand laten die het model bewaakt na livegang.

Hoe maak ik AI-conformiteit efficiënt over alle vier de regimes?

Bouw één AI-risicoprogramma op het NIST AI RMF en uw bestaand beveiligingskader, en behandel de AI Act, AVG, NIS2 en DORA als vier lenzen op hetzelfde werk. Onderhoud één AI-inventaris, één set risicobeoordelingen en gedeelde controls (menselijk toezicht, logging, leveranciersclausules). Eén keer bouwen, meerdere keren bewijzen.

AI conform uitrollen in de EU: de volledige checklist

AI uitrollen in de EU gaat zelden over één enkele verordening. Een typisch project raakt aan de AI Act (is het systeem veilig en rechtmatig op de markt te brengen?), de AVG (is de verwerking van persoonsgegevens rechtmatig?), NIS2 (is het veerkrachtig en goed bestuurd?) en — voor financiële entiteiten — DORA. Deze checklist koppelt de vier regimes aan de levenscyclus van de AI zodat niets over het hoofd wordt gezien. Gebruik het NIST AI RMF als onderliggende werkmethode.

Samenvatting — wie regelt wat

AI Act → AI-specifieke veiligheid, risiconiveau, transparantie, menselijk toezicht.
AVG → alle persoonsgegevens in training, invoer of uitvoer.
NIS2 → cyberweerbaarheid en governance als u een essentiële/belangrijke entiteit bent.
DORA → hetzelfde, gespecialiseerd, als u een financiële entiteit bent (met name risico van derde partijen).
Één NIST AI RMF-programma kan het grootste deel van het bewijs genereren dat alle vier de regimes verwachten.

De checklist, per levenscyclusfase

1. Scope & ontwerp

Voeg het systeem toe aan uw AI-inventaris ; wijs een verantwoordelijke aan. (AI Act, NIST Govern)
Classificeer het risiconiveau volgens de AI Act ; stop onmiddellijk als het een verboden praktijk betreft. (AI Act)
Identificeer de betrokken persoonsgegevens ; stel een rechtsgrond vast voor training en inferentie. (AVG)
Kies tussen zelf bouwen of aankopen — en bepaal of u aanbieder of gebruiker bent. (AI Act)
Aandachtspunt: “het is maar een piloot, conformiteit kan wachten.” Verboden toepassingen en de AI-geletterdheidsplicht gelden al.

2. Data & ontwikkeling

Pas datagevernance toe: kwaliteit, representativiteit, minimalisatie, bewaring. (AI Act hoog risico, AVG)
Voer een DPIA uit voor profilering/scoring ; hergebruik die als risicobewijs voor de AI Act. (AVG Art. 35)
Ontwerp voor nauwkeurigheid, robuustheid en beveiliging (prompt-injectie, datavergiftiging, modelstaling). (AI Act, NIS2/DORA)
Werk bij RAG/LLMs de risico’s uit het GenAI-profiel uit (confabulatie, IP, lekkage). (NIST 600-1)
Aandachtspunt: training op hergebruikte persoonsgegevens zonder controle van de doelverenigbaarheid. (AVG)

3. Leveranciers & toeleveringsketen

Beoordeel AI/ICT-leveranciers ; neem beveiligings- en auditclausules op in contracten. (NIS2 toeleveringsketen)
Als u een financiële entiteit bent, pas DORA Art. 30-clausules toe en voeg de leverancier toe aan uw informatieregister. (DORA)
Controleer waar het model en de gegevens worden gehost — zie Cloud Act vs AVG en soevereine cloud. (AVG-overdrachten)
Aandachtspunt: gevoelige gegevens sturen naar een externe model-API zonder verwerkersovereenkomst (DPA) of locatiecontrole.

4. Uitrol

Implementeer menselijk toezicht in verhouding tot het risico ; vermijd uitsluitend geautomatiseerde ingrijpende beslissingen. (AI Act, AVG Art. 22)
Voldoe aan transparantieverplichtingen: geef aan dat er sprake is van AI-interactie ; label AI-gegenereerde inhoud. (AI Act Art. 50)
Voor hoog-risico: voltooi de conformiteitsbeoordeling, technische documentatie en EU-registratie. (AI Act)
Geef personen duidelijke informatie en een manier om beslissingen te betwisten. (AVG)
Aandachtspunt: een chatbot of deepfake-functie lanceren zonder AI-vermelding.

5. Operatie & monitoring

Log operaties ; monitor drift, bias en prestaties in de tijd. (AI Act, NIST Manage)
Koppel AI-incidenten aan incidentrespons en meldingsplichten. (NIS2 / DORA)
Eer de rechten van betrokkenen, inclusief wissing die reikt tot trainingsdata. (AVG)
Onderhoud een exitstrategie voor kritieke AI/ICT-diensten. (DORA Art. 28(8))
Aandachtspunt: niemand die het model in de gaten houdt na livegang — stille degradatie is de meest voorkomende oorzaak van falen.

Verantwoordelijkheden — wie houdt de pen vast

Artefact	Typische verantwoordelijke	Dient
AI-inventaris & risicoklassificatie	AI/Compliance-verantwoordelijke	AI Act
DPIA / verwerkingsregisters	DPO	AVG (+ AI Act)
Beveiligings- & dreigingstests	CISO / beveiligingsteam	AI Act, NIS2, DORA
Leverancierscontracten & register	Inkoop + Juridisch	NIS2, DORA
Ontwerp menselijk toezicht & transparantie	Product owner	AI Act, AVG

De strategie in één zin

Voer één goed bestuurd AI-risicoprogramma — gebouwd op het NIST AI RMF en uw bestaand beveiligingskader — en behandel de AI Act, AVG, NIS2 en DORA als vier lenzen op hetzelfde werk in plaats van vier afzonderlijke projecten. Één keer bouwen, meerdere keren bewijzen. Dat is zowel goedkoper als beter verdedigbaar dan elk reglement afzonderlijk najagen.

Algemene informatie, geen juridisch advies. ICTLAB helpt Belgische organisaties AI uit te rollen die voldoet aan de AI Act, AVG, NIS2 en DORA — van classificatie tot controls — bekijk onze AI & LLM- en cybersecurity-diensten, of praat met ons team.

Hulp nodig met RAG & LLM-integratie?

Ontsluit de kennis van uw organisatie met AI. We bouwen retrieval-augmented generation systemen die grote taalmodellen verbinden met uw eigen gegevens.

Meer informatie Contacteer ons

Gerelateerde artikelen

5 februari 2025

Wat is DevSecOps? Een gids voor Belgische bedrijven

Ontdek wat DevSecOps is, waarom het belangrijk is en hoe Belgische bedrijven beveiliging kunnen integreren in hun ontwikkelingspipelines voor snellere, veiligere releases.

8 april 2025

Cloudmigratie-checklist voor Belgische bedrijven

Een praktische cloudmigratie-checklist met planning, beveiliging, compliance en uitvoeringsstappen voor Belgische organisaties die naar de cloud migreren.

AI uitrollen in de EU: een compliancechecklist (AI Act + AVG + NIS2 + DORA)