AI en de EU AI-verordening: Wat professionals moeten weten

Wat is de EU AI-verordening precies?

De EU AI-verordening — officieel Verordening (EU) 2024/1689 — is de eerste alomvattende wet ter wereld die het gebruik van kunstmatige intelligentie reguleert. In het Engels hoor je vaak "EU AI Act", in Nederlandse beleidsdocumenten spreekt men over de AI-verordening. Het is een verordening, geen richtlijn. Dat betekent dat de wet rechtstreeks geldt in alle EU-lidstaten, zonder dat nationale parlementen deze eerst hoeven om te zetten in eigen wetgeving. De regels gelden dus in Nederland, België, Duitsland en alle andere EU-landen op precies dezelfde manier.

De kern van de wet is verrassend eenvoudig samen te vatten: hoe riskanter het AI-systeem, hoe strenger de regels. Een AI die aanbevelingen doet voor Spotify-playlists valt onder minimale verplichtingen. Een AI die bepaalt of je een hypotheek krijgt bij ING of Rabobank valt onder strenge eisen. En een AI die burgers een sociale score geeft? Die is simpelweg verboden.

De verordening richt zich niet alleen op bedrijven die AI ontwikkelen. Ook organisaties die AI-systemen inzetten — de wet noemt ze "deployers" — krijgen specifieke verplichtingen. Dat betekent dat deze wet niet alleen relevant is voor techbedrijven als ASML of Booking.com, maar voor elke organisatie die AI gebruikt. En in 2026 is dat vrijwel ieder bedrijf dat een chatbot, een automatisch screeningtool, of zelfs een AI-aangedreven e-mailtool gebruikt.

Waarom deze wet er kwam

De EU AI-verordening is het resultaat van vier jaar onderhandeling. De Europese Commissie publiceerde het eerste voorstel in april 2021. Sindsdien is er veel veranderd — niet in de laatste plaats door de explosieve groei van generatieve AI via ChatGPT, Claude en vergelijkbare systemen. Het Europees Parlement voegde in 2023 extra bepalingen toe specifiek voor foundation models en general-purpose AI (GPAI).

De motivatie achter de wet is drieledig. Ten eerste: het beschermen van fundamentele rechten van EU-burgers. AI-systemen kunnen discrimineren, privacy schenden en autonomie ondermijnen als ze zonder waarborgen worden ingezet. Ten tweede: het creëren van rechtszekerheid voor bedrijven. Zonder duidelijke regels weten organisaties niet waar ze aan toe zijn, wat innovatie juist remt. Ten derde: het versterken van vertrouwen in AI. Europese burgers en consumenten moeten erop kunnen vertrouwen dat AI-systemen die hen raken aan minimale kwaliteitseisen voldoen.

Tijdlijn: wat geldt nu en wat komt eraan?

De AI-verordening is niet in één keer volledig van kracht geworden. De wetgever heeft een gefaseerde invoering gekozen, zodat bedrijven en organisaties tijd hebben om zich voor te bereiden. Hier is het volledige overzicht:

Wat dit voor jou betekent: de verboden AI-praktijken gelden al. Als jouw organisatie AI inzet voor sociale scoring van klanten of emotieherkenning op de werkvloer, ben je nu al in overtreding. De AI-geletterdheidsverplichting (Artikel 4) is inmiddels ook van kracht — en dat is de bepaling die de meeste bedrijven onderschatten. Hierover later meer.

De grote deadline waar de meeste organisaties naartoe werken is 2 augustus 2026: dan moeten alle hoog-risico AI-systemen voldoen aan de volledige set eisen uit de verordening. Dat klinkt ver weg, maar de voorbereidingstijd die nodig is voor conformiteitsbeoordelingen, documentatie en interne processen is aanzienlijk. Bedrijven die nu nog niet begonnen zijn met inventariseren, lopen al achter.

De risicogebaseerde aanpak uitgelegd

Het fundament van de EU AI-verordening is de risicogebaseerde indeling. Elk AI-systeem wordt geclassificeerd in een van vier risicocategorieën, en elke categorie brengt andere verplichtingen met zich mee. Dit is de kern die je als professional moet begrijpen.

Onaanvaardbaar risico — Verboden

AI-systemen die een onaanvaardbaar risico vormen voor fundamentele rechten zijn simpelweg verboden in de EU. Er is geen ontheffing, geen certificering, geen compliance-procedure die ze toegestaan maakt. Ze mogen niet worden ontwikkeld, op de markt gebracht of gebruikt. Voorbeelden behandelen we in het volgende hoofdstuk.

Hoog risico — Strenge verplichtingen

Dit is de categorie waar de meeste aandacht naar uitgaat, en terecht. Hoog-risico AI-systemen zijn toegestaan, maar alleen als ze aan een uitgebreide set eisen voldoen: risicobeheersystemen, datakwaliteitseisen, technische documentatie, logging, transparantie, menselijk toezicht, en nauwkeurigheids- en robuustheidseisen. Denk aan AI voor werving en selectie, kredietbeoordeling, medische diagnose en strafrechtelijke risicobeoordeling.

Beperkt risico — Transparantieverplichtingen

AI-systemen met beperkt risico hoeven niet door een conformiteitsbeoordeling, maar moeten wel transparant zijn. Het belangrijkste voorbeeld: chatbots. Als een klant communiceert met een AI-chatbot op jouw website, moet duidelijk zijn dat het om een AI gaat, niet om een mens. Hetzelfde geldt voor door AI gegenereerde content — deepfakes, synthetische beelden en teksten moeten als zodanig worden gemarkeerd.

Minimaal risico — Vrijwel geen verplichtingen

Het overgrote deel van de AI-systemen die vandaag in gebruik zijn valt in deze categorie. Spamfilters, AI-aanbevelingen in webshops, automatische vertaalsoftware, AI-features in productiviteitstools — deze systemen zijn vrij te gebruiken zonder specifieke verplichtingen uit de AI-verordening. Wel blijft de AVG van toepassing als er persoonsgegevens worden verwerkt, maar daar komen we later op terug.

Praktijktip: De eerste stap voor elke organisatie is een AI-inventarisatie. Maak een lijst van alle AI-systemen die je gebruikt — ook de AI-features die zijn ingebouwd in bestaande software. Classificeer elk systeem volgens de vier risicocategorieën. Veel bedrijven ontdekken dat ze meer AI gebruiken dan ze dachten.

Verboden AI-praktijken

Sinds 2 februari 2025 zijn de volgende AI-toepassingen verboden in de Europese Unie. Dit geldt zonder uitzondering voor alle organisaties, ongeacht grootte of sector.

1. Sociale scoring door overheden

AI-systemen die burgers classificeren op basis van hun sociale gedrag of persoonlijke kenmerken, waarbij die classificatie leidt tot nadelige behandeling in ongerelateerde contexten, zijn verboden. Denk aan het Chinese social credit system: een laag score door te laat betalen van rekeningen betekent dat je geen treinkaartje kunt kopen. In de EU mag dit niet.

2. Subliminale manipulatie

AI-systemen die technieken inzetten buiten het bewustzijn van personen om — subliminale technieken — met als doel het gedrag van personen wezenlijk te beïnvloeden op een manier die hen schade berokkent. Dit richt zich op manipulatie die mensen niet kunnen herkennen en waartegen ze zich dus niet kunnen verweren.

3. Exploitatie van kwetsbaarheden

AI die gericht kwetsbaarheden van specifieke groepen uitbuit — ouderen, kinderen, mensen met een beperking — om hun gedrag op schadelijke wijze te beïnvloeden. Een AI-marketingsysteem dat specifiek eenzame ouderen target met misleidende financiële producten valt hieronder.

4. Real-time biometrische identificatie in openbare ruimten

Het gebruik van real-time biometrische identificatiesystemen (denk aan gezichtsherkenning) in openbaar toegankelijke ruimten door rechtshandhavingsinstanties is in principe verboden. Er bestaan smalle uitzonderingen voor specifieke situaties zoals het zoeken naar vermiste kinderen of het voorkomen van een concrete terroristische dreiging, maar die vereisen voorafgaande rechterlijke toestemming.

5. Emotieherkenning op de werkvloer en in het onderwijs

AI-systemen die emoties van werknemers of leerlingen aflezen — via gezichtsexpressie, stemanalyse of lichaamshouding — zijn verboden als ze worden ingezet op de werkplek of in onderwijsinstellingen. Dit is bijzonder relevant voor Nederlandse bedrijven die overwogen om AI-tools te gebruiken voor het monitoren van werknemerstevredenheid of betrokkenheid via webcams.

6. Biometrische categorisering op gevoelige kenmerken

AI die personen categoriseert op basis van biometrische gegevens om ras, politieke overtuiging, vakbondslidmaatschap, religieuze overtuiging of seksuele gerichtheid af te leiden, is verboden. Dit geldt ook als de biometrische data op zichzelf niet gevoelig is — het gaat om de afleiding van gevoelige categorieën.

7. Voorspellende politietools op basis van profiling

AI-systemen die een risicobeoordeling maken van natuurlijke personen met betrekking tot het plegen van strafbare feiten, uitsluitend gebaseerd op profiling of persoonlijkheidskenmerken, zijn verboden. Predictive policing op individueel niveau mag dus niet.

8. Ongerichte scraping voor gezichtsherkennningsdatabases

Het ongericht verzamelen van gezichtsafbeeldingen van internet of camerabewaking om gezichtsherkennigsdatabases op te bouwen is verboden. Bedrijven als Clearview AI, die precies dit deden, kunnen hun diensten niet langer legaal in de EU aanbieden.

Controleer nu: Gebruikt jouw organisatie AI-tools die emoties van medewerkers analyseren? Software die gezichtsherkenning toepast? Automatische systemen die klanten classificeren op basis van gevoelige kenmerken? Sinds februari 2025 is dit verboden en kunnen er boetes worden opgelegd.

Hoog-risico AI-systemen

De categorie hoog-risico AI is waar de AI-verordening het meest complex en gedetailleerd is. De volledige regels worden van kracht op 2 augustus 2026, maar bedrijven moeten nu al beginnen met voorbereiden. Een systeem wordt als hoog-risico geclassificeerd als het valt onder een van de categorieën in Bijlage III van de verordening, of als het een veiligheidscomponent is van een product dat al onder bestaande EU-productwetgeving valt (Bijlage I).

Bijlage III: de kerngebieden

De volgende toepassingsgebieden worden als hoog-risico aangemerkt:

1. Biometrische identificatie en categorisering: Systemen voor biometrische identificatie op afstand (niet real-time, want dat is verboden), en systemen voor biometrische categorisering op andere dan verboden kenmerken.
2. Beheer en exploitatie van kritieke infrastructuur: AI die wordt gebruikt voor het beheer van verkeer, energie-, water- of gasvoorziening. Denk aan AI die het stroomnet van Tennet aanstuurt of verkeersstromen op de A2 optimaliseert.
3. Onderwijs en beroepsopleiding: AI die bepaalt wie wordt toegelaten tot onderwijsinstellingen, examens beoordeelt, of het niveau van leerlingen vaststelt. Een AI die bepaalt of een student wordt toegelaten tot de universiteit valt hieronder.
4. Werkgelegenheid en personeelsbeheer: AI voor werving en selectie, CV-screening, sollicitantgesprekken, prestatiebeoordeling, promotie en ontslag. Dit is een van de meest impactvolle categorieën voor het bedrijfsleven. Als je organisatie een AI-tool gebruikt om CV's te screenen of sollicitanten te rangschikken, valt dat onder hoog-risico.
5. Essentiële diensten: AI die bepaalt of iemand in aanmerking komt voor overheidsuitkeringen, die kredietscores berekent, die verzekeringsrisico's vaststelt, of die wordt gebruikt bij nooddiensten. Bij banken als ING en Rabobank vallen AI-gestuurde kredietbeoordelingen onder deze categorie.
6. Rechtshandhaving: AI voor risicobeoordeling van slachtoffers, leugendetectie, en evaluatie van bewijsmateriaal.
7. Migratie, asiel en grenscontrole: AI voor risicobeoordeling aan grenzen, verificatie van reisdocumenten en behandeling van asielverzoeken.
8. Rechtsbedeling en democratische processen: AI die wordt gebruikt bij rechterlijke besluitvorming of bij het beïnvloeden van verkiezingsuitslagen.

Wat moet je doen als deployer van hoog-risico AI?

Als jouw organisatie een hoog-risico AI-systeem gebruikt (niet ontwikkelt, maar inzet), heb je de volgende verplichtingen:

• Menselijk toezicht: Er moet een gekwalificeerd persoon zijn die het AI-systeem kan overzien, begrijpen en indien nodig overrulen. Volledig geautomatiseerde besluitvorming zonder menselijke controle is niet toegestaan voor hoog-risico systemen.
• Datakwaliteit: De invoergegevens moeten relevant en voldoende representatief zijn voor het beoogde doel. Als je een AI-screeningtool voedt met niet-representatieve data, ben je in overtreding.
• Logging en monitoring: Je moet logs bijhouden van het AI-systeem zodat toezichthouders de werking kunnen controleren.
• Informatie aan betrokkenen: Personen die onderworpen zijn aan beslissingen van hoog-risico AI-systemen moeten hierover worden geïnformeerd.
• Grondrechtenbeoordeling: Publieke organisaties en private partijen die essentiële diensten leveren moeten vóór ingebruikname een beoordeling uitvoeren van de impact op grondrechten.

Concreet voorbeeld: Een Nederlands uitzendbureau gebruikt een AI-tool om kandidaten te matchen met vacatures. Het systeem rangschikt kandidaten op basis van hun CV, vaardigheden en eerdere werkervaring. Dit valt onder hoog-risico (werkgelegenheid). Het bureau moet zorgen dat een recruiter elk AI-advies kan beoordelen en overrulen, dat de trainingsdata niet discrimineren op leeftijd of afkomst, en dat kandidaten weten dat er een AI bij het selectieproces betrokken is.

Transparantieverplichtingen

Naast de specifieke eisen voor hoog-risico systemen bevat de AI-verordening transparantieverplichtingen die voor een bredere groep AI-systemen gelden. Deze zijn bijzonder relevant voor marketing- en klantcontactprofessionals.

Chatbots en virtuele assistenten

Als een persoon interactie heeft met een AI-systeem, moet duidelijk worden gemaakt dat het om een AI gaat. Dit geldt voor chatbots op websites, virtuele assistenten in apps en AI-gestuurde telefoonsystemen. De melding moet tijdig en duidelijk zijn — een klein disclaimer onderaan de pagina is onvoldoende.

Door AI gegenereerde content

Content die door AI is gegenereerd of gemanipuleerd — tekst, beeld, audio, video — moet als zodanig worden gemarkeerd. Dit is bijzonder relevant voor marketingafdelingen die AI gebruiken voor contentcreatie. Als je met AI een blogpost schrijft voor je bedrijfswebsite, een productafbeelding genereert, of een voice-over maakt, moet herkenbaar zijn dat AI hierbij betrokken was.

Voor deepfakes gelden extra verplichtingen: synthetisch gegenereerde of gemanipuleerde beeld-, audio- of videocontent die op bestaande personen lijkt moet expliciet als kunstmatig gegenereerd worden gelabeld, tenzij het gaat om evident artistiek of satirisch werk.

General-purpose AI (GPAI) modellen

Aanbieders van GPAI-modellen — denk aan de bedrijven achter ChatGPT, Claude, Gemini en Llama — moeten technische documentatie publiceren, informatie verstrekken aan downstream-aanbieders die deze modellen in hun producten integreren, een beleid voeren voor naleving van auteursrecht, en een samenvatting publiceren van de trainingsdata. Voor GPAI-modellen met een systeemrisico gelden aanvullende verplichtingen, waaronder model evaluations en incidentrapportage.

AI-geletterdheid: Artikel 4 — De onderschatte verplichting

Van alle bepalingen in de AI-verordening is Artikel 4 waarschijnlijk de meest onderschatte, maar tegelijkertijd de meest verstrekkende voor het bedrijfsleven. Sinds 2 februari 2026 is deze bepaling van kracht.

Artikel 4 stelt het volgende: aanbieders en deployers van AI-systemen moeten maatregelen nemen om te zorgen dat hun personeel en andere betrokken personen een voldoende niveau van AI-geletterdheid hebben. Hierbij moet rekening worden gehouden met hun technische kennis, ervaring, onderwijs en opleiding, de context waarin de AI-systemen worden gebruikt, en de personen of groepen waarop de systemen betrekking hebben.

Wat betekent dit concreet?

In de praktijk betekent Artikel 4 dat elke organisatie die AI-systemen gebruikt — en dat is in 2026 vrijwel elk bedrijf — moet kunnen aantonen dat de relevante medewerkers begrijpen hoe de AI-systemen werken die zij gebruiken. Dit gaat niet alleen over de IT-afdeling. Een HR-medewerker die een AI-screeningtool gebruikt, moet begrijpen wat het systeem doet, wat de beperkingen zijn en wanneer menselijk ingrijpen nodig is. Een marketeer die AI gebruikt voor het genereren van content, moet begrijpen wat bias is en hoe AI-gegenereerde informatie kan afwijken van de werkelijkheid.

Hoe voldoe je aan Artikel 4?

De verordening schrijft niet exact voor hoe je AI-geletterdheid moet waarborgen. Er zijn geen specifieke cursussen, examens of certificaten verplicht gesteld. Wat je wel moet kunnen aantonen:

• Inventarisatie: Je hebt in kaart gebracht welke medewerkers met welke AI-systemen werken.
• Training: Je hebt een passend opleidingsprogramma aangeboden, afgestemd op de rol en het risicoprofiel van de AI-systemen die worden gebruikt.
• Documentatie: Je kunt aantonen dat trainingen hebben plaatsgevonden en dat medewerkers een basisniveau van begrip hebben bereikt.
• Continuïteit: AI-geletterdheid is geen eenmalige exercitie. Naarmate AI-systemen veranderen, moet de kennis worden bijgehouden.

De Nationale AI-Cursus, gelanceerd door de Nederlandse overheid naar Fins voorbeeld, heeft een goede basis gelegd voor AI-bewustzijn onder het brede publiek. Maar Artikel 4 vraagt meer dan algemeen bewustzijn — het vraagt specifieke kennis die is afgestemd op de AI-systemen die medewerkers daadwerkelijk gebruiken.

Begin vandaag: AI-geletterdheid is geen luxe meer — het is een wettelijke verplichting. Een goede eerste stap is onze gratis AI-cursus, die de basisbegrippen behandelt die elke professional moet kennen. Van daaruit kun je specialiseren per rol en afdeling.

AVG en de EU AI-verordening: twee wetten, één compliance-uitdaging

Een veelgestelde vraag: hoe verhoudt de EU AI-verordening zich tot de Algemene Verordening Gegevensbescherming (AVG)? Het korte antwoord: ze vullen elkaar aan en gelden naast elkaar. De AI-verordening vervangt de AVG niet — als je AI-systeem persoonsgegevens verwerkt (en dat is bijna altijd het geval), moet je aan beide wetten voldoen.

Waar ze overlappen

Beide wetten stellen eisen aan transparantie, menselijk toezicht en de bescherming van individuen tegen nadelige geautomatiseerde besluitvorming. De AVG bevat in artikel 22 al het recht om niet onderworpen te worden aan een uitsluitend op geautomatiseerde verwerking gebaseerd besluit — de AI-verordening versterkt dit met specifiekere eisen per risicocategorie.

Praktische implicaties

Voor organisaties die al AVG-compliant zijn, is de stap naar AI-compliance minder groot dan je misschien denkt. Veel van de benodigde structuren — een register van verwerkingsactiviteiten, een Data Protection Impact Assessment (DPIA), procedures voor de rechten van betrokkenen — vormen een goede basis voor de AI-verordening. Maar er zijn aanvullingen nodig:

• AI-inventaris: Naast je register van verwerkingsactiviteiten heb je een overzicht nodig van alle AI-systemen, inclusief hun risicoklassificatie.
• FRIA: Voor hoog-risico AI-systemen in publieke contexten is een Fundamental Rights Impact Assessment (FRIA) vereist, bovenop de DPIA.
• Technische documentatie: De AI-verordening stelt specifiekere eisen aan technische documentatie dan de AVG aan verwerkingsdocumentatie stelt.
• Leveranciersbeoordeling: Als je AI-tools inkoopt, moet je beoordelen of de aanbieder voldoet aan diens verplichtingen onder de AI-verordening — vergelijkbaar met de verwerkersovereenkomst onder de AVG, maar met andere inhoudelijke eisen.

Als je bedrijf AI inzet voor zakelijke doeleinden, is het verstandig om de AVG- en AI-compliance geïntegreerd aan te pakken. Eén gecombineerd register, één beoordelingsprocedure, één verantwoordelijke functionaris. Dat is efficiënter dan twee parallelle compliance-trajecten.

Nederlandse toezichthouder: de Autoriteit Persoonsgegevens als AI-waakhond

In Nederland is de Autoriteit Persoonsgegevens (AP) aangewezen als nationale toezichthouder voor de AI-verordening — althans voor het grootste deel van de wet. Dit is een bewuste keuze van de Nederlandse regering: door het AI-toezicht te beleggen bij de AP, die al ervaring heeft met de AVG, wordt de samenhang tussen beide wetten geborgd.

De AP heeft hiervoor extra budget en personeel gekregen. Er is een apart AI-team opgericht dat zich bezighoudt met het ontwikkelen van toezichtskaders, het behandelen van klachten en het uitvoeren van onderzoeken. Naast de AP hebben sectorale toezichthouders — zoals de Autoriteit Financiële Markten (AFM) voor de financiële sector en de Inspectie Gezondheidszorg en Jeugd (IGJ) voor de zorg — een rol bij het toezicht op AI in hun specifieke domein.

Wat kun je verwachten?

De AP heeft aangegeven dat ze in de eerste fase zal focussen op voorlichting en begeleiding. Er worden praktijkrichtlijnen ontwikkeld per sector, en er komt een helpdesk waar organisaties terecht kunnen met vragen over de AI-verordening. Maar maak geen vergissing: de AP heeft ook handhavingsbevoegdheden en zal deze gebruiken waar nodig. De ervaring met de AVG — waarbij de AP in de eerste jaren relatief mild was maar geleidelijk strenger werd — zal zich waarschijnlijk herhalen.

Op Europees niveau is het AI Office opgericht als onderdeel van de Europese Commissie. Dit kantoor coördineert de toepassing van de verordening tussen lidstaten, ontwikkelt richtsnoeren en codes of practice, en houdt specifiek toezicht op GPAI-modellen (de grote foundationmodellen). Het AI Office werkt samen met de nationale toezichthouders via het European AI Board, waarin alle nationale autoriteiten vertegenwoordigd zijn.

De NL AIC (Nederlandse AI Coalitie), een publiek-privaat samenwerkingsverband, speelt ook een rol bij het vertalen van de regelgeving naar praktische handvatten voor het Nederlandse bedrijfsleven. Via werkgroepen per sector worden guidelines en best practices ontwikkeld.

Impact per sector: wat verandert er voor jouw vakgebied?

De EU AI-verordening raakt verschillende sectoren op verschillende manieren. Hier een overzicht van de meest relevante impact per sector in Nederland.

Financiële sector

Banken als ING en Rabobank, verzekeraars en financiële dienstverleners worden zwaar geraakt. AI-systemen voor kredietbeoordeling, fraudedetectie en verzekeringsrisicobepaling vallen onder hoog-risico. De sector heeft al ervaring met streng toezicht (DNB, AFM), maar de AI-verordening voegt nieuwe eisen toe aan transparantie en uitlegbaarheid. Een bank moet niet alleen kunnen aantonen dát een AI-systeem een hypotheekaanvraag heeft afgewezen, maar ook waarom — en die uitleg moet begrijpelijk zijn voor de klant.

Gezondheidszorg

AI in de zorg — denk aan beeldherkenning voor radiologie, beslissingsondersteuning voor diagnose, en patiënttriage — valt vrijwel altijd onder hoog-risico. De eisen aan nauwkeurigheid, robuustheid en menselijk toezicht zijn extra relevant in een context waar fouten levensbedreigende gevolgen kunnen hebben. Ziekenhuizen en zorgaanbieders moeten investeren in klinische validatie en continue monitoring van AI-systemen.

HR en werving

Dit is een van de meest impactvolle gebieden. AI-tools voor CV-screening, automated video interviews, persoonlijkheidstesten en prestatiebeoordeling zijn hoog-risico. Nederlandse uitzendbureaus en recruitmentplatforms moeten hun AI-tools laten voldoen aan de volledige set eisen. Bijzonder relevant: de verordening eist dat AI-systemen voor werving niet discrimineren op beschermde kenmerken — een eis die verder gaat dan de huidige wetgeving in veel lidstaten.

Marketing en e-commerce

Voor marketeers is de impact minder zwaar dan voor HR of finance, maar niet verwaarloosbaar. Chatbots moeten worden geïdentificeerd als AI. AI-gegenereerde marketingcontent moet worden gelabeld. En als je AI gebruikt voor geavanceerde profilering en targeting — zeker in combinatie met gevoelige gegevens — kunnen de grenzen van beperkt risico en hoog risico vervagen. Bedrijven als bol.com en Coolblue, die AI intensief inzetten voor personalisatie, moeten hun systemen zorgvuldig classificeren.

Publieke sector

Overheidsorganisaties krijgen extra verplichtingen. De grondrechtenbeoordeling is voor hen verplicht bij elk hoog-risico AI-systeem, en er zijn strengere regels rond transparantie. De Nederlandse overheid heeft, mede naar aanleiding van het toeslagenschandaal, al beleid ontwikkeld voor verantwoord gebruik van algoritmen. De AI-verordening formaliseert en versterkt dit.

Telecom en technologie

Bedrijven als KPN en technologiebedrijven die AI-diensten leveren aan andere organisaties krijgen verplichtingen als zowel aanbieder als deployer. Ze moeten hun eigen AI-gebruik in lijn brengen met de verordening en tegelijkertijd hun klanten ondersteunen in diens compliance. ASML, dat AI inzet in het productieproces van chipsmachines, valt onder de regels voor AI als veiligheidscomponent in gereguleerde producten.

Hoe Nederlandse bedrijven zich voorbereiden

De voorbereiding op de AI-verordening varieert sterk per organisatie. Grote bedrijven zijn over het algemeen verder dan het MKB, maar zelfs bij grote organisaties zijn er nog flinke stappen te zetten.

Wat koplopers doen

Nederlandse organisaties die het voortouw nemen, volgen doorgaans een vergelijkbaar patroon:

1. AI-inventarisatie: Ze hebben een compleet overzicht van alle AI-systemen in gebruik, inclusief AI-features in ingekochte software. Bij een grote financiële instelling leverde deze inventarisatie meer dan 200 AI-toepassingen op — veel meer dan vooraf verwacht.
2. Risicoklassificatie: Elk AI-systeem is geclassificeerd volgens het risicomodel van de verordening.
3. Gap-analyse: Per hoog-risico systeem is in kaart gebracht welke eisen al worden nageleefd en waar nog actie nodig is.
4. Governance-structuur: Er is een AI-verantwoordelijke aangewezen (soms gecombineerd met de Data Protection Officer) en er zijn processen ingericht voor beoordeling van nieuwe AI-toepassingen.
5. Opleiding: Er is een opleidingsprogramma gestart om te voldoen aan Artikel 4 — gedifferentieerd naar rol en risiconiveau.

Wat het MKB kan doen

Voor kleine en middelgrote bedrijven hoeft de compliance-inspanning niet overweldigend te zijn. De meeste MKB-bedrijven gebruiken AI primair als deployer van bestaande tools — ze ontwikkelen geen eigen AI-systemen. De verplichtingen voor deployers zijn lichter dan die voor aanbieders. Maar ze bestaan wel. Een praktische aanpak:

• Maak een simpele lijst van alle AI-tools die je gebruikt (inclusief AI-features in bestaande software).
• Controleer of een van die tools onder hoog-risico valt (met name bij HR, finance en klantbeoordeling).
• Zorg dat medewerkers basiskennis hebben van de AI-tools die zij gebruiken (Artikel 4).
• Informeer klanten als ze met een chatbot communiceren.
• Vraag je AI-leveranciers om documentatie over compliance met de AI-verordening.

Een AI-cursus die is afgestemd op de Europese context kan hierbij enorm helpen. Het gaat niet om diepgaande technische kennis, maar om het begrip dat nodig is om verantwoord met AI te werken en aan de wet te voldoen.

Sancties bij niet-naleving

De EU AI-verordening hanteert een gestaffeld boetesysteem dat nog strenger is dan de AVG. De hoogte van de boete hangt af van het type overtreding:

Voor KMO's en startups gelden lagere maxima — de verordening houdt rekening met de omvang van de organisatie. Maar ook bij een MKB-bedrijf met €5 miljoen omzet kan een boete van €150.000 (3%) aanzienlijk zijn.

Naast financiële boetes kunnen toezichthouders ook corrigerende maatregelen opleggen: het tijdelijk of permanent verbieden van een AI-systeem, het terugroepen van een product, of het verplichten van specifieke aanpassingen. Voor veel bedrijven is dit operationele risico minstens zo ingrijpend als de financiële boete.

Een realistisch perspectief: in de eerste maanden na volledige inwerkingtreding zullen de meeste toezichthouders waarschijnlijk een pragmatische benadering kiezen — vergelijkbaar met de eerste jaren van de AVG. Maar wacht niet af tot de eerste handhavingsactie om in beweging te komen. De reputatieschade van een publieke overtreding kan groter zijn dan de boete zelf.

Praktische compliance-checklist

Gebruik deze checklist als startpunt voor je organisatie. Het is geen juridisch advies — raadpleeg voor complexe situaties een gespecialiseerd jurist — maar het geeft je een helder overzicht van de stappen die elke organisatie moet nemen.

Fase 1: Inventarisatie (nu)

• ☐ Maak een compleet overzicht van alle AI-systemen in je organisatie — inclusief AI-features in bestaande software (CRM, HR-tools, marketingplatforms, financiële systemen).
• ☐ Classificeer elk systeem: onaanvaardbaar risico, hoog risico, beperkt risico of minimaal risico.
• ☐ Controleer of je organisatie verboden AI-praktijken toepast en stop deze onmiddellijk.
• ☐ Breng in kaart welke AI-systemen persoonsgegevens verwerken (overlap met AVG).

Fase 2: Governance (nu - Q2 2026)

• ☐ Wijs een AI-verantwoordelijke aan (eventueel gecombineerd met de DPO/FG).
• ☐ Stel een procedure op voor beoordeling van nieuwe AI-toepassingen vóór implementatie.
• ☐ Inventariseer je AI-leveranciers en vraag om compliance-documentatie.
• ☐ Integreer AI-compliance in je bestaande AVG-governance.

Fase 3: AI-geletterdheid (nu — al verplicht)

• ☐ Breng in kaart welke medewerkers met welke AI-systemen werken.
• ☐ Stel een opleidingsplan op, gedifferentieerd naar rol en risicoprofiel.
• ☐ Registreer voltooide trainingen als bewijsmateriaal voor compliance.
• ☐ Plan periodieke updates naarmate AI-systemen veranderen.

Fase 4: Hoog-risico compliance (vóór augustus 2026)

• ☐ Voer voor elk hoog-risico AI-systeem een gap-analyse uit tegen de volledige eisenset.
• ☐ Richt menselijk toezicht in: wie mag het systeem overrulen, en onder welke omstandigheden?
• ☐ Zorg voor adequate logging en monitoring.
• ☐ Stel technische documentatie op (of verkrijg deze van je leverancier).
• ☐ Voer een grondrechtenbeoordeling uit voor publieke dienstverlening.
• ☐ Registreer hoog-risico systemen in de EU-database (wanneer beschikbaar).

Fase 5: Transparantie (doorlopend)

• ☐ Identificeer alle interactiepunten waar gebruikers met AI communiceren.
• ☐ Implementeer duidelijke meldingen dat het om AI gaat (chatbots, virtual assistants).
• ☐ Label AI-gegenereerde content als zodanig.
• ☐ Informeer betrokkenen als hun gegevens worden gebruikt in AI-systemen.

Jouw volgende stappen

De EU AI-verordening is geen abstract beleidsstuk — het is wetgeving die nu al geldt en die direct invloed heeft op hoe jij als professional met AI werkt. De verboden praktijken zijn al van kracht. De AI-geletterdheidseis geldt al. En de volledige regels voor hoog-risico systemen treden in augustus 2026 in werking.

De organisaties die het best voorbereid zijn, zijn niet degene die het grootste compliance-budget hebben. Het zijn de organisaties die vroeg zijn begonnen met drie dingen: inventariseren, classificeren en opleiden. Die eerste stap — een simpele lijst maken van alle AI-systemen in je organisatie — is iets dat je vandaag kunt doen.

Concreet aan de slag

1. Start met AI-geletterdheid. Artikel 4 is al van kracht. Onze gratis AI-cursus geeft je de basisbegrippen die elke professional moet kennen — van prompt engineering tot ethiek, van bias tot de belangrijkste AI-tools. Het is een praktische eerste stap om te voldoen aan de opleidingsverplichting.
2. Maak je AI-inventaris. Loop deze week door alle software die je organisatie gebruikt en noteer welke tools AI-functionaliteit bevatten. Je zult verrast zijn hoe lang de lijst is.
3. Betrek je management. AI-compliance is geen IT-aangelegenheid. Het raakt HR, marketing, finance, klantenservice en het bestuur. Zorg dat het op de directieagenda staat.
4. Verdiep je kennis. Lees onze gids over AI voor bedrijven voor praktische toepassingen die wél compliant zijn, en bekijk onze AI-cursus voor een gestructureerde opleiding die is afgestemd op de Europese context.

De AI-verordening is niet bedoeld om innovatie te stoppen. Het is bedoeld om ervoor te zorgen dat AI in Europa op een verantwoorde, transparante en eerlijke manier wordt ingezet. Professionals die dat begrijpen en ernaar handelen, hebben een voorsprong — niet alleen in compliance, maar ook in het vertrouwen dat ze opbouwen bij klanten, medewerkers en partners.