Wat is de EU AI-wet? Regulations, Requirments & Compliance
De eerste AI-wet ter wereld. Van toepassing op elke organisatie in de EU die AI gebruikt — niet alleen bedrijven die het bouwen. Dit is wat u moet weten, in gewone taal.
De Korte Versie
De EU AI-wet (Verordening 2024/1689) werd van kracht in augustus 2024. De wet classificeert elk AI-systeem op risiconiveau en stelt regels dienovereenkomstig. Hoe hoger het risico, hoe strenger de regels. De belangrijkste compliance-deadline voor de meeste organisaties is augustus 2026.
De wet is op u van toepassing als uw organisatie actief is in de EU, AI-tools gebruikt in een bedrijfsproces, of als uw AI-output EU-inwoners treft. U hoeft geen AI te bouwen om erdoor te worden getroffen — het gebruiken ervan is voldoende.
Voor Wie Geldt de EU AI-wet?
Het korte antwoord: iedereen in de EU die AI gebruikt — niet alleen bedrijven die het bouwen. Meer specifiek geldt de wet voor u als u bent:
🏛 Een AI-ontwikkelaar of -aanbieder
U bouwt of verkoopt een AI-systeem — in de EU of aan EU-klanten. De strengste verplichtingen gelden voor u, zeker als uw systeem in een hoog-risico categorie valt.
💼 Een AI-gebruiker (de meeste bedrijven)
U gebruikt een AI-systeem in uw bedrijf — zelfs een kant-en-klaar tool. Als u AI gebruikt voor HR, klantscreening, kredietbeslissingen of andere hoog-risico doeleinden, heeft u ook compliance-verplichtingen.
🌎 Elke EU-organisatie
U opereert in de EU of uw AI-output treft EU-inwoners. Het maakt niet uit waar de AI is gebouwd of waar uw bedrijf is gevestigd — als de output iemand in de EU bereikt, geldt de wet.
🪐 Importeurs & Distributeurs
U brengt AI-producten van buiten de EU op de EU-markt, of distribueert AI-systemen. U bent verantwoordelijk voor het waarborgen dat die systemen voldoen aan de vereisten van de wet.
Vier Risiconiveaus
🚫 Verboden
Volledig verboden vanaf februari 2025. Social scoring, realtime gezichtsherkenning op openbare plaatsen, AI die mensen manipuleert zonder hun medeweten.
⚠️ Strenge Regels
Vereist documentatie, menselijk toezicht en registratie voor gebruik. Omvat HR-tools, kredietscoring, zorg-AI, onderwijs, rechtshandhaving en kritieke infrastructuur.
💡 Openbaar Maken
U moet gebruikers vertellen dat ze met AI communiceren. Geldt voor chatbots en AI-gegenereerde inhoud zoals deepfakes.
✅ Geen Regels
De meeste AI-tools — spamfilters, aanbevelingsengines, productiviteits-AI — vallen hieronder. Geen verplichte vereisten.
Belangrijke Deadlines
🚫 Februari 2025
Verboden AI-systemen zijn niet meer toegestaan. Als u social scoring, massale biometrische surveillance of manipulatieve AI gebruikt — dit moet nu stoppen.
🤖 Augustus 2025
Regels voor general-purpose AI-modellen (GPT-4, Gemini, Claude) treden in werking. Aanbieders moeten documentatie publiceren en aan veiligheidsnormen voldoen.
⚠️ Augustus 2026 — Hoofddeadline
Hoog-risico AI-systemen moeten worden beoordeeld, gedocumenteerd en geregistreerd. Dit is de deadline die de meeste bedrijven treft. Begin nu met voorbereiden.
🕑 Augustus 2027
Oudere hoog-risico AI-systemen die al vóór 2026 in gebruik waren, moeten tegen deze datum compliant zijn.
Om aan de EU AI-wet te voldoen, moet u weten welke AI-tools uw medewerkers gebruiken, hoe ze worden gebruikt en of ze in hoog-risico categorieën vallen. Onderzoek toont aan dat 68% van de medewerkers AI-tools gebruikt zonder IT-goedkeuring. Als u geen zichtbaarheid heeft in uw AI-gebruik, is compliance onmogelijk — niet moeilijk, onmogelijk.
Zie hoe onze AI Governance dienst dit oplost →
Wat Gebeurt Er Als U Niet Voldoet
Overtredingen verboden AI
Tot €35 miljoen of 7% van de wereldwijde omzet — wat het hoogste is.
Overtredingen hoog-risico systemen
Tot €15 miljoen of 3% van de wereldwijde omzet — wat het hoogste is.
Veelgestelde Vragen
Wij zijn een klein bedrijf — geldt dit voor ons?
Ja, maar met lichtere vereisten. Het MKB krijgt minder administratieve lasten en toegang tot regelgevende sandboxen. De risicogebaseerde regels zijn echter nog steeds van toepassing — als u hoog-risico AI gebruikt (zoals een AI HR-screeningstool), moet u dit documenteren en menselijk toezicht waarborgen, ongeacht de bedrijfsomvang.
Wij gebruiken ChatGPT en Copilot — zijn wij getroffen?
Voor de meeste algemene toepassingen niet — deze vallen in minimaal of beperkt risico. Maar als uw team ze gebruikt voor HR-beslissingen, kredietbeoordelingen of medisch advies zonder toezicht of documentatie, kunnen hoog-risico verplichtingen van toepassing zijn. De vraag is niet welk tool, maar hoe het wordt gebruikt.
Hoe sluit dit aan bij NIS2 en AVG?
NIS2 vereist al dat u cyberbeveiligingsrisico's van alle digitale tools beheert — inclusief AI. De AVG regelt de persoonsgegevens die AI verwerkt. De EU AI-wet regelt het AI-systeem zelf. De meeste organisaties die AI serieus nemen, zullen alle drie moeten aanpakken. Het goede nieuws: de onderliggende mogelijkheid — zichtbaarheid en documentatie — voldoet aan alle drie.
Wat moeten hoog-risico AI-systemen eigenlijk doen?
Voordat u een hoog-risico AI-systeem inzet, moet u: technische documentatie opstellen, een risicobeheersproces opzetten, kwaliteit van trainingsdata waarborgen, menselijk toezicht inbouwen, nauwkeurigheid en robuustheid testen, en het systeem registreren in de EU AI-wet database. Dit vereist maanden van voorbereiding — niet iets wat u de week voor de deadline kunt doen.
Waar begin ik?
Begin met uitzoeken welke AI daadwerkelijk in gebruik is binnen uw organisatie. De meeste organisaties zijn verrast door hoeveel ze vinden. Classificeer daarna elk tool op risiconiveau, documenteer het gebruik en zet governance in. Magic Stone kan hierbij helpen — boek een gratis assessment om te beginnen.
Gerelateerd
Weet u niet waar u staat met de EU AI-wet?
Boek een gratis assessment met Magic Stone. Wij brengen uw AI-gebruik in kaart, signaleren wat aandacht nodig heeft en vertellen u precies hoe compliance eruitziet voor uw organisatie.
Boek een AI Governance Assessment