The Automation Group

    § Gids · EU AI Act

    De EU AI Act: van wet naar praktijk voor AI-gedreven enterprises.

    De wettelijke kaders voor kunstmatige intelligentie staan vast. Voor tech-leads en CIO's betekent de AI Act geen stop op innovatie, maar een dwingende architectuureis: AI Agents en LLM-applicaties vereisen een ontwerp dat transparantie, veiligheid en juridische houdbaarheid vanaf dag één borgt.

    Op deze pagina

    01 — Tijdlijn

    Wat is de AI Act en wanneer geldt wat?

    De EU AI Act is sinds medio 2024 formeel van kracht en voert een gefaseerde inwerkingtreding in. In plaats van een abrupte overgang, hebben we te maken met harde deadlines per risiconiveau en type technologie. Het compliance-traject vraagt daarom nu al om systeemaanpassingen.

    1 aug 2024 De AI Act is officieel in werking getreden.
    2 feb 2025 Verbod op systemen met onaanvaardbaar risico en inwerkingstreding van de AI-geletterdheid plicht (art. 4).
    2 aug 2025 Verplichtingen voor General-Purpose AI (GPAI) modellen zoals LLMs gaan in, inclusief governance structuur en het boete-regime.
    2 aug 2026 Het grootste deel van de high-risk (hoog risico) verplichtingen (Bijlage III) wordt van kracht, inclusief transparantieverplichtingen (art. 50).
    2 aug 2027 Inwerkingtreding van verplichtingen voor hoog-risico systemen die als veiligheidscomponenten in bij wet gereguleerde producten (Bijlage I) dienen.

    02 — Risicocategorieën

    De vier risicocategorieën

    01

    Onaanvaardbaar risico

    Systemen die verboden zijn wegens onverenigbaarheid met fundamentele EU-rechten. Voorbeelden zijn social scoring, cognitieve gedragsmanipulatie, en realtime biometrische identificatie (zoals gezichtsherkenning) op afstand in openbare ruimtes door rechtshandhaving, behalve in zeer specifieke uitzonderingsgevallen.

    02

    Hoog risico

    AI-systemen met aanzienlijke impact op de veiligheid of grondrechten (Bijlage III). Denk aan toepassingen binnen werving en selectie, HR, onderwijs, kredietscore-algoritmen, kritieke infrastructuur en rechtshandhaving. Hier gelden zware compliancy-eisen, zoals verplichte logging, strenge data governance, en formele risicobeoordelingen.

    03

    Beperkt risico

    Dit omvat de transparantieverplichtingen uit artikel 50. Gebruikers moeten expliciet weten dat ze interacteren met een AI-systeem. Dit raakt chatbots, geautomatiseerde AI Agents en systemen die synthetische content zoals deepfakes of gegenereerde text en audio genereren, die consequent gelabeld moeten worden.

    04

    Minimaal risico

    Systemen zonder significante impact, zoals spamfilters of basale aanbevelingsalgoritmes. De AI Act stelt hier geen strenge eisen, al worden vrijwillige gedragscodes wel sterk aangemoedigd.

    03 — GPAI

    General-purpose AI (GPAI) en systemic risk

    Naast de risicobenadering kent de Act specifieke regels voor General-Purpose AI (GPAI) modellen, zoals grote Foundation Models. Een model wordt bestempeld als het hebbende van een 'systemisch risico' wanneer de benodigde rekenkracht voor het trainen van het model de drempel van 10^25 FLOPs overschrijdt.

    Alle GPAI-providers moeten technische documentatie bijhouden, een up-to-date copyright-policy handhaven en een inhoudelijke samenvatting van de trainingsdata kunnen overleggen. Voor modellen met systemisch risico komen daar strenge cyber security-eisen, gestructureerde red-teaming, model-evaluaties en acute incident reporting bij.

    Integreer je een bestaand GPAI-model in een eigen applicatie of enterprise AI Agent? Zorg dat je vendor compliant is. Als downstream deployer (of zelfs nieuwe provider, bij zware finetuning) blijf je verantwoordelijk voor de specifieke context waarin je het model in de praktijk lostlaat.

    04 — Handhaving

    Boetes en handhaving

    Onaanvaardbare AI-praktijken (art. 5) maximaal €35 miljoen of 7% van de wereldwijde jaaromzet
    Overtreding van andere verplichtingen (high-risk, GPAI) maximaal €15 miljoen of 3% van de wereldwijde jaaromzet
    Het verstrekken van onjuiste informatie aan autoriteiten maximaal €7,5 miljoen of 1% van de wereldwijde jaaromzet

    Let op: bij start-ups en het MKB hanteert men in principe het lagere bedrag als maximum; het nationaal toezicht landt deels bij de Autoriteit Persoonsgegevens en de RDI, terwijl op Europees niveau het EU AI Office waakt over GPAI-modellen.

    05 — Rollen

    Provider of deployer — wat ben jij?

    De verantwoordelijkheden onder de AI Act zijn niet voor alle partijen gelijk, maar direct afhankelijk van de rol die een bedrijf vervult in de levenscyclus van het AI-systeem. Dat bepaalt welke checklist jij moet afvinken.

    01

    Provider (aanbieder)

    Degene die het AI-systeem of GPAI-model ontwikkelt, of laat ontwikkelen, en deze onder eigen naam of merk op de markt brengt of in gebruik neemt. Hier liggen de zwaarste (High-Risk/GPAI) verplichtingen.

    02

    Deployer (gebruiker/inzetter)

    De organisatie die het AI-systeem onder diens eigen verantwoordelijkheid operationeel inzet in een professionele context. Persoonlijke, niet-professionele consumptie valt niet onder Deployer-plichten.

    03

    Importeur / distributeur

    Bedrijven die systemen van buiten Europa de interne EU-markt op brengen, spelen een controle-functie en moeten waarborgen dat de originele provider conform de AI Act heeft gehandeld vóór marktintroductie.

    04

    Let op: deployer kan provider worden

    Onderschat dit niet. Wanneer je als deployer een wezenlijke wijziging (substantial modification) aanbrengt aan een getraind model, het AI-systeem onder een eigen merknaam in de markt zet, of het voor een fundamenteel ander en hoog-risico doel gaat gebruiken, promoveert je juridische status naar 'provider'. Daarmee erfen je de bijbehorende zware nalevingsplichten.

    06 — Praktisch

    Wat betekent dit voor je AI Agents in productie?

    1. 01

      Classificeer direct elk AI-systeem: leg de risicocategorie, de leveranciersrol en de use-case per implementatie feitelijk vast.

    2. 02

      Zorg voor AI-geletterdheid conform art. 4, een brede verplichting die sinds 2 februari 2025 al van kracht is; medewerkers die via Agents data verwerken of deze systemen beheren, moeten adequaat getraind zijn.

    3. 03

      Focus op data governance en logging: in high-risk scenario's moeten de dataset beslissingen, het trainingsproces en operationele output in auditlogs kunnen worden geïnspecteerd en verklaard.

    4. 04

      Implementeer de transparantieregels van art. 50: eindgebruikers, intern en extern, moeten direct geïnformeerd worden dat ze met een AI Agent of chatbot spreken in plaats van met een mens.

    5. 05

      Borg Human Oversight (menselijk toezicht): bij high-risk functionaliteit mag een Agent nooit de finale ongecontroleerde actor zijn. Human-in-the-loop is nu een verplicht ontwerpprincipe.

    6. 06

      Leg de afkomst van de data vast: vereiste copyright-policymaking en inzichtelijkheid rond de trainingsdata-samenvattingen is een keiharde GPAI-eis voor je foundation models.

    7. 07

      Richt processen in voor post-market monitoring en escalatie; zo dwingt de wet acute incident reporting procedures af bij falende AI Agents.

    07 — Onze rol

    Hoe TAG hierbij helpt

    Bij The Automation Group bouwen we geavanceerde, enterprise-grade AI Agents primair volgens het principe van compliance-by-design. We fixen geen audits met een checklist achteraf, maar sluiten de architectuur van de AI-infrastructuur organisch aan op normkaders zoals de AI Act, GDPR en NIS2-richtlijnen.

    Concreet begint een traject met een AI Act readiness assessment en accurate systeemsclassificatie. Om datarisico's en derde-partij blootstelling uit te sluiten, implementeren we modellen ook on-premise of in een private cloud via OpenClaw voor pure data residency. Onze Agents sturen wij bovendien de productie in met strakke human-in-the-loop triggers, geautomatiseerde integriteitsevaluaties (evals) en feilloze audit logs. Daarnaast bieden we de vereiste art. 4 AI-geletterdheidstrainingen op maat voor jouw operationele en technische teams.

    Weten waar je staat met de AI Act?

    De inwerkingsdeadlines passeren elkaar in hoog tempo. Zorg dat je niet verrast wordt en breng in kaart of jouw AI compliance-risico's oplevert.

    Veelgestelde vragen

    Geldt de AI Act ook voor mijn bedrijf als ik geen AI ontwikkel maar wel inzet?

    +

    Ja, dan ben je een 'deployer'. Ook deployers hebben directe verplichtingen. Denk niet alleen aan het inzetten van high-risk systemen (waar gebruiksmonitoring en toezicht vereist is), maar ook aan Artikel 50: je implementatie is pas conform zodra jouw klanten of medewerkers inzichtelijk hebben dat ze met een AI-bot interacteren.

    Wat is AI-geletterdheid (art. 4) en wanneer geldt dit?

    +

    Deze bepaling is reeds van kracht sinds 2 februari 2025. Het dwingt af dat organisaties aantoonbaar hun best doen om hun medewerkers, die met of via AI-systemen werken, van voldoende technische theorie en context voorzien te zijn, zodat algoritmes begrijpend en risicobewust bediend worden.

    Mag ik ChatGPT of Claude blijven gebruiken op het werk?

    +

    Ja, in beginsel mag je enterprise diensten van GPAI-aanbieders blijven inzetten, mits je je deployer-plichten respecteert. Controleer vendor compliance, leg duidelijk beleid aan omtrent data classifcaties (zeker wanneer API-logs worden getraind door de vendor), en wees alert bij geautomatiseerde besluitvormingen op de werkvloer.

    Wat als ik een open-source model fine-tune?

    +

    Als jij een ingrijpende aanpassing doet ('substantial modification') en dat fine-getunede systeem zelfstandig naar een high-risk omgeving pusht of commercialiseert, verschuift jouw rol wetstechnisch van deployer naar 'provider'. Dan rusten documentatieplicht, certificering en risicomanagement vereisten vol op jouw schouders.

    Wie houdt toezicht op de handhaving in Nederland?

    +

    Nationaal is de Autoriteit Persoonsgegevens (AP) aangewezen als zogenoemde coördinator. Zij worden gesteund door specifieke sectorale toezichthouders zoals de Rijksinspectie Digitale Infrastructuur (RDI), DNB (voor finance) en de ACM. Op het overkoepelende niveau van generieke GPAI-modellen en systemische entiteiten ligt het toezicht gecentreerd in Brussel bij het EU AI Office.

    Hoe verhoudt de AI Act zich tot de AVG/GDPR?

    +

    Beide regimes functioneren naast elkaar, cumulatieft en dus tegelijkertijd vigerend. Waar de AVG privacy en dataverwerking op het niveau van individuele persoonlijke datasets bewaakt, legt de AI Act verplichtingen op over de intrinsieke eigenschappen, veiligheidsbeoordelingen, governance, en transparantie rondom het achterliggende technische systeem zelf.