Compliance

AI Act: de Europese AI-verordening uitgelegd

De AI Act uitgelegd voor Nederland: de risicopiramide, de tijdlijn (verboden feb 2025, GPAI aug 2025, hoog-risico aug 2026) en het toezicht door de AP en RDI.

Also available in:English·Français

De AI Act — de Europese AI-verordening — is het eerste alomvattende wettelijke kader ter wereld voor kunstmatige intelligentie. Het reguleert AI-systemen naar risico: hoe hoger het risico voor gezondheid, veiligheid of grondrechten, hoe zwaarder de verplichtingen. De verordening (Verordening 2024/1689) werkt rechtstreeks door en kent een gefaseerde tijdlijn: verboden praktijken sinds februari 2025, verplichtingen voor algemene-doelmodellen (GPAI) sinds augustus 2025, en de hoog-risicoregels vanaf augustus 2026. In Nederland ontstaat een toezichtstructuur met de Autoriteit Persoonsgegevens als coördinerend algoritmetoezichthouder. Dit artikel legt de risicopiramide, de tijdlijn en de Nederlandse context uit.

Key Takeaways

  • De AI Act reguleert AI naar risico: verboden, hoog-risico, beperkt risico en minimaal risico.
  • Tijdlijn: verboden praktijken feb 2025, GPAI-verplichtingen aug 2025, hoog-risicoregels aug 2026.
  • De AI Act vervangt de AVG niet — beide gelden gelijktijdig voor AI-systemen die persoonsgegevens verwerken.
  • In Nederland fungeert de AP als coördinerend algoritmetoezichthouder, naast sectorale toezichthouders en de RDI.
  • De toeslagenaffaire maakt algoritme-compliance in Nederland politiek beladen — governance is geen formaliteit.

De risicopiramide

De AI Act deelt AI-systemen in vier risiconiveaus in. Die piramide is het hart van de verordening.

Niveau Voorbeeld Regime
Onaanvaardbaar risico Social scoring, manipulatie, bepaalde biometrie Verboden
Hoog risico HR-selectie, kredietscoring, onderwijs, biometrie Strenge verplichtingen
Beperkt risico Chatbots, deepfakes Transparantieplicht
Minimaal risico Spamfilters, games Vrijwel geen eisen

Verboden praktijken (art. 5) zijn sinds februari 2025 niet meer toegestaan: onder meer social scoring door overheden, manipulatieve systemen die kwetsbaarheden uitbuiten, en bepaalde vormen van real-time biometrische identificatie in de openbare ruimte.

Hoog-risicosystemen (art. 6 en bijlage III) mogen wél, maar onder strenge voorwaarden: risicobeheer, datagovernance, technische documentatie, menselijk toezicht, logging en een conformiteitsbeoordeling. Welke systemen hieronder vallen, bespreken we in AI Act hoog risico: welke systemen vallen eronder.

Beperkt risico kent een transparantieplicht: gebruikers moeten weten dat ze met AI te maken hebben (art. 50). Minimaal risico blijft vrijwel ongereguleerd.

De tijdlijn

De AI Act is in werking getreden in 2024, maar de verplichtingen gaan gefaseerd gelden:

  • Februari 2025 — verbod op onaanvaardbare praktijken en de eerste eisen aan AI-geletterdheid.
  • Augustus 2025 — verplichtingen voor aanbieders van algemene-doel-AI-modellen (GPAI), zoals grote taalmodellen.
  • Augustus 2026 — het gros van de hoog-risicoverplichtingen wordt van kracht.
  • Augustus 2027 — resterende regels voor hoog-risicosystemen die in gereguleerde producten zijn ingebed.

Deze gefaseerde aanpak geeft organisaties tijd, maar de hoog-risicodeadline van augustus 2026 is dichtbij voor wie AI inzet in HR, krediet of onderwijs.

GPAI: algemene-doelmodellen

Een aparte laag betreft general-purpose AI: modellen die voor veel doeleinden inzetbaar zijn, zoals grote taalmodellen. Sinds augustus 2025 gelden voor aanbieders van deze modellen verplichtingen rond technische documentatie, transparantie over trainingsdata (auteursrecht) en, voor de krachtigste modellen met systeemrisico, aanvullende eisen rond risicobeoordeling en beveiliging. Voor organisaties die zulke modellen alleen gebruiken (niet aanbieden) liggen de verplichtingen vooral bij transparantie en verantwoord gebruik.

De AI Act naast de AVG

Cruciaal: de AI Act vervangt de AVG niet. Verwerkt een AI-systeem persoonsgegevens, dan gelden beide regimes gelijktijdig. De AI Act stelt eisen aan het systeem (risicobeheer, documentatie, menselijk toezicht); de AVG stelt eisen aan de gegevensverwerking (grondslag, doelbinding, betrokkenenrechten). U hebt dus zowel een geldige rechtsgrond onder artikel 6 AVG nodig als naleving van de AI-Act-verplichtingen. Voor hoog-risicosystemen die persoonsgegevens verwerken is bovendien een DPIA vrijwel altijd aan de orde, naast de fundamentele-rechten-toets (FRIA) die de AI Act voorschrijft.

De Nederlandse context

Nederland heeft een bijzondere gevoeligheid voor algoritme-toezicht. De toeslagenaffaire — waarin een risicoclassificatiesysteem duizenden ouders onterecht als fraudeur bestempelde — maakt algoritmische besluitvorming hier politiek beladen. Sinds 2023 heeft de Autoriteit Persoonsgegevens een Directie Coördinatie Algoritmes die als coördinerend algoritmetoezichthouder optreedt. Onder de AI Act ontstaat een bredere toezichtstructuur, waarin naast de AP ook sectorale toezichthouders en de RDI een rol krijgen als markttoezichthouder. Organisaties die algoritmes inzetten voor besluiten over mensen, doen er goed aan governance serieus te nemen — de politieke en publieke aandacht is groot.

Boetes en handhaving

De AI Act kent forse sancties, die de ernst van de overtreding volgen. Voor het inzetten van verboden praktijken kan de boete oplopen tot 35 miljoen euro of 7 procent van de wereldwijde jaaromzet — hoger dan het AVG-maximum. Voor het schenden van andere verplichtingen, zoals de hoog-risico-eisen, geldt een maximum van 15 miljoen euro of 3 procent, en voor het verstrekken van onjuiste informatie aan toezichthouders 7,5 miljoen euro of 1 procent. Voor het mkb en start-ups gelden de laagste van de toepasselijke bedragen, een bewuste proportionaliteitskeuze van de wetgever.

Die bedragen maken duidelijk dat AI-governance geen vrijblijvende exercitie is. Anders dan bij veel nieuwe regelgeving heeft de EU hier vanaf de start scherpe tanden ingebouwd. Voor Nederlandse organisaties komt daar de reputationele dimensie bij: na de toeslagenaffaire ligt elk algoritme dat besluiten over mensen neemt onder een maatschappelijk vergrootglas, los van de formele boete.

Praktische voorbereiding

  1. Inventariseer uw AI-systemen — welke gebruikt of ontwikkelt u, en in welke risicocategorie vallen ze?
  2. Bepaal uw rol — bent u aanbieder of gebruiker (deployer)? De verplichtingen verschillen.
  3. Toets op verboden praktijken — die zijn al sinds februari 2025 verboden.
  4. Bereid hoog-risicoverplichtingen voor — richting augustus 2026: documentatie, menselijk toezicht, FRIA.
  5. Integreer met uw AVG-compliance — één register voor AI én persoonsgegevens voorkomt dubbel werk.

Voor dat laatste kan een platform zoals Legiscope de AVG- en AI-governance in één register samenbrengen. Een breder overzicht van tooling staat in onze gids over AVG compliance software.

Onderschat de eerste stap niet. De meeste organisaties hebben geen actueel beeld van welke AI-systemen ze eigenlijk gebruiken — vaak zit AI verstopt in ingekochte software, in HR-tools of in analyseplatforms zonder dat iemand het als “AI-systeem” heeft benoemd. Een schaduw-inventaris is dan het echte risico: u kunt niet reguleren wat u niet in beeld hebt. Begin daarom met een brede uitvraag door de organisatie en beoordeel per systeem de risicocategorie en uw rol. Die inventaris is niet alleen de basis voor AI-Act-compliance, maar levert ook direct inzicht op voor uw AVG-verplichtingen, omdat veel van die systemen persoonsgegevens verwerken.

FAQ

Wat is de AI Act precies?

De AI Act is de Europese AI-verordening (Verordening 2024/1689), het eerste alomvattende wettelijke kader voor kunstmatige intelligentie. Zij reguleert AI-systemen naar risico: van verboden praktijken tot hoog-risico, beperkt en minimaal risico, met per niveau bijpassende verplichtingen.

Wanneer gelden de verschillende regels?

Verboden praktijken sinds februari 2025, verplichtingen voor algemene-doelmodellen (GPAI) sinds augustus 2025, en het gros van de hoog-risicoverplichtingen vanaf augustus 2026. Bepaalde ingebedde hoog-risicosystemen volgen in augustus 2027.

Vervangt de AI Act de AVG?

Nee. De AI Act en de AVG gelden gelijktijdig. Verwerkt een AI-systeem persoonsgegevens, dan hebt u zowel een geldige AVG-grondslag als naleving van de AI-Act-verplichtingen nodig. De AI Act reguleert het systeem, de AVG de gegevensverwerking.

Wie houdt in Nederland toezicht op de AI Act?

De Autoriteit Persoonsgegevens fungeert als coördinerend algoritmetoezichthouder via haar Directie Coördinatie Algoritmes. Daarnaast krijgen sectorale toezichthouders en de RDI een rol als markttoezichthouder. De precieze verdeling wordt in nationale uitvoeringswetgeving vastgelegd.

Wat moet mijn organisatie nu al doen?

Inventariseer uw AI-systemen en hun risicocategorie, bepaal of u aanbieder of gebruiker bent, en controleer dat u geen verboden praktijken inzet (die zijn sinds februari 2025 verboden). Bereid daarna de hoog-risicoverplichtingen voor richting augustus 2026 en integreer dit met uw AVG-compliance.

Conclusie

De AI Act reguleert kunstmatige intelligentie naar risico, met een piramide die loopt van verboden praktijken tot vrijwel ongereguleerde toepassingen. De gefaseerde tijdlijn — verboden feb 2025, GPAI aug 2025, hoog-risico aug 2026 — geeft tijd, maar de hoog-risicodeadline nadert. Onthoud dat de AI Act de AVG niet vervangt: beide gelden gelijktijdig voor AI met persoonsgegevens. In Nederland, met de toeslagenaffaire als achtergrond en de AP als coördinerend algoritmetoezichthouder, is AI-governance geen formaliteit maar een bestuursverantwoordelijkheid.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →