Kennisbank
Juridisch 8 min leestijd

EU AI Act: wat betekent het voor jouw software?.

De Europese AI-verordening is een feit. Wat moet je weten als je AI inzet in je bedrijfssoftware, en hoe zorg je dat je compliant bent?

Jasper Koers Gepubliceerd:

In het kort

  • De EU AI Act is de eerste uitgebreide AI-wetgeving ter wereld en geldt voor iedereen die AI aanbiedt of gebruikt in de EU
  • AI-systemen worden ingedeeld in vier risicocategorieën: onaanvaardbaar, hoog, beperkt en minimaal risico
  • De meeste bedrijfssoftware met AI valt onder beperkt of minimaal risico — maar check dit expliciet
  • Transparantie is verplicht: gebruikers moeten weten dat ze met AI interacteren
  • Begin nu met een AI-register en risicobeoordeling, niet pas als de handhaving start

De eerste AI-wet ter wereld

De Europese Unie heeft met de AI Act de eerste uitgebreide wetgeving ter wereld aangenomen die het gebruik van kunstmatige intelligentie reguleert. Voor ondernemers die AI inzetten in hun software — en dat zijn er steeds meer — heeft dit directe gevolgen.

De verordening is niet bedoeld om innovatie te remmen, maar om een kader te bieden waarbinnen AI veilig en verantwoord ingezet kan worden. Het raakt iedereen die AI-systemen ontwikkelt, aanbiedt of gebruikt binnen de EU. Ongeacht of je een SaaS-platform bouwt, een intern classificatiesysteem draait of een chatbot inzet voor klantenservice.

Risicocategorieën

De kern van de AI Act is een risicogebaseerde aanpak. AI-systemen worden ingedeeld in vier categorieën, elk met eigen verplichtingen:

Onaanvaardbaar risico — verboden

Bepaalde AI-toepassingen zijn simpelweg verboden. Denk aan sociale scoring door overheden, manipulatieve systemen die kwetsbare groepen uitbuiten, of biometrische identificatie in real-time op openbare plaatsen (met beperkte uitzonderingen voor rechtshandhaving). Dit verbod geldt sinds februari 2025.

Hoog risico

AI-systemen die ingezet worden in kritieke domeinen vallen onder strenge eisen. Voorbeelden zijn AI voor werving en selectie, kredietbeoordeling, medische diagnostiek, of systemen die toegang tot onderwijs of essentiële diensten beïnvloeden. Deze systemen moeten voldoen aan eisen rondom databeheer, documentatie, menselijk toezicht en nauwkeurigheid.

Beperkt risico — transparantieverplichtingen

AI-systemen die interacteren met mensen — chatbots, AI-gegenereerde content, deepfakes — moeten transparant zijn. Gebruikers moeten weten dat ze met AI te maken hebben. Dit is waar de meeste bedrijfssoftware met AI-features mee te maken krijgt.

Minimaal risico

De meeste AI-toepassingen vallen in deze categorie: spamfilters, AI-gestuurde aanbevelingen in je webshop, geautomatiseerde data-analyse. Hiervoor gelden geen specifieke verplichtingen vanuit de AI Act, hoewel algemene wetgeving (AVG, consumentenbescherming) uiteraard gewoon van toepassing blijft.

De AI Act verbiedt niet het gebruik van AI. Het vraagt je om bewust na te denken over hoe je het inzet en welke risicos dat met zich meebrengt.

Wat betekent dit voor jouw software?

Als je AI inzet in je bedrijfssoftware, moet je een aantal dingen uitzoeken:

Classificeer je AI-gebruik

Maak een inventarisatie van alle plekken waar je AI inzet. Categoriseer elk gebruik volgens de risicocategorieën van de AI Act. In de praktijk valt het meeste gebruik in bedrijfssoftware onder beperkt of minimaal risico, maar dat moet je expliciet vaststellen — niet aannemen.

Transparantie implementeren

Als je een chatbot, AI-assistent of geautomatiseerd besluitvormingssysteem hebt, moeten gebruikers weten dat ze met AI interacteren. Dat kan zo simpel zijn als een label "Dit antwoord is gegenereerd door AI" of een duidelijke melding bij eerste gebruik.

Documentatie en logging

Voor hoog-risico systemen zijn de eisen uitgebreider: technische documentatie, logging van beslissingen, periodieke evaluatie van nauwkeurigheid en bias, en een kwaliteitsmanagementsysteem. Maar ook voor lagere risicocategorieën is goede documentatie verstandig.

Menselijk toezicht

Zeker bij AI die beslissingen neemt die mensen raken — denk aan automatische goedkeuring of afwijzing van aanvragen — moet er een mogelijkheid zijn voor menselijke tussenkomst. Een mens moet de AI-beslissing kunnen inzien en overrulen.

Tijdlijn: wanneer moet je wat geregeld hebben?

  • Februari 2025 — Verboden AI-toepassingen zijn niet meer toegestaan
  • Augustus 2025 — Transparantieverplichtingen voor general-purpose AI-modellen (zoals GPT, Claude) gelden voor aanbieders
  • Augustus 2026 — Volledige regels voor hoog-risico AI-systemen treden in werking
  • Augustus 2027 — Regels voor hoog-risico AI ingebed in reeds gereguleerde producten (medische apparatuur, machines)

Wat je nu al kunt doen

Je hoeft niet te wachten tot de handhaving start. Sterker nog: dat is onverstandig. Begin nu met deze stappen:

  • AI-register opzetten — Documenteer waar je AI inzet, welke modellen je gebruikt, welke data je verwerkt en welk doel het dient. Dit is je startpunt voor compliance.
  • Risicobeoordeling uitvoeren — Bepaal per AI-toepassing in welke risicocategorie het valt. Wees eerlijk en grondig.
  • Transparantie inbouwen — Zorg dat gebruikers weten wanneer ze met AI interacteren. Dit is vaak een kleine aanpassing met grote impact.
  • Data governance checken — Welke data gebruik je voor AI? Is die data schoon, representatief en in lijn met de AVG? De AI Act bouwt voort op bestaande privacywetgeving.
  • Vendor-afspraken controleren — Gebruik je AI-diensten van derden (OpenAI, Anthropic, Google)? Check welke verantwoordelijkheden bij jou liggen en welke bij de aanbieder.
Begin met een AI-register. Als je niet weet waar je AI inzet, kun je ook niet beoordelen of je compliant bent.

AI Act en de AVG

De AI Act staat niet op zichzelf. Het werkt samen met bestaande wetgeving, met name de AVG. Als je AI inzet om persoonsgegevens te verwerken, moet je aan beide kaders voldoen. In de praktijk betekent dit dat je al een groot deel van het werk gedaan hebt als je AVG-compliance op orde is: dataminimalisatie, doelbinding, transparantie en rechten van betrokkenen zijn principes die in beide regelgevingen terugkomen.

Het verschil is dat de AI Act specifiek kijkt naar de werking en impact van het AI-systeem zelf, niet alleen naar de data die het verwerkt.

Hoe Coding Agency hiermee omgaat

Bij de AI-integraties die wij bouwen houden we rekening met de AI Act. Dat betekent concreet:

  • We classificeren het AI-gebruik in de software die we bouwen
  • We bouwen transparantie-indicatoren in waar nodig
  • We implementeren logging en audit trails voor AI-beslissingen
  • We zorgen dat menselijk toezicht mogelijk is bij geautomatiseerde besluitvorming
  • We adviseren over de juiste aanpak gegeven jouw specifieke situatie

De AI Act is geen reden om af te zien van AI. Het is een reden om het goed te doen. En dat is precies wat je wilt: AI die waarde toevoegt aan je bedrijf, binnen een kader dat je beschermt.

Conclusie

De EU AI Act is er en gaat niet meer weg. Voor de meeste bedrijfssoftware zijn de gevolgen overzichtelijk: zorg dat je weet waar je AI inzet, wees transparant naar gebruikers en documenteer je keuzes. Begin daar nu mee, niet pas als de handhaving start. Heb je vragen over wat de AI Act voor jouw software betekent? Neem contact op — we denken graag mee.

Veelgestelde vragen

Is de AI Act van toepassing op mijn bedrijfssoftware?
Waarschijnlijk wel, als je AI inzet voor besluitvorming, classificatie, aanbevelingen of geautomatiseerde processen. De AI Act geldt voor alle organisaties die AI-systemen aanbieden of gebruiken binnen de EU, ongeacht waar de aanbieder gevestigd is.
Wanneer treedt de AI Act volledig in werking?
De AI Act is gefaseerd ingevoerd. Sinds februari 2025 gelden de verboden op onaanvaardbare AI-toepassingen. Vanaf augustus 2025 gelden de transparantieverplichtingen voor general-purpose AI. De regels voor hoog-risico systemen gelden vanaf augustus 2026.
Wat zijn de boetes bij overtreding?
De boetes kunnen oplopen tot 35 miljoen euro of 7% van de wereldwijde jaaromzet voor verboden toepassingen. Voor andere overtredingen gelden boetes tot 15 miljoen euro of 3% van de jaaromzet.
Gerelateerde expertise AI Integratie
Bekijk
Onderwerpen
AI Act EU Compliance AI Regelgeving Software

Gerelateerde artikelen

AI

AI integreren in bedrijfsprocessen

Hoe zet je AI concreet in voor je organisatie?

Lees artikel
Security

AI security en prompt injection

Beveiligingsrisicos bij AI-integraties.

Lees artikel
Juridisch

AVG / GDPR voor webapplicaties

Wat moet je technisch regelen om AVG-compliant te zijn?

Lees artikel

Hulp nodig?

Vragen over dit onderwerp? Laten we het erover hebben.

Neem contact op