De EU AI Act (Verordening (EU) 2024/1689) is 's werelds eerste uitgebreide horizontale wettelijke kader voor de regulering van kunstmatige intelligentie. Gepubliceerd in het Publicatieblad op 12 juli 2024, trad zij in werking op 1 augustus 2024 en hanteert een gefaseerd implementatieschema dat loopt tot augustus 2026. De AI Act is van toepassing op providers en deployers van AI-systemen die actief zijn in de EU, ongeacht waar zij zijn gevestigd — een in de VS gevestigd bedrijf dat een AI-systeem inzet dat in België wordt gebruikt, valt onder het toepassingsgebied net als een Belgisch bedrijf dat een AI-gestuurde tool aan EU-klanten levert.
De aanpak van de AI Act is risicogebaseerd: zij behandelt niet alle AI gelijk, maar categoriseert systemen op basis van het risico dat zij vormen en legt verplichtingen op die evenredig zijn aan dat risico. Aan het ene uiterste zijn een handvol AI-toepassingen volstrekt verboden. De meeste inhoudelijke verplichtingen gelden voor hoog-risico AI-systemen, die worden gedefinieerd aan de hand van de sectoren en gebruiksgevallen waarin zij opereren. AI-modellen voor algemeen gebruik — grote taalmodellen en vergelijkbare basismodellen — zijn onderworpen aan een afzonderlijke reeks verplichtingen die in een afzonderlijk hoofdstuk van de AI Act zijn ingevoerd. En de meerderheid van de AI-systemen, beoordeeld als beperkt of minimaal risico, heeft slechts transparantievereisten en vrijwillige gedragscodes.
Artikel 5 van de AI Act stelt een kleine categorie van AI-toepassingen vast die door de gehele EU volstrekt verboden zijn vanaf 2 februari 2025. Deze omvatten: AI-systemen die subliminale manipulatie of exploitatie van kwetsbaarheden inzetten om gedrag te verstoren op een manier die schadelijk is voor het individu; real-time biometrische identificatie op afstand in publiek toegankelijke ruimten (met beperkte uitzonderingen voor rechtshandhaving); sociale scoresystemen door overheidsinstanties; AI die gevoelige kenmerken afleidt uit biometrische gegevens; en AI die wordt gebruikt om criminaliteit te voorspellen op basis van persoonlijke kenmerken.
Deze verboden zijn absoluut en er zijn geen conformiteitsbeoordelings- of derogatieprocedures die anders verboden toepassingen wettig kunnen maken. Elke organisatie die AI-systemen inzet die in deze categorieën vallen, dient daarmee te stoppen vóór 2 februari 2025. Organisaties die onzeker zijn over de vraag of een ingezette toepassing binnen een verboden categorie valt, dienen vóór die datum een juridische beoordeling te verrichten.
Het grootste deel van de inhoudelijke verplichtingen van de AI Act is van toepassing op hoog-risico AI-systemen, gedefinieerd aan de hand van twee criteria: hetzij is het AI-systeem zelf een veiligheidscomponent van een product dat onderworpen is aan EU-productveiligheidswetgeving (medische hulpmiddelen, machines, voertuigen), hetzij valt het binnen een van de acht sectoren vermeld in Bijlage III: biometrische identificatie, kritieke infrastructuur, onderwijs, tewerkstelling en arbeidsbeheer, toegang tot essentiële diensten, rechtshandhaving, migratie en grensbeheer, en rechtsbedeling.
Providers van hoog-risico AI-systemen dienen te voldoen aan een veeleisend nalevingskader vóór het op de markt brengen of in gebruik nemen van die systemen. Dit omvat een conformiteitsbeoordelingsprocedure (zelfbeoordeling of audit door een derde partij, afhankelijk van het systeemtype), registratie in de EU AI-database, technische documentatie, risicobeheer, gegevensbeheer, transparantie- en logvereisten, en mechanismen voor menselijk toezicht. Deployers van hoog-risico AI-systemen hebben hun eigen verplichtingen: effectbeoordelingen, transparantie naar betrokken personen en operationele monitoringvereisten.
Hoofdstuk V van de AI Act introduceert een afzonderlijk regime voor GPAI-modellen — AI-modellen die zijn getraind op grote hoeveelheden gegevens en die een breed scala aan taken kunnen uitvoeren en kunnen worden geïntegreerd in meerdere downstream-systemen. Alle GPAI-modelproviders moeten voldoen aan een basisset verplichtingen: technische documentatie, naleving van het EU-auteursrecht en openbare bekendmaking van de trainingsdata-samenvatting. GPAI-modellen die een systemisch risico vormen — gedefinieerd door een trainings-compute-drempel van 10^25 FLOP, of door aanwijzing door de Europese Commissie — worden geconfronteerd met aanvullende vereisten, waaronder adversarial testing, incidentrapportage en cyberveiligheidsmaatregelen.
De AI Act is progressief van toepassing. Verboden AI-toepassingen zijn onwettig vanaf 2 februari 2025. GPAI-modelverplichtingen golden vanaf 2 augustus 2025. Hoog-risico AI-systemen vermeld in Bijlage III zijn onderworpen aan het volledige nalevingskader vanaf 2 augustus 2026. Hoog-risico AI-systemen die veiligheidscomponenten zijn van gereguleerde producten profiteren van overgangsperioden die doorlopen tot 2027 of 2028, afhankelijk van de toepasselijke productenwetgeving. AI-systemen in juridische en gerechtelijke contexten kennen een overgangsperiode van 12 jaar.
Ja. De AI Act is van toepassing op elke provider die een AI-systeem op de EU-markt brengt of in gebruik neemt in de EU, ongeacht waar de provider is gevestigd. Zij is ook van toepassing op deployers van AI-systemen die in de EU zijn gevestigd of wier AI-gebruik personen in de EU treft. Providers buiten de EU dienen een in de EU gevestigde gemachtigde vertegenwoordiger aan te stellen. Het extraterritoriale toepassingsgebied is qua structuur vergelijkbaar met dat van de GDPR.
Een provider is een entiteit die een AI-systeem ontwikkelt of laat ontwikkelen en het op de markt brengt onder haar eigen naam of handelsmerk. Een deployer is een entiteit die een AI-systeem gebruikt onder haar eigen gezag, voor haar eigen doeleinden. Dezelfde organisatie kan beide zijn: een bedrijf dat intern een AI-systeem bouwt en inzet, is zowel provider als deployer. Het onderscheid is van belang omdat de AI Act verschillende verplichtingen oplegt aan elke rol, waarbij providers de zwaarste nalevingslast dragen voor systeemontwerp, documentatie en conformiteitsbeoordeling.
Sancties volgen een drielaagse structuur. Schendingen van verboden AI-toepassingen zijn onderworpen aan boetes van maximaal €35 miljoen of 7% van de jaarlijkse mondiale omzet, naargelang welke hoger is. Schendingen van andere bepalingen (waaronder hoog-risico AI-verplichtingen en GPAI-modelvereisten) zijn onderworpen aan boetes van maximaal €15 miljoen of 3% van de mondiale omzet. Het verstrekken van onjuiste of misleidende informatie aan autoriteiten leidt tot boetes van maximaal €7,5 miljoen of 1,5% van de mondiale omzet. Voor kmo's gelden proportionele boetes.
In aanzienlijke mate. Veel hoog-risico AI-systemen verwerken persoonsgegevens, waardoor parallelle nalevingsverplichtingen onder zowel de GDPR als de AI Act worden getriggerd. De vereisten van de GDPR inzake rechtsgrond, dataminimalisatie en rechten van betrokkenen gelden onafhankelijk van de AI Act. Wanneer een AI-systeem geautomatiseerde besluitvorming uitvoert met significante gevolgen voor personen, is ook artikel 22 GDPR van toepassing. De vereisten van beide kaders zijn over het algemeen compatibel maar adresseren verschillende dimensies van hetzelfde systeem — de AI Act richt zich op de risico-eigenschappen en het technische ontwerp van het systeem; de GDPR richt zich op de verwerking van persoonsgegevens. Beide gelden gelijktijdig.
%402x.svg){kind=small}
%402x.svg){kind=icon}
%402x.svg){kind=icon}
