De AI Act is officieel goedgekeurd en zal vanaf 2026 in fases van kracht worden. Daarmee krijgt Europa als eerste continent een omvattend wettelijk kader voor het gebruik van AI. Maar wat betekent dat in de praktijk voor dienstverleners, softwareleveranciers en hun klanten?
De AI Act legt de nadruk op transparantie, risicobeheersing en verantwoord gebruik van AI. In plaats van generieke verboden werkt de wet met een risicogebaseerde indeling. Toepassingen met een ‘hoog risico’ – denk aan AI in gezondheidszorg, werving of kredietverstrekking – vallen onder strikte eisen voor datakwaliteit, uitlegbaarheid en menselijke controle. Systemen met een laag risico krijgen meer ruimte, zolang ze voldoen aan basiseisen voor eerlijkheid en veiligheid.
Voor dienstverleners en ISV’s betekent dit dat ze hun AI-modellen niet alleen technisch, maar ook juridisch moeten documenteren. Wie AI integreert in software of managed services, zal inzicht moeten kunnen geven in hoe het model is getraind, welke datasets zijn gebruikt, en hoe bias wordt beperkt.
Nieuwe verplichtingen voor aanbieders
Aanbieders van AI-systemen worden verplicht een risicobeoordeling uit te voeren voordat hun oplossing op de markt komt. Die beoordeling moet worden vastgelegd in een technisch dossier, met beschrijvingen van gebruikte algoritmen, databronnen, testresultaten en menselijke toezichtmechanismen.
Daarnaast komt er een verplichte CE-markering voor hoog-risico-AI. Zonder deze markering mag het product niet op de Europese markt worden gebracht. Ook dienstverleners die AI-functies van derden aanbieden (bijvoorbeeld via API’s of cloudplatforms) kunnen juridisch als ‘aanbieder’ worden aangemerkt, met alle verplichtingen van dien.
Verantwoordelijkheid in de keten
De wet maakt een scherp onderscheid tussen aanbieders, distributeurs en gebruikers van AI-systemen. Maar in de praktijk lopen die rollen vaak door elkaar. Een msp die een AI-tool levert als onderdeel van een dienst, heeft een gedeelde verantwoordelijkheid met de oorspronkelijke leverancier. Die ketenverantwoordelijkheid betekent dat iedere schakel moet kunnen aantonen dat de gebruikte AI aan de regels voldoet.
Voor eindklanten – vooral in het mkb – wordt transparantie belangrijker dan ooit. Zij moeten weten wat een AI-systeem doet, welke data worden verwerkt en hoe beslissingen tot stand komen. Dienstverleners zullen hun klanten dus moeten helpen met duidelijke toelichting en periodieke risicorapportages.
Verbod op misbruik
Sommige toepassingen worden volledig verboden. Dat geldt voor AI-systemen die emoties proberen te herkennen in publieke ruimtes, social scoring door overheden, en ongerichte scraping van gezichten uit internetbeelden voor herkenningssystemen. Zulke praktijken worden gezien als onverenigbaar met Europese grondrechten.
Generatieve modellen zoals ChatGPT, Gemini en Claude vallen onder een aparte categorie ‘algemene AI-systemen’. De aanbieders daarvan moeten technische documentatie aanleveren over de herkomst van hun trainingsdata, veiligheidsmechanismen en copyrightbescherming.
Voor dienstverleners die zulke modellen integreren in hun eigen applicaties, geldt de plicht om gebruikers te informeren dat ze met AI communiceren. Ook moeten ze zorgen voor menselijke controle op beslissingen die rechtsgevolgen kunnen hebben.
Voorbereiden op naleving
Hoewel de wet pas volledig van kracht wordt in 2026, is voorbereiding nu al verstandig. Organisaties kunnen beginnen met:
• Inventariseren welke AI-toepassingen ze gebruiken of aanbieden.
• Classificeren van deze toepassingen volgens het risiconiveau uit de AI Act.
• Documenteren van datasets, leveranciers en modelversies.
• Beoordelen van ethische en juridische risico’s, zoals bias of datalekken.
• Trainingsprogramma’s opzetten voor medewerkers over verantwoord gebruik van AI.
Kansen voor de markt
De AI Act is niet enkel een rem op innovatie, maar kan juist een kans zijn voor partijen die transparantie en betrouwbaarheid als onderscheidend vermogen gebruiken. Verwacht wordt dat onafhankelijke audits, compliance-tools en certificeringsdiensten een groeimarkt vormen. Ook IT-dienstverleners kunnen zich profileren als gids in deze nieuwe realiteit, door klanten te helpen bij de toetsing en implementatie van AI-systemen binnen de wettelijke kaders.
Belangrijkste deadlines van de AI Act
De invoering van de AI Act verloopt in stappen. Dat geeft organisaties tijd om hun processen en documentatie aan te passen, maar de eerste verplichtingen komen sneller dan veel bedrijven denken.
2024 – Inwerkingtreding (formeel)
De AI Act is officieel gepubliceerd in het Europees Publicatieblad. Vanaf dat moment begint de overgangsperiode te lopen.
2025 – Verboden toepassingen
Binnen zes maanden na publicatie worden de verboden AI-praktijken onwettig, zoals social scoring en gezichtsherkenning in publieke ruimtes.
2026 – Hoogrisico-systemen
De kern van de regelgeving gaat gelden: aanbieders van hoogrisico-AI moeten een CE-markering hebben, hun systemen registreren in de EU-databank en voldoen aan eisen voor transparantie, toezicht en datakwaliteit.
2027 – Algemene naleving
De wet is dan volledig van kracht. Alle organisaties die AI ontwikkelen, integreren of gebruiken, moeten kunnen aantonen dat hun systemen voldoen aan de principes van veiligheid, uitlegbaarheid en menselijk toezicht.
