EU AI Act: wat bedrijven nu moeten doen

EU AI Act: wat bedrijven nu moeten doen

Nieuws
Redactie Baaz

De EU AI Act komt eraan en de impact op organisaties is groter dan veel bedrijven op dit moment inschatten. Waar AI tot nu toe vooral werd gezien als een kans om processen te versnellen, wordt het straks ook een onderwerp van regelgeving, toezicht en verantwoordelijkheid. Van chatbots en marketingtools tot systemen die beslissingen ondersteunen: vrijwel elke toepassing krijgt te maken met nieuwe eisen.

Voor veel organisaties voelt dat als een complex en juridisch traject. Toch begint AI-compliance niet met wetgeving, maar met iets veel simpelers: inzicht. Wie begrijpt waar en hoe AI wordt ingezet, kan relatief snel de juiste stappen zetten. En belangrijker nog: organisaties die dat nu doen, bouwen niet alleen compliance op, maar ook structuur, controle en vertrouwen.

EU AI Act in het kort: dit moet je weten

De kern van de EU AI Act is risicogebaseerd. Niet elke AI-toepassing wordt hetzelfde behandeld. Hoe groter de impact op mensen, processen of besluitvorming, hoe zwaarder de verplichtingen worden.

De invoering gebeurt gefaseerd. De eerste verboden toepassingen verdwijnen naar verwachting rond 2025, waarna in 2026 de regels voor high-risk AI-systemen van kracht worden. In de jaren daarna volgt verdere handhaving en aanscherping. Dat lijkt nog ver weg, maar voor organisaties die nu al AI inzetten, is dit juist het moment om te beginnen.

Vrijwel elke organisatie valt onder de wet. Zodra AI wordt gebruikt in processen die invloed hebben op klanten, medewerkers of besluitvorming, ontstaat er verantwoordelijkheid onder de AI Act.

Inzicht als startpunt: breng je AI-gebruik in kaart

Voordat er sprake kan zijn van compliance, moet duidelijk zijn waar AI überhaupt wordt gebruikt. In de praktijk blijkt dit vaak lastiger dan gedacht. AI zit inmiddels verwerkt in marketingtools, CRM-systemen, analysetools en zelfs standaardsoftware.

Een goede eerste stap is daarom het systematisch in kaart brengen van alle toepassingen. Dat hoeft geen ingewikkeld traject te zijn. Een eenvoudig overzicht waarin per tool een aantal vaste elementen wordt vastgelegd, is vaak al voldoende om structuur aan te brengen:

  • het doel van de toepassing
  • de gebruikte data en hoe gevoelig die is
  • de leverancier of technologie
  • de interne verantwoordelijke

Zodra dat overzicht er ligt, ontstaat er automatisch meer inzicht in risico’s. Die verschillen sterk per sector. In e-commerce gaat het bijvoorbeeld vaak om aanbevelingssystemen en prijsoptimalisatie, toepassingen met doorgaans een beperkt risico. In sectoren zoals zorg, onderwijs of HR ligt dat anders, omdat AI daar direct invloed kan hebben op beslissingen over mensen.

Belangrijk is dat niet de tool zelf bepalend is, maar de manier waarop deze wordt ingezet.

Van inzicht naar actie: wat betekent jouw risicoprofiel?

Zodra duidelijk is welke AI-toepassingen er zijn, volgt de volgende stap: classificatie. De AI Act maakt onderscheid tussen toepassingen met minimaal, beperkt en hoog risico. Die indeling bepaalt in grote mate wat er van een organisatie wordt verwacht.

Bij toepassingen met een minimaal risico blijft het meestal bij basisregistratie en bewustwording. Denk aan interne tools zonder directe impact op klanten of besluitvorming. De nadruk ligt hier vooral op overzicht.

Bij toepassingen met een beperkt risico verschuift de focus naar transparantie. Organisaties moeten duidelijk maken wanneer AI wordt gebruikt en op hoofdlijnen kunnen uitleggen hoe beslissingen tot stand komen.

Dat verandert bij high-risk toepassingen. In sectoren zoals zorg, finance of HR gelden strengere eisen. Daar wordt verwacht dat organisaties onder meer:

  • risicoanalyses uitvoeren
  • processen en beslissingen documenteren
  • menselijk toezicht inbouwen
  • verantwoordelijkheden expliciet vastleggen

Wat het complex maakt, is dat deze classificatie niet statisch is. AI-tools ontwikkelen zich snel. Een toepassing die vandaag onder een lagere risicocategorie valt, kan morgen anders worden beoordeeld. Periodieke herbeoordeling is daarom essentieel.

De kosten van compliance – en waarom uitstellen duurder is

Een veelgehoorde reden om compliance uit te stellen, zijn de kosten. En inderdaad: het inrichten van processen, documentatie en toezicht vraagt om tijd en middelen.

Die kosten bestaan doorgaans uit drie onderdelen:

  • interne uren voor inventarisatie en beheer
  • tooling en eventuele aanpassingen
  • juridische en compliance-checks

Afhankelijk van de organisatie lopen die kosten uiteen van enkele duizenden euro’s tot bedragen van €50.000 of meer.

Toch zit het grootste risico niet in de investering, maar in het uitstellen ervan. De indirecte gevolgen zijn vaak groter en minder zichtbaar op korte termijn:

  • verlies van vertrouwen bij klanten en partners
  • operationele verstoringen
  • herstelkosten onder tijdsdruk

Daar staat tegenover dat organisaties die compliance goed inrichten, vaak ook profiteren van de voordelen. Het dwingt tot betere datakwaliteit, scherpere processen en duidelijkere verantwoordelijkheden.

Praktische aanpak: zo maak je het werkbaar

Hoewel de AI Act complex kan lijken, is de praktische aanpak verrassend overzichtelijk. Het begint met inventarisatie, gevolgd door het bepalen van risico en impact. Vervolgens draait het om het vastleggen van verantwoordelijkheden en het inrichten van transparantie en toezicht.

In de praktijk komt het neer op vier logische stappen:

  • breng alle AI-toepassingen in kaart
  • bepaal per toepassing het risico en de impact
  • leg vast wie verantwoordelijk is
  • zorg dat het gebruik van AI uitlegbaar en controleerbaar is

Juist dat laatste wordt vaak onderschat. Het gaat niet alleen om documentatie, maar vooral om uitlegbaarheid. Organisaties moeten kunnen aantonen hoe AI wordt ingezet en welke rol mensen daarin spelen.

Waar het vaak misgaat

In de praktijk zijn er een aantal terugkerende misverstanden die organisaties vertragen.

De meest voorkomende zijn:

  • denken dat “lichte tools” buiten scope vallen
  • volledig vertrouwen op leveranciers
  • geen zicht hebben op shadow AI binnen teams

Een veelgehoorde uitspraak is bijvoorbeeld: “wij gebruiken alleen ChatGPT”. Dat klinkt logisch, maar gaat voorbij aan de context. Niet de tool, maar het gebruik bepaalt het risico.

Ook het volledig leunen op leveranciers is riskant. Softwareleveranciers kunnen ondersteunen, maar de verantwoordelijkheid voor het gebruik ligt altijd bij de organisatie zelf.

Daarnaast groeit het probleem van shadow AI. Medewerkers gebruiken zelfstandig tools zonder dat dit centraal wordt vastgelegd. Dat brengt risico’s met zich mee, maar is moeilijk volledig te voorkomen. De oplossing ligt daarom in het creëren van duidelijke kaders en bewustwording.

Begin klein, maar begin nu

Voor veel organisaties voelt AI-compliance als een groot project dat later wel komt. In de praktijk blijkt juist het tegenovergestelde waar. Wie wacht, maakt het zichzelf moeilijker. Processen raken verder ingebed en aanpassingen worden complexer.

Door nu te starten met een relatief eenvoudige inventarisatie en eerste classificatie, ontstaat er snel overzicht. Van daaruit kan stap voor stap worden gewerkt aan verdere inrichting en optimalisatie.

De EU AI Act dwingt organisaties om bewuster met AI om te gaan. Dat vraagt om aanpassing, maar biedt tegelijkertijd de kans om grip te krijgen op technologie die steeds belangrijker wordt. Wie die stap nu zet, loopt straks niet achter de feiten aan — maar voor.

Lees meer

Solo midocean maakt van duurzaamheidsregels kansen
Solo midocean maakt van duurzaamheidsregels kansen
Werkgevers niet klaar voor loontransparantie
Werkgevers niet klaar voor loontransparantie
EIF investeert €40 mln in tech defence fonds
EIF investeert €40 mln in tech defence fonds
Vier Europese regels raken transportsector
Vier Europese regels raken transportsector
EUDR-wet: Bedrijven hebben nog 250 dagen
EUDR-wet: Bedrijven hebben nog 250 dagen
Redactie Baaz
Door: Redactie Baaz
Redactie

Redactie Baaz

Redactie