EU AI Act begrippenlijst: de kernbegrippen uitgelegd
De AI-verordening (EU) 2024/1689 is de eerste brede wet ter wereld die kunstmatige intelligentie reguleert. Wie de verordening leest, stuit op een eigen vocabulaire: risicocategorieën, GPAI, conformiteitsbeoordeling, deployers. Deze begrippenlijst legt de kernbegrippen beknopt en precies uit — als naslagwerk voor bestuurders, juristen, ontwikkelaars en compliance-teams. Voor een bredere inleiding verwijzen wij naar onze pagina over kunstmatige intelligentie en recht.
De kernbegrippen op een rij
De onderstaande tabel definieert de begrippen die de structuur van de verordening dragen, van de risicopiramide tot de rollen in de waardeketen en het toezicht.
| Begrip | Uitleg |
|---|---|
| Risicogebaseerde aanpak | Het ordenende principe van de verordening: hoe groter het risico voor gezondheid, veiligheid of grondrechten, hoe zwaarder de verplichtingen. Vier lagen: verboden praktijken, hoog risico, beperkt risico (transparantie) en minimaal risico. |
| Verboden AI-praktijken (art. 5) | Toepassingen die de EU categorisch verbiedt sinds 2 februari 2025: onder meer manipulatieve technieken die wezenlijke schade veroorzaken, social scoring door overheden, ongerichte scraping van gezichtsbeelden en emotieherkenning op de werkplek en in het onderwijs (behoudens enge uitzonderingen). |
| Hoog-risico AI-systeem (art. 6, bijlage III) | Systemen in domeinen als werving en selectie, onderwijs, kritieke infrastructuur, kredietwaardigheid, rechtshandhaving en medische hulpmiddelen. Hiervoor gelden de zwaarste eisen: risicomanagement, datakwaliteit, technische documentatie, logging, menselijk toezicht, robuustheid en een conformiteitsbeoordeling. Volledig van toepassing per 2 augustus 2026. |
| Transparantierisico (art. 50) | Systemen die met mensen interacteren of content genereren: gebruikers moeten weten dat zij met AI te maken hebben, en synthetische content (deepfakes) moet als zodanig herkenbaar zijn. |
| Aanbieder (provider) | Wie een AI-systeem ontwikkelt of laat ontwikkelen en het onder eigen naam of merk in de handel brengt of in gebruik stelt. De aanbieder draagt de hoofdverantwoordelijkheid voor conformiteit. |
| Gebruiksverantwoordelijke (deployer) | De organisatie die een AI-systeem onder eigen verantwoordelijkheid gebruikt (niet de eindconsument). Verplichtingen: gebruik volgens instructies, menselijk toezicht, monitoring en in bepaalde gevallen een grondrechteneffectbeoordeling (FRIA). |
| Importeur en distributeur | Schakels die AI-systemen van buiten de EU op de markt brengen of doorverkopen; zij verifiëren dat de aanbieder zijn verplichtingen nakwam. Wie een hoog-risicosysteem wezenlijk wijzigt of onder eigen naam voert, wordt zelf aanbieder (art. 25). |
| GPAI-model | Een AI-model voor algemene doeleinden met een breed scala aan toepassingen (zoals grote taalmodellen), getraind op grote hoeveelheden data. Sinds 2 augustus 2025 gelden eigen verplichtingen: technische documentatie, informatie aan downstream-aanbieders, auteursrechtbeleid en een samenvatting van de trainingsdata. |
| Systeemrisico | GPAI-modellen met zeer grote impact (indicatief: trainingscompute boven 10²⁵ FLOPs) krijgen aanvullende verplichtingen: modelevaluaties, adversarial testing, incidentrapportage en cybersecurity. |
| Conformiteitsbeoordeling | De procedure waarmee een aanbieder aantoont dat een hoog-risicosysteem aan de eisen voldoet; via interne controle of een aangemelde instantie (notified body). Vergelijkbaar met productregelgeving zoals de MDR. |
| CE-markering | Het zichtbare teken dat een hoog-risicosysteem de conformiteitsbeoordeling heeft doorlopen; voorwaarde voor markttoegang in de EU. |
| AI Office | Het Europese toezichtsorgaan binnen de Commissie, primair belast met GPAI-toezicht en coördinatie. Daarnaast wijst elke lidstaat nationale markttoezichtautoriteiten aan. |
| Regulatory sandbox | Gecontroleerde testomgeving waarin innovatieve AI onder begeleiding van de toezichthouder kan worden ontwikkeld en getest; elke lidstaat moet er ten minste één inrichten. |
| FRIA | Grondrechteneffectbeoordeling die bepaalde deployers (overheidsorganen, banken, verzekeraars) vóór ingebruikname van een hoog-risicosysteem uitvoeren. Raakvlak met de DPIA uit de AVG. |
| AI-geletterdheid (art. 4) | Sinds februari 2025 zorgen aanbieders én deployers voor voldoende AI-kennis bij personeel dat met AI-systemen werkt. |
| Boetes | Tot 35 miljoen euro of 7% van de wereldwijde jaaromzet voor verboden praktijken; tot 15 miljoen euro of 3% voor de meeste andere overtredingen. |
Het regelgevend kader
De verordening kent een gefaseerde invoering die bepaalt welke begrippen wanneer juridisch bindend worden: inwerkingtreding op 1 augustus 2024, verboden praktijken en AI-geletterdheid per 2 februari 2025, GPAI-verplichtingen en de governance-structuur per 2 augustus 2025, de volledige toepassing inclusief de meeste hoog-risicoverplichtingen per 2 augustus 2026, en een verlengde termijn tot 2 augustus 2027 voor AI die in gereguleerde producten is ingebed. De AI Act staat bovendien niet op zichzelf: waar AI persoonsgegevens verwerkt, geldt de Algemene Verordening Gegevensbescherming (AVG), met haar eigen begrippen zoals de DPIA. De Autoriteit Persoonsgegevens publiceert daarover praktische guidance over algoritmes en AI. De verordening definieert in artikel 3 de centrale begrippen; die definities zijn leidend bij elke kwalificatievraag.
Veelgestelde vragen
Wat is het verschil tussen een aanbieder en een deployer?
De aanbieder ontwikkelt en brengt het systeem op de markt en draagt de hoofdverantwoordelijkheid voor conformiteit; de deployer gebruikt het systeem onder eigen verantwoordelijkheid. Wie een hoog-risicosysteem wezenlijk wijzigt, wordt echter zelf aanbieder.
Valt elke chatbot onder hoog risico?
Nee. De meeste chatbots vallen onder het transparantierisico van artikel 50: gebruikers moeten weten dat zij met AI communiceren. Pas wanneer het systeem in een hoog-risicodomein wordt ingezet, gelden de zwaardere eisen.
Hoe weet ik welke risicoklasse op mijn systeem van toepassing is?
Door per systeem uw rol in de waardeketen en het toepassingsdomein te toetsen aan bijlage III en de definities in artikel 3. AIRecht ondersteunt die classificatie met een gestructureerde gap-analyse.
De eerste stap is altijd dezelfde: bepaal per AI-systeem uw rol in de waardeketen en uw risicoklasse, en breng van daaruit de verplichtingen en deadlines in kaart. Heeft uw organisatie hulp nodig bij risicoclassificatie, gap-analyse of documentatie? De gespecialiseerde juristen van AIRecht ondersteunen die toets; leg uw vraagstuk voor via onze contactpagina.
Zie ook: due diligence en conformity · ethiek en grondrechten · privacywetgeving (AVG/GDPR).
Begrippenlijst van de EU AI Act met risicocategorieen en rollen in de waardeketen