EU AI Act compliance: voldoe aan uw verplichtingen met AIRecht

De AI-verordening (EU) 2024/1689 is de eerste bindende AI-wet ter wereld. Zij legt nieuwe eisen op aan organisaties die AI-systemen ontwikkelen, op de markt brengen of inzetten in de Europese Unie. De gefaseerde invoering is al gaande: het verbod op verboden AI-praktijken geldt sinds 2 februari 2025; de volledige toepassing volgt op 2 augustus 2026. Wie nu nog geen inventarisatie heeft uitgevoerd, loopt op de eerste compliance-verplichtingen al achter.

mr. Mauritz Kop, oprichter van AIRecht, leverde aanbevelingen aan de Europese Commissie tijdens de totstandkoming van de verordening en publiceerde meer dan honderd bijdragen over AI-recht en -beleid in onder meer Nature en Science en bij de rechtenfaculteiten van Harvard, Yale en Stanford. AIRecht begeleidt ondernemingen en instellingen bij de eerste stappen: inventarisatie van AI-systemen, bepaling van de van toepassing zijnde risicocategorie, en opbouw van de benodigde documentatie en interne governance. Lees ook onze pagina over kunstmatige intelligentie en recht.

Wat regelt de EU AI Act?

De verordening hanteert een risicogebaseerde aanpak: hoe groter het potentiële risico van een AI-systeem voor grondrechten, veiligheid of de samenleving, hoe zwaarder de verplichtingen. De regels gelden voor aanbieders, importeurs, distributeurs en gebruiksverantwoordelijken ("deployers") — ook wanneer de aanbieder buiten de EU is gevestigd, maar de effecten binnen de EU worden gevoeld. Drie categorieën dragen de kern: verboden AI-toepassingen, hoog-risico-AI, en AI-modellen voor algemene doeleinden (GPAI). Hieronder een korte toelichting; een gedetailleerde analyse maakt deel uit van een AIRecht-intake. Voor de toetsingssystematiek verwijzen wij naar onze pagina over due diligence en regulatory compliance.

De verplichting-tiers

Verboden AI-praktijken — sinds 2 februari 2025

Een beperkte categorie AI-toepassingen is volledig verboden omdat zij een onaanvaardbaar grondrechtenrisico vormen: manipulatieve technieken die het bewuste oordeel omzeilen; sociale scoresystemen door of namens overheidsinstanties; biometrische identificatie op afstand in real time in openbare ruimten voor handhavingsdoeleinden (met strikte uitzonderingen); biometrische categorisering op basis van gevoelige kenmerken; en AI die kwetsbare groepen exploiteert. Het verbod is reeds van kracht; wie twijfelt of een systeem hieronder valt, loopt nu al een handhavingsrisico.

Hoog-risico-AI — vanaf 2 augustus 2026

AI-systemen die op een gevoelig terrein worden ingezet en een aanzienlijk risico vormen voor gezondheid, veiligheid of grondrechten, vallen in de hoog-risico-categorie. Bijlage I (toepassing 2 augustus 2027) ziet op AI ingebouwd in producten die al onder EU-productveiligheidswetgeving vallen — medische hulpmiddelen, machines, voertuigen. Bijlage III (toepassing 2 augustus 2026) wijst afzonderlijke domeinen aan: biometrie, kritieke infrastructuur, onderwijs, werkgelegenheid en HR, essentiële private en publieke diensten, rechtshandhaving, migratie en grenscontrole, en rechtsbedeling. De voornaamste verplichtingen: een risicomanagementsysteem, data governance, technische documentatie, automatische logging, transparantie richting deployers, menselijk toezicht, nauwkeurigheid en cyberveiligheid, een conformiteitsbeoordeling vóór ingebruikname en registratie in de EU-databank.

GPAI-modellen — sinds 2 augustus 2025

Aanbieders van AI-modellen voor algemene doeleinden (GPAI) hebben eigen verplichtingen: technische documentatie en informatie richting downstreamgebruikers, een beleid inzake naleving van het auteursrecht, en een samenvatting van de trainingsdata. Voor modellen die een bepaalde rekenkracht-drempel overschrijden ("systeemrisico") gelden aanvullende eisen inzake adversarial testing, incidentmelding aan het EU AI Office en cyberveiligheid. Voor de meeste overige toepassingen gelden uitsluitend transparantieverplichtingen: gebruikers moeten weten dat zij met AI communiceren, en synthetische content moet als zodanig herkenbaar zijn.

Het regelgevend kader

De AI-verordening staat niet op zichzelf. Zij verhoudt zich tot de Algemene Verordening Gegevensbescherming (AVG) waar AI persoonsgegevens verwerkt, tot de herziene productaansprakelijkheid en tot sectorale regelgeving zoals de MDR en NIS2. De gefaseerde deadlines — inwerkingtreding 1 augustus 2024, verboden praktijken februari 2025, GPAI augustus 2025, volledige toepassing augustus 2026 en de verlengde termijn voor ingebouwde producten augustus 2027 — bepalen welk traject voor uw organisatie urgent is. De verordening eist in artikel 4 bovendien dat aanbieders en deployers zorgen voor voldoende AI-geletterdheid bij personeel dat met AI-systemen werkt. Een tijdige gap-analyse vertaalt deze kaders naar een concreet stappenplan; daarbij stellen wij geen reguleringsstatus vast — de beoordeling van feitelijke naleving blijft bij de bevoegde toezichthouders.

Hoe AIRecht uw readiness ondersteunt

AIRecht begeleidt ondernemingen en instellingen bij het voorbereiden op de eisen van de AI-verordening: inventarisatie en risicoclassificatie; gap-analyse; documentatie en bewijsopbouw (technische documentatie, risicomanagementsysteem, logboeken, conformiteitsverklaringen); governance en AI-geletterdheid; en juridisch advies over de contractuele verantwoordelijkheidsverdeling in de AI-waardeketen, aansprakelijkheid en afstemming met sectorale regelgeving. Het resultaat is een onderbouwd readiness-beeld met geprioriteerde stappen, geen black box.

Veelgestelde vragen

Vanaf wanneer moet mijn organisatie voldoen?

Dat hangt af van uw rol en risicoklasse. Verboden praktijken en AI-geletterdheid gelden sinds februari 2025, GPAI-regels sinds augustus 2025, en de meeste hoog-risicoverplichtingen vanaf augustus 2026. Voor ingebouwde producten geldt augustus 2027.

Geldt de verordening ook voor bedrijven buiten de EU?

Ja. De AI-verordening werkt extraterritoriaal: een aanbieder buiten de EU valt eronder zodra het AI-systeem of de output binnen de EU wordt gebruikt. Een Unievertegenwoordiger kan dan verplicht zijn.

Wat levert een AI Act-intake op?

Een intake brengt per AI-systeem uw rol, risicoklasse en deadline in kaart, met een geprioriteerde lijst van verplichtingen en documentatie. Zo weet u waar de zwaartepunten liggen voordat een toezichthouder aanklopt.

De eerste stap is uw verplichtingen in kaart brengen, aan de hand van uw sector, uw rol in de AI-waardeketen en de van toepassing zijnde deadline. Heeft uw organisatie een AI Act-readinesstoets nodig? De gespecialiseerde juristen van AIRecht voeren de intake en gap-analyse uit; leg uw vraagstuk voor via onze contactpagina.

Zie ook: due diligence en conformity · privacywetgeving (AVG/GDPR) · ethiek en grondrechten.