EU AI-wet 2025: Alles wat je moet weten om voorop te blijven

Inleiding en Wetgevend Overzicht

De Artificial Intelligence Act van de Europese Unie (EU AI Act) is het eerste uitgebreide kader ter wereld voor de regulering van AI, met als doel betrouwbare AI te waarborgen die veiligheid, grondrechten en maatschappelijke waarden hooghoudt digital-strategy.ec.europa.eu. De wet werd voorgesteld door de Europese Commissie in april 2021 en na intensieve onderhandelingen formeel aangenomen in midden 2024 europarl.europa.eu europarl.europa.eu. De wet stelt een risicogebaseerde benadering van AI-governance vast, waarbij verplichtingen worden opgelegd die in verhouding staan tot het potentiële gevaar van een AI-systeem artificialintelligenceact.eu.

Wetgevende tijdlijn: Belangrijke mijlpalen zijn onder meer de goedkeuring door het Europees Parlement in 2023–2024 en de officiële publicatie op 12 juli 2024, wat de inwerkingtreding op 1 augustus 2024 heeft geactiveerd artificialintelligenceact.eu artificialintelligenceact.eu. De bepalingen van de wet treden echter gefaseerd in werking gedurende de volgende jaren:

2 februari 2025: AI-systemen met onaanvaardbaar risico verboden. Alle AI-praktijken die als “onaanvaardbaar risico” worden beschouwd (zie hieronder) zijn vanaf deze datum verboden europarl.europa.eu. EU-lidstaten zijn ook gestart met AI-geletterdheidsprogramma's om het publiek over AI te informeren artificialintelligenceact.eu.
2 augustus 2025: Transparantie- en governance-regels van kracht. Nieuwe regels voor AI-modellen voor algemeen gebruik (foundation models) en AI-governance-instanties treden in werking artificialintelligenceact.eu digital-strategy.ec.europa.eu. Een EU-breed AI Office (later toegelicht) wordt operationeel, en boetes voor niet-naleving kunnen vanaf dit moment worden opgelegd orrick.com orrick.com.
2 augustus 2026: Kernvereisten volledig van toepassing. De meeste verplichtingen van de AI Act – vooral voor het inzetten van AI-systemen met hoog risico – worden verplicht 24 maanden na inwerkingtreding digital-strategy.ec.europa.eu. Vanaf deze datum moeten aanbieders van nieuwe high-risk AI-systemen voldoen aan de wet voordat zij hun systemen op de EU-markt brengen.
2 augustus 2027: Uitgestelde deadlines eindigen. Bepaalde AI in gereguleerde producten (zoals AI-gestuurde medische hulpmiddelen) hebben een langere overgangsperiode (36 maanden) tot 2027 om te voldoen digital-strategy.ec.europa.eu. Ook moeten aanbieders van bestaande AI-modellen voor algemeen gebruik (op de markt gebracht vóór augustus 2025) deze uiterlijk in 2027 updaten om aan de wet te voldoen artificialintelligenceact.eu.

Deze gefaseerde tijdlijn geeft organisaties de tijd om zich aan te passen, terwijl vroege maatregelen (zoals het verbod op schadelijk AI-gebruik) de ernstigste risico’s meteen aanpakken europarl.europa.eu. Hierna bespreken we het risicoclassificatiesysteem van de wet en wat dit betekent voor AI-belanghebbenden.

Risicogebaseerde Classificatie: Onaanvaardbaar, Hoog, Beperkt en Minimaal Risico

Onder de EU AI Act krijgt elk AI-systeem een risiconiveau toegekend dat bepaalt hoe het gereguleerd wordt artificialintelligenceact.eu. De vier risiconiveaus zijn:

Onaanvaardbaar risico: Dit zijn AI-toepassingen die een duidelijk gevaar vormen voor veiligheid of grondrechten en daarom volledig verboden zijn in de EU digital-strategy.ec.europa.eu. De wet verbiedt expliciet acht praktijken, waaronder: AI die subliminale of manipulerende technieken gebruikt en schade veroorzaakt, AI die kwetsbare groepen (zoals kinderen of mensen met een handicap) op schadelijke wijze uitbuit, door de overheid uitgevoerde “social scoring” van burgers, en bepaalde voorspellende politietools artificialintelligenceact.eu artificialintelligenceact.eu. Opvallend is dat real-time remote biometrische identificatie (bijv. live gezichtsherkenning op openbare plaatsen) voor politietaken in het algemeen verboden is digital-strategy.ec.europa.eu. Er zijn beperkte uitzonderingen – zo mag de politie real-time gezichtsherkenning gebruiken om een dreigende terroristische aanslag te voorkomen of een vermist kind op te sporen, maar alleen met rechterlijke toestemming en strenge controle europarl.europa.eu. In essentie mag elk AI-systeem waarvan het gebruik als onverenigbaar met EU-waarden wordt gezien (zoals social credit scoring of AI die ongegrond crimineel gedrag voorspelt) niet worden ingezet digital-strategy.ec.europa.eu.
Hoog risico: AI-systemen die ernstige risico’s voor gezondheid, veiligheid of grondrechten met zich meebrengen vallen in de categorie hoog risico. Deze zijn alleen toegestaan op de markt als er uitgebreide veiligheidsmaatregelen zijn genomen. Toepassingen met hoog risico worden op twee manieren gedefinieerd: (1) AI-componenten die veiligheid-kritiek zijn en al onder EU-productveiligheidswetgeving vallen (bijvoorbeeld AI in medische hulpmiddelen, auto’s, luchtvaart, etc.) artificialintelligenceact.eu; of (2) AI-toepassingen in specifieke domeinen vermeld in Bijlage III van de wet artificialintelligenceact.eu. Bijlage III omvat gebieden zoals kritieke infrastructuur, onderwijs, werkgelegenheid, essentiële diensten, rechtshandhaving, grenscontrole en het beheer van justitie europarl.europa.eu europarl.europa.eu. Zo wordt AI-gebruik in het onderwijs (bijv. het beoordelen van examens of toelating tot scholen) als hoog risico beschouwd gezien de impact op levensmogelijkheden digital-strategy.ec.europa.eu. Evenzo vallen AI voor werving of personeelsbeheer (zoals CV-scans), en kredietscore systemen onder hoog risico digital-strategy.ec.europa.eu digital-strategy.ec.europa.eu. Zelfs een AI-gestuurde chirurgierobot of diagnostisch hulpmiddel in de zorg is hoog risico, hetzij omdat het deel uitmaakt van een medisch hulpmiddel, hetzij omdat storingen gevaarlijk zijn voor patiënten digital-strategy.ec.europa.eu digital-strategy.ec.europa.eu. High-risk AI wordt strikt gereguleerd – voordat dergelijke systemen mogen worden ingezet, moeten aanbieders strenge risicobeheersmaatregelen nemen en een conformiteitsbeoordeling ondergaan (details in de volgende sectie) cimplifi.com. Alle AI-systemen met hoog risico worden ook geregistreerd in een EU-database voor transparantie en toezicht cimplifi.com. Belangrijk is dat de wet nauwe uitzonderingen bevat zodat niet ieder triviaal gebruik in deze sectoren eronder valt – bijvoorbeeld, als een AI alleen een menselijke beslissing ondersteunt of een klein subtaakje uitvoert, is het misschien uitgezonderd van de “hoog risico” classificatie artificialintelligenceact.eu. Maar standaard wordt elke AI die gevoelige functies uitvoert in de genoemde sectoren als hoog risico behandeld en moet aan strenge eisen voldoen.
Beperkt risico: Deze categorie betreft AI-systemen die niet hoog risico zijn, maar wel transparantieverplichtingen hebben artificialintelligenceact.eu. De wet legt geen zware controles op deze systemen, behalve de eis dat mensen moeten weten wanneer ze met een AI te maken hebben. Bijvoorbeeld, chatbots of virtuele assistenten moeten duidelijk maken aan gebruikers dat ze met een machine communiceren en niet met een mens digital-strategy.ec.europa.eu. Evenzo moet generatieve AI die synthetische beelden, video of audio maakt (zoals deepfakes) worden ontworpen zodat AI-gegeneerde content altijd wordt aangeduid – bijvoorbeeld door watermerk of labeling – zodat kijkers niet worden misleid europarl.europa.eu digital-strategy.ec.europa.eu. Het doel is menselijk vertrouwen te behouden door transparantie te waarborgen. Buiten deze meldingsregels kan beperkt-risico AI vrij worden gebruikt zonder voorafgaande goedkeuring. De wet beschouwt de meeste AI-tools voor consumenten als beperkt risico, waarbij kennisgeving aan gebruikers de belangrijkste eis is. Een voorbeeld is een AI die een stem aanpast of een realistisch beeld creëert – dit is niet verboden, maar moet wel duidelijk als AI-content worden gemarkeerd om misleiding te voorkomen europarl.europa.eu.
Minimaal (of geen) risico: Alle overige AI-systemen vallen in deze laagste categorie, die de overgrote meerderheid van AI-toepassingen beslaat. Deze brengen verwaarloosbare of routinematige risico’s met zich mee en kennen geen nieuwe verplichtingen onder de AI Act artificialintelligenceact.eu digital-strategy.ec.europa.eu. Voorbeelden zijn AI-spamfilters, aanbevelingsalgoritmen, AI in videogames, of triviale AI-functies in software. Voor deze systemen blijft de wet feitelijk afzijdig – zij kunnen ontwikkeld en gebruikt worden zoals voorheen onder bestaande wetten (zoals consumentenbescherming of privacyregels), maar zonder extra AI-specifieke verplichtingen. De EU erkent expliciet dat de meeste AI-systemen momenteel laag risico hebben en niet overdreven gereguleerd mogen worden digital-strategy.ec.europa.eu. De regelgeving richt zich op de uitzonderingen (hoog en onaanvaardbaar risico), terwijl AI met minimaal risico ongemoeid blijft, zodat innovatie in dit domein gestimuleerd wordt.

Samengevat: het risicogebaseerde model van de EU verbiedt de slechtste AI-praktijken volledig, reguleert gevoelige AI-toepassingen streng, en beperkt zich tot lichte regels voor de rest cimplifi.com. Deze gelaagde aanpak is bedoeld om burgers te beschermen tegen schade zonder alle AI op één manier te reguleren. Vervolgens bekijken we wat naleving inhoudt voor degenen die AI ontwerpen of implementeren, vooral in de categorie hoog risico.

Verplichtingen voor AI-ontwikkelaars (Aanbieders) en Inzetters (Gebruikers)

Vereisten voor naleving van hoge-risico AI: Als je een AI-systeem ontwikkelt dat als hoog-risico wordt beschouwd, legt de EU AI Act een gedetailleerde lijst van verplichtingen op vóór en nadat het op de markt komt. Deze zijn in feite afgeleid van praktijken uit veiligheid-kritische sectoren en gegevensbescherming, die nu op AI worden toegepast. Aanbieders (ontwikkelaars die een systeem op de markt brengen) van hoog-risico AI moeten onder andere:

Implementeer een Risicobeheer-systeem: Zij moeten een continu risicobeheerproces hebben gedurende de hele levenscyclus van het AI-systeem artificialintelligenceact.eu. Dit betekent het identificeren van te voorzien risico’s (zoals veiligheidsrisico’s, bias- of foutrisico’s), het analyseren en evalueren ervan, en het nemen van mitigatiemaatregelen vanaf het ontwerp tot na de ingebruikname artificialintelligenceact.eu. Dit is vergelijkbaar met een ‘safety by design’-benadering – anticiperen op hoe de AI kan falen of schade kan veroorzaken en deze problemen vroegtijdig aanpakken.
Zorg voor hoogwaardige data en datagovernance: Trainings-, validatie- en testdatasets moeten relevant, representatief en zo mogelijk vrij van fouten of bias zijn artificialintelligenceact.eu. De verordening legt de nadruk op het vermijden van discriminerende uitkomsten, dus aanbieders moeten hun data controleren op onbalans of fouten die kunnen leiden tot oneerlijke behandeling van mensen door de AI digital-strategy.ec.europa.eu digital-strategy.ec.europa.eu. Als je bijvoorbeeld een AI voor recruitment ontwikkelt, moet de trainingsdata worden gecontroleerd zodat deze geen bestaande gender- of raciale vooroordelen in werving weerspiegelt. Datagovernance omvat ook het bijhouden van de herkomst en verwerking van de data, zodat de prestaties van de AI te begrijpen en te auditen zijn.
Technische documentatie & Archivering: Ontwikkelaars moeten uitgebreide technische documentatie opstellen waarin de naleving van het AI-systeem wordt aangetoond artificialintelligenceact.eu. Deze documentatie moet het beoogde doel van het systeem, het ontwerp, de architectuur, algoritmes, trainingsdata en aanwezige risicobeheersmaatregelen beschrijven artificialintelligenceact.eu. Dit moet toereikend zijn voor toezichthouders om te beoordelen hoe het systeem werkt en of het aan de eisen voldoet. Daarnaast moeten hoog-risico AI-systemen ontworpen zijn om hun handelingen te loggen – dat wil zeggen automatisch gebeurtenissen of beslissingen vast te leggen, voor traceerbaarheid en analyse achteraf artificialintelligenceact.eu digital-strategy.ec.europa.eu. Bijvoorbeeld: een AI-systeem dat kredietbeslissingen neemt, kan de input en de reden voor elke beslissing loggen. Deze logs kunnen helpen fouten of bias te identificeren en zijn cruciaal als er een incident of compliance-onderzoek plaatsvindt.
Menselijk toezicht en duidelijke instructies: Aanbieders moeten het systeem zo bouwen dat effectief menselijk toezicht door de gebruiker of operator mogelijk is artificialintelligenceact.eu. Dat kan betekenen dat er functies of tools zijn waarmee een mens kan ingrijpen of de AI kan monitoren. De aanbieder moet ook uitgebreide gebruiksinstructies meegeven aan de inzetter artificialintelligenceact.eu. Deze instructies moeten uitleggen hoe de AI correct te installeren en te gebruiken, wat de beperkingen zijn, het verwachte nauwkeurigheidsniveau, benodigde maatregelen voor menselijk toezicht, en risico’s van verkeerd gebruik artificialintelligenceact.eu. Het idee is dat het bedrijf dat de AI gebruikt (de inzetter) het alleen kan controleren als de ontwikkelaar hen de kennis en middelen daarvoor geeft. Bijvoorbeeld: een fabrikant van een AI medisch diagnostisch hulpmiddel moet het ziekenhuis dat het gebruikt instrueren over hoe de resultaten te interpreteren en wanneer een menselijke arts de uitslag moet dubbelchecken.
Prestaties, robuustheid en cybersecurity: Hoog-risico AI-systemen moeten een passend niveau van nauwkeurigheid, robuustheid en cybersecurity hebben voor hun beoogde doel artificialintelligenceact.eu. Aanbieders moeten hun modellen testen en bijstellen om foutpercentages te minimaliseren en onvoorspelbaar gedrag te vermijden. Er moeten ook beveiligingen zijn tegen manipulatie of hacking (cybersecurity), aangezien gecompromitteerde AI gevaarlijk kan zijn (stel je voor dat een aanvaller een AI-verkeersregelsysteem verandert). In de praktijk betekent dit bijvoorbeeld het uitvoerig testen van de AI onder uiteenlopende omstandigheden en zorgen dat het systeem inputvariaties aankan zonder kritieke fouten artificialintelligenceact.eu. Eventuele bekende beperkingen (bijvoorbeeld als de nauwkeurigheid voor bepaalde doelgroepen of scenario’s afneemt) moeten worden gedocumenteerd en zo goed mogelijk worden gemitigeerd.
Kwaliteitsbeheersysteem: Om alles hierboven samen te brengen, moeten aanbieders een kwaliteitsbeheersysteem hebben artificialintelligenceact.eu. Dit is een formeel organisatorisch proces om voortdurende naleving te waarborgen – vergelijkbaar met ISO-kwaliteitsnormen – en omvat alles van standaardprocedures tijdens ontwikkeling tot het afhandelen van incidenten en updates. Zo is compliance een continu proces en geen eenmalige inspanning voor de aanbieder.

Voordat een hoog-risico AI-systeem op de EU-markt gebracht kan worden, moet de aanbieder een conformiteitsbeoordeling doen om te verifiëren dat aan al deze eisen is voldaan. Veel hoog-risico AI-systemen zullen via een zelfbeoordeling verlopen, waarbij de aanbieder zijn eigen naleving controleert en een EU-conformiteitsverklaring afgeeft. Is de AI echter onderdeel van bepaalde gereguleerde producten (zoals een medisch hulpmiddel of een auto), dan kan het zijn dat een aangemelde instantie (onafhankelijke derde partij) de conformiteit van de AI moet certificeren, conform bestaande productwetgeving cimplifi.com. In alle gevallen dragen conforme AI-systemen het CE-keurmerk, wat aangeeft dat ze aan de EU-normen voldoen, en worden ze opgenomen in een EU-database van hoog-risico AI-systemen cimplifi.com. Deze transparantiedatabase stelt toezichthouders en het publiek in staat te weten welke hoog-risico AI-systemen in gebruik zijn en wie er verantwoordelijk voor is.

Verplichtingen voor inzetters (gebruikers): De verordening legt ook verantwoordelijkheden op aan de gebruikers of operators die hoog-risico AI-systemen beroepsmatig inzetten. (Dit zijn bedrijven of autoriteiten die de AI toepassen, anders dan eindgebruikers of consumenten.) Belangrijke verplichtingen van inzetters zijn: het volgen van de instructies van de aanbieder, zorgen voor het verplichte menselijke toezicht, en monitoring van de prestaties van de AI in de praktijk digital-strategy.ec.europa.eu. Als een inzetter merkt dat de AI zich onverwacht gedraagt of veiligheidsproblemen vertoont, moet hij ingrijpen (waaronder eventueel tijdelijk stoppen) en de aanbieder en autoriteiten informeren. Inzetters moeten ook logboeken bijhouden bij het gebruik van de AI (voor het registreren van uitkomsten en beslissingen, als aanvulling op de eigen logging van de AI) en ernstige incidenten of storingen rapporteren aan de autoriteiten artificialintelligenceact.eu. Bijvoorbeeld: een ziekenhuis dat een AI-diagnostisch hulpmiddel gebruikt, moet het rapporteren als de AI leidt tot een foutieve diagnose met schade tot gevolg. Deze gebruikersverplichtingen zorgen ervoor dat het toezicht ook na ingebruikname doorloopt – de AI wordt niet zomaar ‘losgelaten’, maar blijft onder menselijk toezicht met feedback naar de ontwikkelaar en toezichthouders.

Let op: gebruikers op kleine schaal (zoals een klein bedrijf) zijn niet vrijgesteld van deze verplichtingen als zij hoog-risico AI inzetten, maar de opstellers van de verordening willen via documentatie en ondersteuning van de aanbieder naleving mogelijk maken. De verordening maakt ook onderscheid tussen gebruikers en getroffen personen – de laatsten (bijv. een consument die door een AI-beslissing wordt afgewezen) hebben geen plichten, maar wel rechten, zoals het indienen van klachten over problematische AI-systemen europarl.europa.eu.

Transparantie-eisen (buiten hoog risico): Naast hoog-risico systemen stelt de AI Act specifieke transparantiemaatregelen verplicht voor bepaalde AI, ongeacht het risiconiveau. We hebben deze al kort aangestipt onder “beperkt risico.” Concreet geldt dat elk AI-systeem dat met mensen communiceert, content genereert of mensen observeert een melding moet geven:

AI-systemen die interageren met mensen (zoals chatbots of AI-assistenten) moeten de gebruiker duidelijk maken dat zij AI zijn. Een online klantenservice-chatbot moet zichzelf bijvoorbeeld als geautomatiseerd identificeren, zodat gebruikers niet denken dat ze met een mens spreken digital-strategy.ec.europa.eu.
AI die content genereert of manipuleert (beelden, video, audio of tekst) op een manier die kan misleiden, moet ervoor zorgen dat de content geïdentificeerd wordt als AI-gegenereerd digital-strategy.ec.europa.eu. Deepfakes zijn hiervan een duidelijk voorbeeld: als een AI een realistisch beeld of video maakt van iemand die niet daadwerkelijk deed of zei wat getoond wordt, dan moet dat AI-mediaproduct gelabeld worden (tenzij het wordt gebruikt voor satire, kunst of veiligheidsonderzoek, waarvoor uitzonderingen bestaan). Het doel is om misleiding en desinformatie te bestrijden door herkomst van media te verduidelijken.
AI-systemen gebruikt voor biometrische surveillancetoepassingen (zoals camera’s met gezichtsherkenning) of emotieherkenning moeten mensen – waar uitvoerbaar – waarschuwen dat ze in werking zijn. (En zoals vermeld zijn veel van deze toepassingen verboden of bestempeld als hoog risico met strikte voorwaarden).
Generatieve AI-modellen (vaak foundation modellen genoemd, zoals grote taalmodellen zoals ChatGPT) hebben enkele op maat gemaakte transparantie- en informatievereisten. Zelfs als een generatief model niet als hoog risico wordt aangemerkt, moet de aanbieder bepaalde informatie openbaar maken: bijvoorbeeld, AI-gegenereerde content moet als zodanig worden gemarkeerd en de aanbieder moet een samenvatting publiceren van de auteursrechtelijk beschermde data die is gebruikt om het model te trainen europarl.europa.eu. Dit is om gebruikers en makers te informeren over mogelijke intellectuele eigendom in de trainingsset, en om te voldoen aan de EU-auteursrechtwetgeving europarl.europa.eu. Aanbieders van generatieve modellen moeten ook het genereren van illegale inhoud voorkomen, bijvoorbeeld door filters of veiligheidsmaatregelen in het model te bouwen europarl.europa.eu.

Kortom, transparantie is een overkoepelend principe binnen de AI Act – of het nu om een hoog-risicosysteem gaat (met uitgebreide documentatie en gebruikersinformatie) of een chatbot met laag risico (met alleen de melding “Ik ben een AI”), het draait om het doorbreken van de “black box” van AI. Dit geeft niet alleen gebruikers en betrokkenen meer macht, maar faciliteert ook verantwoording: als er iets misgaat is er een papieren spoor van wat de AI moest doen en hoe deze is ontwikkeld.

Algemeen Toepasbare AI (Foundation Modellen): Een belangrijke aanvulling in de definitieve wetstekst is een set regels voor General-Purpose AI (GPAI)-modellen – dit zijn brede AI-modellen die getraind zijn op grote databronnen (vaak door zelflering), en die voor allerlei taken ingezet kunnen worden artificialintelligenceact.eu. Voorbeelden zijn grote taalmodellen, beeldgeneratoren of andere “foundation” modellen die techbedrijven bouwen en vervolgens beschikbaar stellen voor anderen om te gebruiken of aan te passen. De wet erkent dat deze modellen op zichzelf niet altijd aan een specifiek hoog risico zijn gekoppeld, maar later kunnen worden geïntegreerd in hoog-risico systemen of systemische impact kunnen hebben. Daarom worden er verplichtingen opgelegd aan aanbieders van GPAI-modellen, ook als de modellen zelf nog niet in een consumentenproduct zitten.

Alle GPAI-modelaanbieders moeten technische documentatie publiceren over hun model (waarin het ontwikkelproces en de mogelijkheden worden beschreven) en instructies geven aan afnemende ontwikkelaars over hoe ze het model volgens de regels kunnen toepassen artificialintelligenceact.eu artificialintelligenceact.eu. Ze moeten ook auteursrecht respecteren – ervoor zorgen dat hun trainingsgegevens voldoen aan EU-auteursrecht – en een samenvatting van de gebruikte trainingsdata publiceren (ten minste een globaal overzicht van de bronnen) artificialintelligenceact.eu. Deze eisen zorgen voor meer transparantie in de nu vaak ondoorzichtige wereld van grote AI-modellen.

Belangrijk is dat de wet onderscheid maakt tussen gesloten modellen en modellen die onder een open source-licentie zijn uitgebracht. Aanbieders van open source GPAI-modellen (waarbij de modelgewichten en -code vrij beschikbaar zijn) hebben lichtere verplichtingen: zij hoeven alleen copyright en transparantie rondom trainingsdata te regelen, en niet de volledige technische documentatie of gebruiksinstructies – tenzij hun model een “systemisch risico” vormt artificialintelligenceact.eu. Deze uitzondering is bedoeld om open innovatie en onderzoek niet te belemmeren. Maar als een open model zeer krachtig is en grote impact zou kunnen hebben, wordt het niet automatisch uitgezonderd van toezicht puur omdat het open source is.

De wet definieert “GPAI-modellen met systemisch risico” als die zeer geavanceerde modellen die verstrekkende effecten op de samenleving kunnen hebben. Eén criterium is als de training van het model meer dan 10^25 rekenoperaties (FLOPs) vergde – een maat voor alleen de meest krachtige, resources-intensieve modellen artificialintelligenceact.eu. Aanbieders van zulke impactvolle modellen moeten extra evaluaties en testen uitvoeren (waaronder adversariële testen om kwetsbaarheden op te sporen) en actief systemische risico’s tegengaan die ze vinden artificialintelligenceact.eu. Ze moeten ook ernstige incidenten melden bij het Europese AI Bureau en nationale autoriteiten, en zorgen voor goede cybersecurity van het model en haar infrastructuur artificialintelligenceact.eu. Met deze maatregelen wordt ingespeeld op zorgen dat geavanceerde AI (zoals GPT-4 en opvolgers) grootschalige schade kan veroorzaken (bijv. nieuwe vormen van desinformatie, cyberaanvallen, enz.). De AI Act zegt feitelijk: als je state-of-the-art algemene AI ontwikkelt, moet je extra voorzichtig zijn en samenwerken met toezichthouders om het onder controle te houden europarl.europa.eu artificialintelligenceact.eu.

Om samenwerking te stimuleren, bepaalt de wet dat GPAI-aanbieders hun verplichtingen kunnen nakomen door zich te houden aan gedragscodes of toekomstige geharmoniseerde standaarden artificialintelligenceact.eu. De EU faciliteert zelfs een AI-code of practice die de sector voorlopig kan volgen digital-strategy.ec.europa.eu. Het AI Bureau leidt dit traject om uit te werken hoe foundation model ontwikkelaars praktisch kunnen voldoen digital-strategy.ec.europa.eu. De gedragscode is vrijwillig, maar kan als “veilige haven” gelden: als een bedrijf deze volgt, wordt verondersteld dat het aan de wet voldoet.

In het algemeen bestrijken de verplichtingen uit de AI Act de hele AI-levenscyclus: van ontwerp (risicobeoordeling, controle van data) via ontwikkeling (documentatie, testen) tot uitrol (gebruikerstransparantie, toezicht) en post-market (monitoring, incidentrapportage). Voldoen vereist een multidisciplinaire aanpak – ontwikkelaars van AI moeten straks niet alleen data scientists en ingenieurs, maar ook juristen, risicomanagers en ethici inschakelen om aan alle eisen te kunnen voldoen. Hierna bespreken we hoe het toezicht zal verlopen en wat er gebeurt als bedrijven tekortschieten.

Handhavingsmechanismen, Toezichthoudende Instanties en Sancties

Om dit omvangrijke regelgevingskader te overzien, richt de EU AI Act een gelaagde governance- en handhavingsstructuur in. Dit omvat nationale autoriteiten in elke lidstaat, een nieuw centraal Europees AI Bureau en afstemming via een AI Board. De handhavingsaanpak is deels gebaseerd op de EU-ervaring met productveiligheid en databeschermingsregimes (zoals de GDPR-combinatie van nationale toezichthouders en een Europese raad).

Nationale bevoegde autoriteiten: Elke EU-lidstaat moet één of meer nationale autoriteiten aanwijzen die verantwoordelijk zijn voor het toezicht op AI-activiteiten (vaak aangeduid als Markttoezichtautoriteiten voor AI) orrick.com. Deze autoriteiten zullen de dagelijkse nalevingsonderzoeken uitvoeren – bijvoorbeeld controleren of een aanbieder van een hoog-risico AI-product op de markt aan de vereisten voldoet, of klachten van het publiek onderzoeken. Ze hebben vergelijkbare bevoegdheden als bestaande productveiligheidswetgeving (Verordening (EU) 2019/1020): ze kunnen informatie van aanbieders eisen, inspecties uitvoeren en zelfs niet-conforme AI-systemen uit de handel laten nemen orrick.com. Ze houden ook toezicht op de markt voor AI-systemen die mogelijk aan de regels proberen te ontsnappen of onverwachte risico’s vormen. Als een AI-systeem niet in overeenstemming met de regels is of gevaarlijk blijkt, kunnen nationale autoriteiten boetes opleggen of het systeem terugroepen/verwijderen.

Naar verwachting zal elk land deze rol onderbrengen bij een bestaande toezichthouder of een nieuwe toezichthouder oprichten (sommigen suggereren dat de gegevensbeschermingsautoriteiten AI op zich kunnen nemen, of sectorspecifieke toezichthouders zoals agentschappen voor medische hulpmiddelen voor medische AI, enzovoort, om expertise te benutten). Uiterlijk augustus 2025 moeten de lidstaten hun AI-toezichthouders hebben aangewezen en operationeel hebben artificialintelligenceact.eu, en uiterlijk in 2026 moet elk land ook ten minste één Regulatory Sandbox voor AI opzetten (een gecontroleerde omgeving om innovatieve AI onder toezicht te testen) artificialintelligenceact.eu.

Europees AI-kantoor: Op EU-niveau is een nieuwe entiteit opgericht, het AI Office, binnen de Europese Commissie (specifiek onder DG CNECT) artificialintelligenceact.eu. Het AI Office is een centrale toezichthouder met focus op general purpose AI en grensoverschrijdende kwesties. Volgens de verordening heeft het AI Office exclusieve handhavingsbevoegdheid over de regels voor GPAI-modelaanbieders orrick.com. Dit betekent dat als OpenAI, Google of een ander bedrijf een groot AI-model aanbiedt dat in heel Europa wordt gebruikt, het AI Office de leidende handhaver is die toeziet op het nakomen van de verplichtingen (technische documentatie, risicobeheersing, enz.). Het AI Office kan rechtstreeks informatie en documentatie opvragen bij aanbieders van foundation models en corrigerende maatregelen eisen als ze niet voldoen orrick.com. Daarnaast houdt het toezicht op gevallen waarbij hetzelfde bedrijf zowel aanbieder van een foundation model als gebruiker van een hoog-risico systeem op basis daarvan is – om te voorkomen dat dit tussen wal en schip valt bij het toezicht tussen nationale en Europese autoriteiten orrick.com.

Naast handhaving heeft het AI Office een brede rol bij het monitoren van AI-trends en systemische risico’s. Ze zijn belast met het analyseren van opkomende hoog-risico of onverwachte AI-kwesties (met name in relatie tot GPAI) en kunnen evaluaties uitvoeren van krachtige modellen artificialintelligenceact.eu. Het Office zal over deskundig personeel beschikken (de Commissie werft hiervoor AI-experts aan artificialintelligenceact.eu) en samenwerken met een onafhankelijk Wetenschappelijk Panel van AI-experts om te adviseren over technische kwesties artificialintelligenceact.eu. Opvallend is dat het AI Office vrijwillige gedragscodes en richtlijnen voor de sector zal ontwikkelen – als hulpmiddel om AI-ontwikkelaars te ondersteunen bij compliance (vooral nuttig voor startups/kmo’s) artificialintelligenceact.eu. Het AI Office coördineert met de lidstaten om consistente toepassing van de regels te waarborgen, en kan zelfs assisteren bij gezamenlijke onderzoeken als er een AI-kwestie is die verschillende landen betreft artificialintelligenceact.eu artificialintelligenceact.eu. Kortom, het AI Office is de EU’s poging tot een gecentraliseerde AI-toezichthouder ter aanvulling van nationale autoriteiten – een beetje zoals de European Data Protection Board voor de AVG, maar met directere bevoegdheden op bepaalde gebieden.

AI Board: De wet voorziet in de oprichting van een nieuwe Europese Raad voor Kunstmatige Intelligentie, bestaande uit vertegenwoordigers van de AI-autoriteiten van alle lidstaten (en de Europese Toezichthouder voor Gegevensbescherming en het AI Office als waarnemers) artificialintelligenceact.eu. De taak van de Raad is het zorgen voor coherente implementatie in heel Europa – zij delen best practices, kunnen eventueel adviezen of aanbevelingen uitbrengen en coördineren grensoverschrijdende handhavingsstrategieën artificialintelligenceact.eu. Het AI Office fungeert als het secretariaat van deze Raad, organiseert vergaderingen en helpt bij het opstellen van documenten artificialintelligenceact.eu. De Raad kan bijvoorbeeld de ontwikkeling van standaarden faciliteren, of bespreken welke bijlagen van de verordening geactualiseerd moeten worden. Het is een intergouvernementeel forum om iedereen op één lijn te houden en versnipperde handhaving te voorkomen, zodat de Europese interne markt voor AI niet versplintert.

Boetes bij niet-naleving: De AI Act introduceert forse boetes bij overtredingen, met een afschrikwekkende werking zoals bij de AVG. Er zijn drie niveaus van administratieve boetes:

Voor de ernstigste overtredingen – namelijk het inzetten van verboden AI-praktijken (de onaanvaardbare, verboden AI-toepassingen) – kunnen boetes oplopen tot €35 miljoen of 7% van de wereldwijde jaaromzet, waarbij het hoogste bedrag geldt orrick.com. Dit is een zeer hoge bovenlimiet (aanzienlijk hoger dan het 4%-plafond van de AVG). Hiermee wil de EU duidelijk maken hoe ernstig zij zaken als geheime social scoring-systemen of illegale biometrische surveillance vindt – dit wordt op één lijn gesteld met de zwaarste bedrijfsdelicten.
Voor andere overtredingen van de vereisten van de wet (zoals het niet nakomen van verplichtingen rond hoog-risico AI, een systeem niet registreren, geen transparantiemaatregelen nemen), geldt een maximale boete van €15 miljoen of 3% van de wereldwijde omzet orrick.com. Dit dekt de meeste compliance-fouten: bijvoorbeeld als een bedrijf nalaat een conformiteitsbeoordeling te doen of informatie voor toezichthouders achterhoudt.
Bij het verstrekken van onjuiste, misleidende of onvolledige informatie aan toezichthouders (bijvoorbeeld tijdens een onderzoek of bij een nalevingsverzoek), kan de boete oplopen tot €7,5 miljoen of 1% van de omzet orrick.com. Deze lagere categorie is vooral bedoeld voor obstructie of het niet meewerken met autoriteiten.

Belangrijk is dat de wet bepaalt dat kmo’s (kleine en middelgrote ondernemingen) het lagere segment van bovengenoemde boetebedragen krijgen, terwijl grote bedrijven het hogere segment kunnen krijgen orrick.com. Met andere woorden, de €35 mln/7% of €15 mln/3% zijn maxima; toezichthouders hebben beoordelingsruimte en moeten rekening houden met de grootte en financiële draagkracht van de overtreder. Een kmo kan dus een boete van een paar miljoen krijgen in plaats van een percentage van de omzet, om buitensporige gevolgen te voorkomen, terwijl grote Big Tech-spelers een procentuele boete krijgen waar dat nodig is voor een daadwerkelijk afschrikwekkend effect orrick.com.

Deze boetebepalingen zijn vanaf 2 augustus 2025 afdwingbaar voor de meeste regels orrick.com (omdat het governance-hoofdstuk en de strafbepalingen dan van toepassing zijn). Voor de nieuwe verplichtingen rond general purpose AI-modellen gaan de boetes echter een jaar later in, namelijk op 2 augustus 2026, wat in lijn is met het moment waarop de eisen voor foundation models verplicht worden orrick.com. Deze gefaseerde invoering geeft foundation model-aanbieders tijd om zich voor te bereiden.

Wat betreft procedure en waarborgen: bedrijven krijgen rechten zoals het recht om gehoord te worden voordat een sanctie wordt opgelegd, en de vertrouwelijkheid van gevoelige informatie die aan toezichthouders wordt verstrekt, is verplicht orrick.com. De verordening geeft ook aan dat, in tegenstelling tot sommige andere EU-wetten, de Commissie (via het AI Office) niet de bevoegdheid heeft om op eigen initiatief invallen te doen (“dawn raids”) of getuigenissen af te dwingen – behalve als zij tijdelijk optreedt als nationale autoriteit orrick.com. Dit weerspiegelt enkele beperkingen, waarschijnlijk bedoeld om zorgen over een te grote reikwijdte te temperen.

De handhavingsrol van het AI Office: De Europese Commissie kan via het AI Office in bepaalde gevallen zelf handhavingsmaatregelen opstarten, met name rond general purpose AI. Dit is een nieuw soort handhavingsmechanisme – traditioneel handhaafde de Commissie niet rechtstreeks productregels (meer toezicht en coördinatie), behalve in het mededingingsrecht. Met de AI-verordening krijgt de Commissie een actievere handhavingstoolkit. Het AI Office kan een foundation model-provider onderzoeken, brede documentatie opvragen (zoals bij mededingingsonderzoeken) orrick.com en zelfs gesimuleerde cyberaanvallen of evaluaties uitvoeren op een AI-model om de veiligheid te testen artificialintelligenceact.eu. Bedrijven die onderwerp zijn van zo’n onderzoek, kunnen te maken krijgen met iets dat lijkt op een mededingingsonderzoek, wat, zo merken analisten van Orrick op, belastend kan zijn door de vraag naar duizenden documenten inclusief interne concepten orrick.com. De ervaring van de Commissie met grote onderzoeken voorspelt dat ze aanzienlijke middelen zal inzetten bij grote AI-zaken. Dit verhoogt de compliance-inzet voor AI-ontwikkelaars, maar benadrukt ook dat de EU serieus is over het centraal handhaven van regels rond fundamentele AI die grenzen overschrijdt.

Toezicht op hoog-risico AI: Voor traditionele hoog-risico AI (zoals een kredietscore-model van een bank of het gebruik van AI door een stad bij politieoptreden) blijven de nationale autoriteiten de belangrijkste handhavers. Maar het AI Office en de AI Board ondersteunen hen, vooral bij grensoverschrijdende kwesties. De verordening maakt gezamenlijke onderzoeken mogelijk, waarbij toezichthouders uit meerdere landen samenwerken (met steun van het AI Office) als de risico’s van een AI-systeem landsgrenzen overstijgen artificialintelligenceact.eu. Zo wordt voorkomen dat een AI die EU-breed wordt gebruikt, slechts door één land geïsoleerd wordt behandeld terwijl anderen onwetend blijven.

Tot slot is er een ingebouwd proces voor beroep en herziening: bedrijven kunnen besluiten van toezichthouders aanvechten bij nationale rechtbanken (of uiteindelijk bij het Europees Hof als het een Commissie-beslissing betreft), en de verordening wordt periodiek geëvalueerd. Uiterlijk in 2028 moet de Commissie beoordelen hoe goed het AI Office en het nieuwe systeem functioneren artificialintelligenceact.eu, en iedere paar jaar herzien of de risicocategorieën of lijsten (Annex III, etc.) moeten worden aangepast artificialintelligenceact.eu. Dit adaptieve bestuur is essentieel gezien het tempo waarin AI-technologie zich ontwikkelt – de EU wil de regels gaandeweg verfijnen waar nodig.

Samenvattend: de EU AI-verordening zal worden gehandhaafd via een netwerk van toezichthouders met het European AI Office als centraal punt voor richtlijnen, consistentie en direct toezicht op foundation modellen. De boetes zijn aanzienlijk – op papier behoren ze tot de zwaarste in de tech-regelgeving – en maken duidelijk dat niet-naleven geen optie is. Organisaties zullen compliance vanaf het begin moeten integreren in hun AI-projecten om deze boetes of een verplichte stillegging van hun AI-systemen te vermijden.

Sector-specifieke impacten en use-cases

De gevolgen van de AI-verordening verschillen per sector, omdat de wet bepaalde sectoren aanmerkt als hoog-risico. Hieronder beschrijven we hoe de belangrijkste sectoren – gezondheidszorg, financiën, wetshandhaving en onderwijs – worden geraakt:

Gezondheidszorg en medische apparatuur: AI biedt enorm veel potentieel in de geneeskunde (van het diagnosticeren van ziekten tot robot-ondersteunde operaties), maar volgens de verordening worden deze toepassingen vaak als hoog-risico geclassificeerd. Elke AI-component van een gereguleerd medisch hulpmiddel wordt zelfs standaard als hoog-risico beschouwd emergobyul.com. Een AI-gedreven radiologietool die röntgenbeelden analyseert of een algoritme dat behandelplannen voorstelt, moet dus niet alleen voldoen aan de eisen van de verordening maar ook aan bestaande gezondheidsregels. Leveranciers van dergelijke AI moeten rigoureuze overeenstemmingsbeoordelingen ondergaan (die waarschijnlijk aansluiten op het bestaande CE-markering proces voor medische apparatuur). Ze moeten klinische kwaliteit en veiligheid garanderen, in overeenstemming met de eisen voor nauwkeurigheid en risicobeperking uit de verordening. Patiënten en medisch personeel profiteren hierdoor – de AI zal betrouwbaarder zijn en zijn beperkingen transparant. Tegelijk staan medische AI-ontwikkelaars voor hogere R&D-kosten en extra documentatieverplichtingen om compliance aan te tonen. Op termijn kan dit betekenen dat AI-innovaties in de Europese zorgverlening trager worden uitgerold totdat ze de toets der regelgeving doorstaan goodwinlaw.com. Positief is wel dat de verordening experimenten stimuleert via sandboxes: ziekenhuizen, start-ups en toezichthouders kunnen samenwerken in gecontroleerde proeven met AI-systemen (zoals een diagnostisch hulpmiddel) om bewijs over veiligheid en effectiviteit te verzamelen vóór bredere toepassing. Uiterlijk in 2026 moet elke lidstaat minstens één dergelijke AI-regulatoire sandbox operationeel hebben in sectoren waaronder de zorg artificialintelligenceact.eu. Samengevat zal AI in de gezondheidszorg in Europa waarschijnlijk veiliger en gestandaardiseerd worden, maar producenten moeten zich zorgvuldig door de compliance vereisten manoeuvreren om vertragingen bij het op de markt brengen van levensreddende innovaties te voorkomen.
Financiën en verzekeringen: De verordening plaatst veel financiële AI-toepassingen expliciet in de categorie hoog-risico. Vooral AI-systemen voor beoordeling van kredietwaardigheid – zoals algoritmes die bepalen of je een lening krijgt of welke rente je betaalt – worden als hoog-risico aangemerkt omdat ze toegang tot essentiële diensten beïnvloeden digital-strategy.ec.europa.eu. Banken en fintechbedrijven die AI gebruiken voor leninggoedkeuringen, kredietscores of verzekeringsrisicoprijzing, moeten ervoor zorgen dat deze systemen niet discriminerend, uitlegbaar en geaudit zijn. Er moet documentatie worden bijgehouden over de training van het AI-systeem (bijvoorbeeld om te bewijzen dat het niet onbedoeld bepaalde etnische groepen of buurten benadeelt, wat eerder voorkwam bij kredietmodellen). Klanten profiteren van meer transparantie: hoewel de verordening geen expliciet recht op uitleg geeft zoals de AVG, betekent de eis voor duidelijke informatie aan gebruikers dat kredietverstrekkers kunnen aangeven wanneer een AI betrokken is bij de beslissing en mogelijk in algemene termen uitleg kunnen geven digital-strategy.ec.europa.eu. Een ander financieel use-case is AI bij fraudedetectie en antiwitwas, wat zowel onder hoog-risico (indien fundamentele rechten worden geraakt) als beperkte-transparantie eisen kan vallen. Financiële instellingen zullen stevige governance-processen moeten ontwikkelen voor hun AI – vergelijkbaar met model risk management, maar dan volgens de AI-verordening. Dit zal initiële kosten met zich brengen, zoals het inhuren van experts voor bias-testen of extra documentatie, maar het leidt tot meer eerlijke en betrouwbare AI in het financiële systeem. Klanten zullen bijvoorbeeld minder bias in kredietbeslissingen merken en weten dat deze AI-systemen onder toezicht staan. Verzekeraars die AI inzetten voor underwriting (bijvoorbeeld modellen voor zorg- of levensverzekeringstarieven) vallen ook onder hoog-risico artificialintelligenceact.eu en moeten bewijzen dat hun modellen niet onterecht discriminerend zijn (zoals bij onverklaarbare premieverhogingen op basis van beschermde gezondheidskenmerken). Alles bij elkaar stuurt de verordening financiële AI richting meer transparantie en verantwoordingsplicht, wat op termijn het consumentenvertrouwen in AI-gedreven financiële producten zal vergroten.
Wetshandhaving en publieke veiligheid: Op dit gebied kiest de verordening voor een zeer voorzichtige benadering, gezien het grote belang van burgerrechten. Verschillende AI-toepassingen voor wetshandhaving zijn ronduit verboden als zijnde onaanvaardbaar: bijvoorbeeld AI die “social scoring” doet of voorspellende politie-algoritmes die profielen van mogelijke criminelen maken, zijn verboden artificialintelligenceact.eu artificialintelligenceact.eu. Ook het veelbesproken gebruik van real-time gezichtsherkenning in openbare ruimtes door politie is verboden, behalve bij extreme spoedgevallen (en zelfs dan met strenge goedkeuring) europarl.europa.eu. Europese politie mag dus niet zomaar live face-scanning CCTV-netwerken uitrollen, behalve in zéér nauw gedefinieerde situaties van ernstige dreigingen en met toestemming van de rechter. Andere politietools vallen onder hoog-risico, wat gebruik toelaat, maar met toezicht. Bijvoorbeeld een AI-systeem dat historisch misdaadcijfers analyseert voor politie-inzet, of een systeem dat de betrouwbaarheid van bewijsmateriaal of verdachteprofielen beoordeelt, geldt als hoog-risico digital-strategy.ec.europa.eu digital-strategy.ec.europa.eu. Politie en grensbewaking moeten dan impactanalyses fundamentele rechten uitvoeren en waarborgen dat mensen de uiteindelijke beslissingen nemen, niet de AI alleen. Alle dergelijke AI-systemen voor handhaving moeten worden geregistreerd in een Europese database, wat transparantie biedt en publieke controle mogelijk maakt (hoewel sommige details vertrouwelijk kunnen blijven). Handhavingsinstanties zullen merken dat de verordening administratieve lasten met zich meebrengt (documentatie indienen, goedkeuring door een toezichthouder aanvragen, etc.), wat AI-inzet kan vertragen. Maar deze maatregelen zijn bedoeld om misbruik te voorkomen – om te verhinderen dat een black-box algoritme bepaalt wie gevangen wordt gezet of gestraft zonder mogelijkheid tot bezwaar. Ook AI voor emotieherkenning bij politie, op het werk of in het onderwijs is verboden: de verordening verbiedt AI die zogenaamd emoties detecteert bij politieverhoren, sollicitaties, examens, etc., vanwege het invasieve en onbetrouwbare karakter digital-strategy.ec.europa.eu digital-strategy.ec.europa.eu. Dus zullen politie en handhavers vooral focussen op AI ter ondersteuning van data-analyse en routine, onder menselijk toezicht, en dystopische praktijken vermijden. Uiteindelijk probeert de verordening een balans te vinden: AI benutten voor veiligheid en opsporing, maar nooit ten koste van fundamentele rechten en vrijheden.
Onderwijs en werkgelegenheid: AI-systemen in het onderwijs, zoals software die examens nakijkt of advies geeft over plaatsing van leerlingen, worden als hoog-risico beschouwd omdat ze grote invloed hebben op de toekomst van studenten digital-strategy.ec.europa.eu. Scholen en edtech-leveranciers die AI gebruiken voor bijvoorbeeld essaybeoordeling of fraude-detectie moeten zorgen dat de tools accuraat zijn en niet bevooroordeeld. Een AI die foutief bepaalde groepen lager beoordeelt of crasht tijdens een examen heeft immers grote impact, vandaar het hoog-risico-predicaat. Ministeries en universiteiten moeten AI-leveranciers strenger gaan beoordelen en documentatie bijhouden voor alle algoritmes die toelating of beoordeling beïnvloeden. Studenten moeten geïnformeerd worden als AI wordt gebruikt (transparantie) en er moet een beroepsmogelijkheid zijn – de regels voor transparantie en menselijke controle ondersteunen dit. Ook in de arbeidsmarkt is AI voor werving of HR-beheer (CV-screening, kandidaat-ranking, monitoring van prestaties) hoog-risico digital-strategy.ec.europa.eu. Werkgevers die AI-gebaseerde recruitment inzetten, moeten aantonen dat deze tools eerlijk ontworpen en getest zijn (om bijvoorbeeld genderbias bij selectie te voorkomen). De regelgeving kan leiden tot veranderingen in de recruitmentmarkt: sommige geautomatiseerde wervingsplatforms zullen grondig moeten worden opgewaardeerd of gedocumenteerd om legaal gebruikt te mogen worden binnen de EU, terwijl bedrijven vaker kunnen terugvallen op meer handmatige processen als hun AI niet aan de eisen voldoet. Minimaal zullen sollicitanten in de EU vaker meldingen zien als “er kan AI gebruikt worden bij uw sollicitatie” en uitleg kunnen krijgen over de besluitvorming, volgens het transparantieprincipe. De positieve kant is eerlijkere en meer verantwoorde aanwervingen – AI is geen mysterieuze poortwachter meer, maar een hulpmiddel onder toezicht. De uitdaging voor HR-afdelingen is deze compliancechecks te integreren zonder werving traag of duur te maken. Ook hier kunnen sandboxes helpen: een HR-tech start-up kan zijn AI-tool testen in een sandbox met toezichthouders en feedback krijgen over eerlijkheid voordat het grootschalig uitgerold wordt.

In andere sectoren die niet expliciet worden genoemd, hangt de impact af van de toepassingen. Bijvoorbeeld, kritieke infrastructuur (zoals energienetten of verkeersbeheer) die AI gebruikt om processen te optimaliseren, geldt als hoog-risico als uitval risico’s voor de veiligheid meebrengt artificialintelligenceact.eu. Nutsbedrijven en vervoersorganisaties zullen dus hun AI-gestuurde controles moeten certificeren. Marketing en sociale media AI (zoals algoritmen voor advertentietargeting of contentaanbevelingen) vallen grotendeels onder minimaal of beperkt risico – ze worden door de AI-verordening zelf amper gereguleerd, al kunnen andere wetten (zoals de DSA) van toepassing zijn.

Een opvallende sector is consumentenproducten en robotica – als AI wordt geïntegreerd in consumentenproducten (speelgoed, apparaten, voertuigen), gelden de wetten voor productveiligheid. Bijvoorbeeld, een AI-aangedreven speeltje dat interactie heeft met kinderen kan als hoog risico worden beschouwd, vooral als het het gedrag van kinderen op een gevaarlijke manier kan beïnvloeden europarl.europa.eu. De wet verbiedt specifiek speelgoed dat stem-AI gebruikt om schadelijk gedrag bij kinderen aan te moedigen europarl.europa.eu. Speelgoed- en spelbedrijven die AI gebruiken moeten dus uiterst voorzichtig zijn met de inhoud en functie.

Over het algemeen krijgen sectoren die te maken hebben met het leven, kansen of rechten van mensen te maken met de meest ingrijpende nieuwe regels. Deze sectoren zullen waarschijnlijk een culturele verschuiving zien richting “AI-ethiek en naleving” – met functies als AI-compliance officer of ethisch beoordelaar die gebruikelijk worden. Hoewel er aanvankelijk vertragingen kunnen zijn terwijl systemen worden gecontroleerd en verbeterd, kan op de lange termijn groter publiek vertrouwen in AI in deze domeinen ontstaan. Bijvoorbeeld: als ouders erop kunnen vertrouwen dat een AI die hun kind beoordeelt goed wordt gemonitord op eerlijkheid, zullen ze wellicht eerder openstaan voor AI in het onderwijs.

Impact op bedrijven: mkb, startups en wereldwijde ondernemingen

De EU AI-wet zal organisaties van elke omvang raken, van wendbare startups tot multinationale techreuzen, vooral iedereen die AI-producten of -diensten aanbiedt in Europa. Nalevingskosten en verplichtingen zijn niet gering, maar de wet bevat wel maatregelen om kleinere ondernemingen tegemoet te komen. Door de extraterritoriale reikwijdte moeten zelfs bedrijven buiten de EU aandacht besteden aan de regelgeving.

Kleine en middelgrote ondernemingen (mkb): Mkb’ers en startups zijn vaak grote AI-innovatoren – naar schatting komt zelfs 75% van de AI-innovatie van startups seniorexecutive.com. De EU wilde deze spelers niet verpletteren met regelgeving, dus zijn er in de wet start- en mkb-vriendelijke bepalingen opgenomen. Zoals gezegd zijn de boetes voor overtredingen lager voor mkb’ers in absolute euro’s orrick.com, waardoor kleine bedrijven niet direct failliet gaan door een sanctie. Proactief vereist de wet dat er regelgevings-sandboxen beschikbaar zijn gratis en met voorrang voor mkb’ers thebarristergroup.co.uk. Deze sandboxen (operationeel vanaf 2026 in elke lidstaat) stellen startups in staat AI-systemen onder toezicht te testen en feedback te krijgen over naleving, zonder boetegevaar in de testfase. Het is een kans om samen met toezichthouders aan het product te werken – waardoor naleving meer een co-designproces wordt dan een hindernis.

Bovendien lanceerde de Europese Commissie naast de wet een “AI Pact” en andere ondersteunende initiatieven digital-strategy.ec.europa.eu digital-strategy.ec.europa.eu. De AI Pact is een vrijwillig programma waarbij bedrijven worden uitgenodigd om vroegtijdig te voldoen aan de regels en best practices te delen, met nadruk op het helpen van vooral niet-grote techspelers. De wet verplicht ook het AI Office tot het bieden van handleidingen, sjablonen en middelen voor mkb’ers artificialintelligenceact.eu. We zullen waarschijnlijk voorbeelden zien van risicobeheerplannen of checklists voor documentatie die een startup van 10 personen kan gebruiken zonder direct een heel juridisch team te moeten inhuren.

Ondanks deze ondersteunende maatregelen maken veel startups zich nog steeds zorgen over de nalevingslast. De vereisten (eerder beschreven) zoals kwaliteitsmanagementsystemen of conformiteitsbeoordelingen, kunnen ontmoedigend zijn voor een klein bedrijf met beperkt personeel. Er is zorg dat innovatie zou kunnen vertragen of geografisch verschuiven: als het te zwaar is om een AI-product in Europa te lanceren, kan een startup besluiten eerst elders (zoals de VS) uit te rollen of verkiezen investeerders regio’s met minder regels seniorexecutive.com seniorexecutive.com. Zoals één tech-CEO het zegt: duidelijke regels geven vertrouwen, maar té strenge regels “kunnen uitstekend en waardevol onderzoek elders naartoe jagen.” seniorexecutive.com. Sommige startup-oprichters zien de wet als te breed en te belastend, en vrezen dat jonge bedrijven zullen worstelen met de nalevingskosten en ervoor zullen kiezen om buiten de EU te verhuizen seniorexecutive.com.

Om dit te verzachten, hebben EU-beleidsmakers aangegeven dat standaarden en procedures rond naleving zo gestroomlijnd mogelijk zullen zijn. Zo kunnen er gestandaardiseerde modules voor conformiteitsbeoordeling komen die een kleine aanbieder eenvoudig kan volgen, of certificeringsdiensten waarbij kosten gedeeld worden tussen meerdere mkb’ers. Het idee van “nalevingssubsidies” of steunmaatregelen is zelfs geopperd door experts – financiering om startups te helpen de kosten van naleving te dragen seniorexecutive.com. Mochten dergelijke regelingen werkelijkheid worden (op EU- of nationaal niveau), zou dat de druk flink verlichten.

Hoe dan ook, mkb-bedrijven kunnen het beste beginnen met het in kaart brengen van hun AI-systemen in de risicocategorieën en vooral te focussen op de hoog-risico-toepassingen. Veel AI-startups zullen ontdekken dat hun product eigenlijk minimaal of beperkt risico oplevert, en dan volstaat een extra transparantieverklaring in plaats van een compleet nalevingsprogramma. Voor de hoog-risico gebieden (zoals een medtech-AI-startup of een HR-tool startup) is het cruciaal om in een vroeg stadium contact te leggen met de toezichthouder (via sandboxen of consultaties). De wet moedigt een expliciet “pro-innovatieve aanpak” aan in de handhaving – toezichthouders horen rekening te houden met de belangen van kleinere actoren en niet meteen bestraffend op te treden, zeker niet in de beginfase seniorexecutive.com. De kans is groot dat er in de praktijk een soort overgangsperiode komt waarin bedrijven die aantoonbaar proberen na te leven vooral begeleiding krijgen, in plaats van direct boetes.

Wereldwijde en niet-EU-bedrijven: Net als de AVG heeft de AI-wet een extraterritoriale reikwijdte. Als een AI-systeem op de EU-markt wordt gebracht of het resultaat wordt in de EU gebruikt, gelden de regels, ongeacht waar de aanbieder gevestigd is artificialintelligenceact.eu. Dit betekent dat Amerikaanse, Aziatische of andere internationale bedrijven de AI-wet niet kunnen negeren als zij klanten of gebruikers in Europa hebben. Een Silicon Valley-bedrijf dat een AI-tool voor werving verkoopt aan Europese klanten moet ervoor zorgen dat die tool aan de EU-eisen voldoet (of hun EU-klanten kunnen het wettelijk niet gebruiken).

Voor grote wereldwijde techbedrijven (Google, Microsoft, OpenAI, etc.) is de AI-wet nu al van invloed. Nog voor de wet officieel werd aangenomen, boden sommige bedrijven meer transparantie of controle in hun AI-producten, vooruitlopend op regelgeving. Zo werken aanbieders van generatieve AI aan tools om AI-gegenereerde output te labelen, en verschillende bedrijven hebben informatie gepubliceerd over hun trainingsdata en modelbeperkingen als reactie op EU-druk. Er wordt geopperd dat voldoen aan de EU AI-wet een concurrentievoordeel of kwaliteitskeurmerk kan worden – vergelijkbaar met “AVG-compliant” producten die als privacyvriendelijk gezien worden. “EU AI Act compliant”-AI-producten kunnen wereldwijd als betrouwbaarder worden gezien.

Toch moeten wereldwijde bedrijven balanceren tussen verschillende rechtsgebieden. De EU-regels sluiten niet altijd aan bij bijvoorbeeld aankomende Amerikaanse vereisten. Sommige Amerikaanse staten of federale richtlijnen kunnen conflicteren of extra rapportages eisen. Internationale bedrijven kiezen er daarom vaak voor om te standaardiseren op het strengste regime (vaak de EU-norm) om wereldwijd één aanpak te hebben – dat gebeurde ook bij de AVG, waarbij veel bedrijven rechten wereldwijd toepasten. We kunnen verwachten dat AI-providers EU-transparantiepraktijken (zoals het labelen van AI-output) wereldwijd gaan toepassen voor consistentie. De wet kan zo de “vertrouwensnormen voor AI” vanuit de EU exporteren naar andere markten als grote bedrijven veranderingen doorvoeren in alle versies van hun producten.

Toch is fragmentatie een risico: als andere regio’s een andere koers varen, moeten wereldwijde bedrijven wellicht verschillende AI-productversies of -functies per regio aanhouden. Een AI-app kan dan bijvoorbeeld een speciale “EU-modus” met extra waarborgen hebben. Dit is op termijn inefficiënt, dus zal er druk ontstaan richting internationale afstemming (meer daarover in het volgende hoofdstuk).

Vanuit strategisch oogpunt zullen grote bedrijven waarschijnlijk speciale AI-nalevingsteams oprichten (als ze die niet al hebben) om hun AI-systemen aan de eisen van de wet te toetsen. Er zal wellicht een markt ontstaan van onafhankelijke AI-auditbedrijven die certificeringsdiensten aanbieden – een nieuw ecosysteem vergelijkbaar met cybersecurity-audits – dat zowel grote als middelgrote bedrijven zullen gebruiken om vooraf naleving aan te tonen, nog voordat een toezichthouder zich meldt.

Een andere implicatie betreft investeringen: zowel durfkapitaalinvesteerders als zakelijke afnemers zullen due diligence uitvoeren op naleving van de AI Act. Startups kunnen door investeerders worden gevraagd: “Is je AI Act risicoanalyse gedaan? Zit je in een sandbox of heb je een plan voor CE-markering als dat nodig is?” – vergelijkbaar met hoe privacy compliance na de AVG een checklist-item werd bij financieringsrondes. Bedrijven die kunnen aantonen dat ze voldoen aan de regelgeving, hebben mogelijk een gemakkelijker tijd bij het verkrijgen van partnerships en verkoop in Europa, terwijl degenen die dat niet kunnen als riskantere keuzes worden gezien.

Samengevat is de wet voor mkb-bedrijven en startups een tweesnijdend zwaard: het biedt duidelijkheid en mogelijk een concurrentievoordeel voor “verantwoorde AI” oplossingen, maar het verhoogt ook de instapdrempel voor deelname aan bepaalde risicovolle markten. Voor wereldwijde bedrijven kan de wet feitelijk een de facto wereldwijde standaard zetten voor AI-governance (zoals de AVG voor gegevensprivacy deed), en bedrijven zullen deze vereisten in hun AI-ontwikkelingscyclus moeten integreren. De EU hoopt dat door het bevorderen van vertrouwen via regelgeving het AI-gebruik juist zal stimuleren – bedrijven en consumenten zullen zich wellicht meer op hun gemak voelen bij het gebruik van AI als ze weten dat het gereguleerd is. Maar dat geldt alleen als naleving haalbaar is; anders kan innovatie verschuiven naar minder gereguleerde omgevingen.

Gevolgen voor Innovatie, AI-Investeringen, en Internationale Afstemming

De EU AI Act heeft uitgebreide discussies aangewakkerd over de bredere impact op het AI-landschap – zal het innovatie verstikken of juist stimuleren? Hoe zal het de wereldwijde AI-governance beïnvloeden? Hier zijn enkele belangrijke verwachte effecten:

Innovatie: Rem of Versneller? Critici stellen dat de strenge regels van de wet, vooral voor hoog-risico AI, experimentele innovatie kunnen vertragen, met name bij startups die veel van de grensverleggende ontwikkelingen aanjagen seniorexecutive.com. Nalevingstaken (documentatie, beoordelingen, enz.) kunnen de ontwikkelingscycli verlengen en middelen wegtrekken van pure R&D. Zo kan een AI-onderzoeksteam extra maanden kwijt zijn aan het valideren van data en het schrijven van compliance-rapporten voordat een product wordt gelanceerd. Er bestaat zorg over een mogelijke “innovatie-uitstroom” waarbij toonaangevend AI-talent of bedrijven zich vestigen in gebieden met minder regelgeving seniorexecutive.com. Als Europa als te moeilijk wordt ervaren, kan de volgende AI-doorbraak in de VS of Azië plaatsvinden, waarna deze toepassingen later worden aangepast voor Europa (of überhaupt niet in Europa worden aangeboden).

We hebben al gezien dat sommige AI-diensten (vooral generatieve AI-apps) EU-gebruikers blokkeren of lanceringen uitstellen, met als reden onzekerheid over de regelgeving. Op termijn, als de wet als te belastend wordt beschouwd, loopt Europa het risico achter te blijven op het gebied van AI-implementatie ten opzichte van meer laissez-faire omgevingen.

Aan de andere kant geloven veel stemmen in de sector dat duidelijke regels innovatie kunnen stimuleren door onzekerheid te verminderen seniorexecutive.com. De wet creëert een voorspelbare omgeving – bedrijven kennen de “verkeersregels” en kunnen met vertrouwen innoveren, zeker als ze weten dat hun AI, mits volgens de richtlijnen ontwikkeld, later niet wordt verboden of op publieke weerstand stuit. Een vaak genoemd voordeel is dat de wet het publiek vertrouwen in AI zal vergroten, wat essentieel is voor de acceptatie. Als burgers erop vertrouwen dat Europese AI wordt gecontroleerd op veiligheid en eerlijkheid, zijn ze sneller geneigd AI-oplossingen te omarmen, waardoor de markt voor AI-producten groeit. Ook zullen bedrijven sneller in AI-projecten investeren als ze weten dat er een compliance-kader is om op te bouwen, in plaats van angst voor een ongereguleerde ‘wildwest’ die tot schandalen of rechtszaken kan leiden.

Kortom, de wet probeert een balans te vinden: er wordt frictie opgelegd (toezicht, verantwoording) met de bedoeling lange termijn duurzame innovatie te bevorderen in plaats van korte termijn, ongereguleerde innovatie. De introductie van sandboxes en de focus op het mkb laten zien dat de EU zich ervan bewust is dat te veel frictie = verloren innovatie, en dat ze dit actief proberen te ondervangen.

Er wordt ook gesteld dat ethische AI-innovatie een concurrentievoordeel kan worden. Europese bedrijven kunnen zich specialiseren in AI die transparant en mensgericht is ontworpen, waarmee ze een voorsprong hebben als de vraag naar verantwoorde AI wereldwijd groeit. Tools voor AI-ethiek en compliance zijn nu al een groeiende sector – van software voor het detecteren van bias tot platforms voor modeldocumentatie – mede gestimuleerd door regelgeving als deze.

AI-investeringen: Op korte termijn zijn nalevingskosten een nieuwe “belasting” op AI-ontwikkeling, waardoor investeerders mogelijk iets voorzichtiger worden of geld toewijzen aan nalevingsbehoeften. Sommige durfkapitaal- en private-equitybedrijven zullen startups in zwaar gereguleerde AI-domeinen mijden, tenzij deze startups een duidelijk complianceplan hebben (of tenzij het marktpotentieel opweegt tegen de nalevingskosten). Tegelijkertijd kunnen we meer investeringen in bepaalde gebieden zien:

RegTech voor AI: Bedrijven die oplossingen bieden voor naleving van de AI Act (zoals AI-auditdiensten, geautomatiseerde documentatie, modelmonitoringtools) kunnen een investeringsgolf verwachten naarmate de vraag naar deze producten groeit.
AI Assurance en Standaarden: Er kan geld vloeien naar AI-projecten die aan de regelgeving kunnen voldoen of deze zelfs overtreffen. Bijvoorbeeld, een AI-model dat aantoonbaar uitlegbaar en eerlijk is, kan klanten en investeerders aantrekken die onder de indruk zijn van de “compliance by design”.

De EU zelf kanaliseert investeringen naar AI-onderzoek en innovatie in lijn met vertrouwen. Door programma’s als Horizon Europe en het Digital Europe Programme worden subsidies toegekend aan AI-projecten die transparantie, robuustheid en aansluiting bij Europese waarden bevorderen. Openbare financiering wordt zo ingezet om innovatie door te laten gaan, maar wel langs uitgestippelde lijnen.

Een mogelijke uitkomst is dat sommige AI-niches zullen floreren in Europa (die makkelijk aan de regels kunnen voldoen, zoals AI voor gezondheidszorg dat veiligheidsvoordelen kan aantonen), terwijl andere mogelijk achterblijven (zoals AI voor moderatie van sociale media-inhoud, als dat als te risicovol of te complex voor naleving wordt gezien – puur als hypothetisch voorbeeld). We kunnen ook een verschuiving zien van AI direct-naar-consument naar business-to-business AI in Europa, omdat AI die direct op consumenten is gericht waarschijnlijk meer toezicht en regelgeving krijgt (zeker als het gedrag kan beïnvloeden), terwijl bedrijfsinterne AI mogelijk eenvoudiger aan de regels te laten voldoen is.

Wereldwijde afstemming of fragmentatie: Internationaal wordt de EU AI Act nauwlettend gevolgd. Het kan inderdaad als sjabloon dienen dat andere democratieën overnemen. Brazilië bijvoorbeeld heeft al een wetsvoorstel aangenomen met een Europese risicogebaseerde aanpak cimplifi.com, en landen als Canada hebben AI-wetten opgesteld (de AIDA-wet) met focus op hoge-impact AI en risicobeheersing cimplifi.com. Deze inspanningen zijn duidelijk beïnvloed door de Europese aanpak. Als meerdere jurisdicties een vergelijkbaar kader aannemen, ontstaat er afstemming – wat gunstig is voor AI-bedrijven, omdat zij dan met minder uiteenlopende regels rekening hoeven te houden.

Maar niet iedereen volgt exact hetzelfde pad. Het Verenigd Koninkrijk heeft bewust gekozen voor een lichtere, op principes gebaseerde aanpak en geeft leiding door sectorspecifieke richtlijnen in plaats van één centrale wet cimplifi.com. Het VK legt de nadruk op innovatie en stelt dat het ontluikende technologie niet wil overreguleren. Mogelijk volgt later toch een eigen AI-wet, maar die zal waarschijnlijk minder gedetailleerd zijn dan die van de EU. Japan en anderen hebben evenzeer een soepelere aanpak gesuggereerd, met de nadruk op vrijwillige governance en ethische principes in plaats van bindende regels.

In de Verenigde Staten is er momenteel geen federale AI-wet die vergelijkbaar is met de EU-wetgeving. In plaats daarvan heeft de VS een niet-bindend Blueprint for an AI Bill of Rights gepubliceerd, waarin brede principes staan als veiligheid, non-discriminatie, gegevensprivacy, transparantie en menselijke alternatieven weforum.org, maar dit is meer een beleidsrichtlijn dan afdwingbare wetgeving. De VS zal waarschijnlijk kiezen voor sectorspecifieke AI-regels (zoals de FDA voor AI in medische apparatuur, of financiële toezichthouders voor AI in de bankensector) en bestaande wetten inzetten voor zaken als discriminatie of aansprakelijkheid. Eind 2023 en in 2024 voerde de Amerikaanse overheid het tempo op: de Biden-regering vaardigde een Executive Order on AI uit (oktober 2023), waarin onder meer van ontwikkelaars van zeer geavanceerde modellen wordt geëist dat ze veiligheidsrapportages met de overheid delen en richtlijnen werden gegeven over AI in bijvoorbeeld biosecurity en burgerrechten. Maar dit is een uitvoerend besluit, geen wetgeving. Het Congres houdt hoorzittingen en werkt aan wetsvoorstellen, maar tot halverwege 2025 is geen ervan aangenomen. Het waarschijnlijke scenario voor de VS is een lappendeken: sommige staten hebben eigen AI-wetten (bijvoorbeelde transparantie-eisen voor AI-gegenereerde deepfakes of regels voor AI-inzet bij werving), en federale instanties handhaven bestaande wetten (de FTC kijkt naar oneerlijke of misleidende AI-praktijken, de EEOC naar partijdige AI-werving, enzovoorts) in plaats van een geïntegreerde nationale AI-wet.

Dit betekent dat bedrijven voorlopig te maken krijgen met een uiteenlopend regelgevingslandschap: een streng regime in de EU, een soepeler (maar zich ontwikkelend) regime in de VS, en verschillende modellen elders. Een Senior Executive mediabron voorspelde dat de VS vast zal houden aan een sectorspecifieke strategie om het concurrentievoordeel te behouden, terwijl China strikte controlemaatregelen blijft hanteren, en landen als het VK, Canada en Australië eerder kiezen voor flexibele richtlijnen seniorexecutive.com. Deze divergentie kan uitdagingen opleveren – bedrijven zullen hun AI-systemen mogelijk per regio moeten aanpassen aan de lokale eisen, wat inefficiënt en kostbaar is, en het kan een rem zetten op wereldwijde AI-uitrol omdat naleving van meerdere kaders telkens moet worden gecontroleerd.

Er zijn gelukkig actieve inspanningen voor internationale coördinatie: de EU en de VS werken via hun Trade and Technology Council in een werkgroep aan AI om tot gemeenschappelijke uitgangspunten te komen (ze werken bijvoorbeeld aan AI-terminologie en standaarden). De G7 startte het Hiroshima AI-proces midden 2023 om mondiale AI-governance te bespreken, waarbij onder andere het idee werd geopperd om een gedragscode voor AI-bedrijven internationaal te ontwikkelen. Organisaties als de OESO en UNESCO hebben AI-principes vastgesteld waar veel landen (waaronder de VS, EU en zelfs China in het geval van de OESO) zich achter hebben geschaard – deze principes gaan over bekende thema’s als eerlijkheid, transparantie en verantwoording. De hoop is dat deze als een basis kunnen dienen om regelgeving af te stemmen.

Op de langere termijn denken sommigen dat we misschien wel uitkomen op een convergentie van kernprincipes, zelfs als de juridische mechanismen anders zijn seniorexecutive.com. Bijvoorbeeld: bijna iedereen is het erover eens dat AI niet onveilig of openlijk discriminerend mag zijn – hoe daar op gehandhaafd wordt, kan verschillen, maar het doel (veiliger, eerlijkere AI) is gedeeld. Het is mogelijk dat via dialoog en wellicht internationale afspraken een gedeeltelijke harmonisatie ontstaat. Die gefragmenteerde start kan uiteindelijk leiden tot een meer verenigd normenstelsel seniorexecutive.com, vooral naarmate AI-technologie verder mondialiseert (het is lastig om AI-mogelijkheden te afbakenen in een verbonden wereld).

AI-leiderschap en concurrentie: Er is ook een geopolitieke dimensie. De EU positioneert zich als leider in ethische AI-governance. Als haar model wereldwijd navolging krijgt, zou de EU invloed kunnen uitoefenen op standaarden (zoals GDPR dat deed voor gegevensbescherming wereldwijd). Aan de andere kant, als de verordening wordt gezien als een belemmering voor de Europese AI-industrie terwijl andere regio’s voorsprong nemen, kan de EU bekritiseerd worden omdat ze zichzelf op concurrentienadeel zet. Amerikaanse techbedrijven lopen momenteel voorop in veel AI-gebieden, en China investeert zwaar in AI. Europa’s gok is dat betrouwbare AI het uiteindelijk wint van ongedwongen AI, maar dat moet nog blijken.

De eerste signalen in 2025 laten beide kanten zien: sommige AI-bedrijven geven aan dat de Europese regels hen stimuleren tot betere interne controles (positief), terwijl anderen bepaalde diensten in Europa hebben gepauzeerd (negatief). Ook zien we internationale bedrijven in gesprek met EU-toezichthouders – bijvoorbeeld grote AI-labs die in overleg zijn over de implementatie van zaken als watermerken van AI-content, wat aangeeft dat de verordening hun wereldwijde productontwerp al beïnvloedt.

Vanuit een investerings- en onderzoeksoptiek mag je verwachten dat AI-onderzoek zich nog meer richt op thema’s als verklaarbaarheid, bias-reductie en verificatie – omdat die nodig zijn voor compliance. De EU financiert veel onderzoek hiernaar, wat kan zorgen voor doorbraken die AI inherent veiliger en beter regelbaar maken (bijvoorbeeld nieuwe technieken om neurale netwerken te interpreteren). Als die doorbraken komen, profiteert niet alleen Europa, maar de hele wereld.

Samengevat: de EU AI Act is een gedurfd regulerend experiment dat ofwel de mondiale standaard voor AI-governance zal zetten of, als het verkeerd uitpakt, het Europese AI-ecosysteem kan isoleren. Waarschijnlijk zal het echter een sturende invloed hebben: AI-innovatie stopt niet, maar evolueert met regulerende waarborgen. Bedrijven en investeerders passen hun strategie aan – compliance wordt ingebouwd in de product-roadmap, de kosten van AI in de EU worden ingecalculeerd en sommigen zullen focussen op minder risicovolle toepassingen of andere markten. Internationaal staan we op een kruispunt: volgt de wereld het Europese voorbeeld (en ontstaat meer uniforme AI-regulering), of ontstaat een splitsing waarbij AI zich onder verschillende toezichtfilosofieën anders ontwikkelt? De komende jaren, wanneer de bepalingen van de Act volledig ingaan en andere landen reageren, zullen veelzeggend zijn.

Wereldwijde AI-regelgeving: EU-wet vs VS en China (en anderen)

De EU AI Act is geen op zichzelf staand iets – het maakt deel uit van een bredere, mondiale beweging om AI-uitdagingen te adresseren. Laten we het vergelijken met het beleid in de Verenigde Staten en China, twee andere AI-grootmachten met totaal verschillende toezichtfilosofieën, aangevuld met wat andere landen:

Verenigde Staten (Blueprint for an AI Bill of Rights & opkomend beleid): De VS hanteert tot nu toe een minder centraal, meer principe-gedreven benadering. In oktober 2022 bracht het Office of Science and Technology Policy van het Witte Huis de Blueprint for an AI Bill of Rights uit, een set van vijf basisprincipes voor ontwerp en gebruik van geautomatiseerde systemen weforum.org:

Veilige en effectieve systemen – Amerikanen moeten beschermd worden tegen onveilige of disfunctionerende AI (bijv. AI moet getest en gemonitord worden om te waarborgen dat het geschikt is voor het beoogde gebruik) weforum.org.
Bescherming tegen algoritmische discriminatie – AI-systemen mogen niet oneerlijk discrimineren en moeten op rechtvaardige wijze gebruikt worden weforum.org. Dit sluit aan op bestaande burgerrechtenwetgeving; AI mag in wezen geen achterdeurtje vormen voor discriminatie die bij menselijke beslissingen al verboden is.
Data privacy – Mensen moeten controle hebben over hoe hun data bij AI wordt gebruikt en worden beschermd tegen misbruik van data weforum.org. Het is geen nieuwe privacywet, maar benadrukt dat AI privacy niet mag schenden en data minimaal moet gebruiken.
Kennisgeving en uitleg – Mensen moeten weten wanneer een AI-systeem wordt gebruikt en kunnen begrijpen waarom het een besluit neemt dat hen raakt weforum.org. Dit vraagt transparantie en uitlegbaarheid, vergelijkbaar met de transparantie-eisen van de EU.
Menselijke alternatieven, overweging en terugvaloptie – Waar passend moet uitwijken naar menselijk ingrijpen of bezwaar maken mogelijk zijn weforum.org. Bijvoorbeeld: als AI je iets belangrijks weigert (zoals een hypotheek), moet je bij een mens terecht kunnen voor bezwaar of een herbeoordeling.

Deze principes weerspiegelen veel van de doelstellingen van de EU-verordening (veiligheid, eerlijkheid, transparantie, menselijk toezicht), maar cruciaal is dat de AI Bill of Rights geen wet is – het is een beleidskader zonder bindende kracht weforum.org. Vooralsnog geldt dit vooral voor federale overheidsinstanties en geeft het richting aan de manier waarop de overheid AI inkoopt en gebruikt. Er is de verwachting dat het ook als voorbeeld dient voor het bedrijfsleven, en sommige bedrijven steunen deze principes ook. Maar naleving is vrijwillig; er zijn geen sancties direct gekoppeld aan de AI Bill of Rights.

Los hiervan heeft de VS tot nu toe bestaande wetgeving gebruikt om flagrante AI-schade aan te pakken. Bijvoorbeeld: de Federal Trade Commission (FTC) heeft bedrijven gewaarschuwd dat ze gestraft kunnen worden voor oneerlijke of misleidende praktijken met AI (zoals valse claims over AI-vermogen, of AI inzetten waardoor consumenten schade lijden). De Equal Employment Opportunity Commission (EEOC) onderzoekt hoe arbeidswetgeving geldt voor AI-wervingssystemen – bijvoorbeeld als een AI systematisch oudere sollicitanten afwijst, kan dat discriminatieverbod ondermijnen. Dus er wordt gehandhaafd in de VS, maar via algemene wetten en niet via specifieke AI-wetgeving.

Toch begint het landschap in de VS te veranderen. In 2023-2024 zijn serieuze discussies in het Congres over AI-regulering, mede door de snelle opkomst van generatieve AI. Er zijn meerdere AI-wetsvoorstellen ingediend (over o.a. deepfake-labels, transparantie en aansprakelijkheid), maar er is nog niets aangenomen. Er wordt gesproken over een federale AI-veiligheidsautoriteit of om nieuwe bevoegdheden aan toezichthouders te geven. Het is plausibel dat de VS de komende jaren meer concrete AI-regels ontwikkelt, maar meer gericht dan een brede EU-wet. In de VS wordt per sector gereguleerd – bijvoorbeeld AI in de zorg moet voldoen aan FDA-richtlijnen, en de FDA heeft al beleid voor “Software as a Medical Device” dat ook AI-algoritmen dekt. Een ander voorbeeld: financiële toezichthouders (zoals CFPB of OCC) kijken naar AI in kredietmodellen en kunnen eerlijke behandeling afdwingen met bestaande wetten.

Op één gebied is de VS wel resoluut: AI in het kader van nationale veiligheid: De recente executive order verplicht ontwikkelaars van geavanceerde AI-modellen hun veiligheidstests te delen met de overheid als de modellen nationale veiligheidsrisico’s kunnen hebben (zoals het modelleren van gevaarlijke biologische agentia). Dit is een meer gerichte benadering dan de EU, die geen echt afzonderlijk regime voor nationale veiligheid kent buiten het politiedomein.

Samengevat is de VS-aanpak momenteel licht en principe-gedreven, met nadruk op innovatie en bestaande juridische kaders. Bedrijven worden aangemoedigd (maar nog niet gedwongen) ethische richtlijnen te volgen. Het verschil met de EU is dat de EU principes wettelijk afdwingt met audits en boetes, terwijl de VS ze vooral als advies gebruikt en vertrouwt op marktwerking en algemene wetgeving. Of de VS uiteindelijk convergeert met de EU (door eigen AI-wetgeving in te voeren) is een grote vraag. Er zijn stemmen die pleiten voor meer regulering voor concurrentiekracht en vertrouwen, maar er zijn ook felle waarschuwingen tegen overregulering die de tech-industrie zou kunnen schaden. Misschien zien we een middenweg: bijvoorbeeld transparantie vereisen bij bepaalde kritieke AI-systemen of certificering van AI voor gevoelige toepassingen zonder een volledig risicoklassificatiesysteem.

China’s AI-regelgeving en -normen: China heeft een heel ander politiek systeem en de AI-governance weerspiegelt zijn prioriteiten: sociale stabiliteit, controle over informatie en strategisch leiderschap op AI-gebied. China is zijn regelgevend kader zeer snel aan het uitbreiden, met een benadering die vooral streng is op het gebied van inhoud en gebruik, en die vaak via administratieve regels wordt toegepast.

Belangrijke elementen van China’s benadering zijn onder meer:

Verplichte beoordeling en censuur van AI-inhoud: In augustus 2023 implementeerde China de Tijdelijke Maatregelen voor Generatieve AI-diensten cimplifi.com. Deze regels vereisen dat elke publiek aangeboden generatieve AI (zoals chatbots of beeldgeneratoren) ervoor moet zorgen dat de inhoud in overeenstemming is met de kernwaarden van het socialisme en wettig en waarheidsgetrouw is. Aanbieders moeten proactief verboden inhoud filteren (alles wat als subversief, obsceen of anderszins illegaal onder het Chinese censuurregime kan worden beschouwd). Dit betekent dat Chinese AI-bedrijven sterke moderatiesystemen voor inhoud inbouwen. De regels vereisen ook labeling van AI-gegenereerde inhoud wanneer deze mensen kan misleiden over wat echt is cimplifi.com. Dit lijkt sterk op de deepfake-labelverplichting van de EU, maar in China wordt het gepresenteerd als maatregel om desinformatie die sociale onrust kan veroorzaken, te voorkomen.
Algoritmeregistraties: Nog voordat generatieve AI-regels golden, had China regelgeving voor aanbevelingsalgoritmen (sinds begin 2022). Bedrijven moesten hun algoritmen registreren bij de Cyberspace Administration of China (CAC) en informatie verstrekken over de werking ervan. Dit centrale register is bedoeld voor toezicht; de autoriteiten willen weten welke algoritmen worden gebruikt, vooral die welke de publieke opinie beïnvloeden (zoals nieuwsfeedalgoritmen).
Verificatie van echte namen en datacontroles: Chinese regelgeving vereist vaak dat gebruikers van AI-diensten zich met hun echte identiteit registreren (om misbruik te ontmoedigen en te kunnen traceren wie welke inhoud creëerde). Data die wordt gebruikt voor het trainen van AI, vooral als het om persoonsgegevens kan gaan, valt onder de Chinese Dataveiligheidswet en de Wet Bescherming Persoonsgegevens. Chinese bedrijven moeten dus ook rekening houden met toegangsvereisten van de overheid (de overheid kan toegang tot data en algoritmen eisen omwille van de veiligheid).
Beveiligingsbeoordelingen: In 2024-2025 bracht China’s normalisatie-instituut (NISSTC) concept-beveiligingsrichtlijnen voor generatieve AI uit cimplifi.com. Ze bevatten technische maatregelen voor gegevensbehandeling, modelsveiligheid, enz., in lijn met de focus van de overheid op AI die niet gemakkelijk misbruikt kan worden of verboden inhoud kan opleveren. In maart 2025 heeft de CAC de Maatregelen voor het Beheer van AI-gegenereerde Inhoudslabels afgerond (zoals genoemd) die het vanaf september 2025 verplicht stellen dat alle AI-gegenereerde inhoud duidelijk als zodanig wordt gelabeld cimplifi.com. Dit kruist met de vergelijkbare regel van de EU, hoewel China’s motivatie deels het bestrijden van “geruchten” en het behouden van controle over informatie is.
Brede ethische kaders: China heeft ook principes van hoog niveau gepubliceerd – zo bracht het Ministerie van Wetenschap en Technologie in 2021 ethische richtlijnen uit over AI, gericht op mensgerichtheid en bestuurbaarheid. In 2022 publiceerde het Nationale AI Governance Committee (een groep met meerdere belanghebbenden) een document met AI Governance Principles waarin harmonie, eerlijkheid en transparantie worden benadrukt. En in 2023 bracht China een AI Safety Governance Framework uit, in lijn met het globale AI-initiatief, met aandacht voor een mensgerichte benadering en risicocategorisatie cimplifi.com. Dit lijkt enigszins op OECD- of EU-principes en laat zien dat China zich ook als voorstander van “verantwoorde AI” wil profileren, binnen zijn eigen context (bijv. eerlijkheid betekent in China mogelijk het voorkomen van vooroordelen tegen minderheden, maar ook dat AI geen bedreiging vormt voor nationale eenheid).
Strikte toepassingen (of misbruiken) door rechtshandhaving: Terwijl de EU veel realtime biometrische toepassingen verbiedt, is China koploper in de inzet van AI-surveillance (zoals gezichtsherkenning in het openbaar, “smart city”-bewaking, enz.). Er zijn enkele regels die waarborgen moeten bieden dat het politiegebruik voor veiligheid is en gecontroleerd wordt, maar doorgaans heeft de staat veel speelruimte. Het sociale kredietsysteem bestaat in rudimentaire vorm (vooral op financieel gebied en rechterlijke dossiers), maar is niet zo sciencefictionachtig als vaak gedacht, en de EU heeft expliciet het “social scoring”-model verboden.

Feitelijk zijn China’s regels streng op inhoudscontrole en ethische richtlijnen, maar top-down geïmplementeerd. Waar de EU-wet bedoeld is om individuen te versterken en procesverantwoording te creëren, draait de Chinese aanpak om controle over aanbieders en zorgen dat AI de staatsdoelen niet doorkruist. Voor bedrijven betekent compliance in China nauwe samenwerking met de autoriteiten, censuur- en rapportagefuncties inbouwen, en afstemming op nationale doelen (bijv. AI inzetten voor economische ontwikkeling, maar niet voor dissidentie).

Je zou kunnen zeggen dat het Chinese regime “streng maar anders” is: het benadrukt geen transparantie naar het publiek (de doorsnee gebruiker krijgt meestal geen uitleg waarom een AI-besluit is genomen), maar wel traceerbaarheid en zichtbaarheid voor de overheid in AI-systemen. Het verbiedt ook direct toepassingen die in het Westen mogelijk (deels) toegestaan zouden zijn (zoals bepaalde vormen van politieke uitingen via AI).

Chinese AI-bedrijven, zoals Baidu of Alibaba, moesten modellen terugtrekken of hertrainen die politiek gevoelige output gaven. De ontwikkeling van grote modellen in China wordt sterk beïnvloed door deze regels – ze filteren trainingsdata vooraf om taboe-inhoud te verwijderen en stemmen modellen af om bepaalde onderwerpen te vermijden.

Interessant is dat sommige van China’s vereisten (zoals deepfake-labeling) overlappen met die van de EU, zij het om iets andere redenen. Dit wijst op een mogelijk samenvallen van technische normen – het labelen van AI-gegenereerde media zou een mondiale norm kunnen worden, zelfs als de drijfveren verschillen (EU: bescherming tegen misleiding; China: dat plus behoud van controle).

Andere landen: Buiten deze drie nog enkele vermeldenswaardige gevallen:

Canada: Zoals eerder genoemd, stelde Canada de Artificial Intelligence and Data Act (AIDA) voor als onderdeel van wetsvoorstel C-27 cimplifi.com. Die was gericht op “high-impact” AI-systemen met eisen voor effectbeoordelingen en enkele verboden. Dat wetsvoorstel is echter vastgelopen (begin 2025 niet aangenomen, feitelijk in het Parlement “gestrand” cimplifi.com). Canada pakt het later mogelijk weer op. Tot die tijd leeft Canada de principes na zoals afgesproken in internationale organisaties als de OESO.
Verenigd Koninkrijk: Het VK, dat afwijkt van de EU, publiceerde een White Paper over AI-regelgeving (maart 2023) met focus op pro-innovatie en lichte regelgeving. Het plan is bestaande toezichthouders (zoals de Health and Safety Executive, Financial Conduct Authority, enz.) te laten optreden als sectorale AI-regulatoren op basis van gemeenschappelijke principes (veiligheid, transparantie, eerlijkheid, verantwoordelijkheid, aanvechtbaarheid) cimplifi.com. Men besloot bewust om niet direct een nieuwe AI-wet te maken. Het VK houdt de ontwikkelingen rond de EU-wet in de gaten, en kan daarop inspelen, maar wil flexibiliteit behouden om AI-bedrijven aan te trekken. Ze organiseerden ook een AI Safety Summit (november 2023) om een positie in het wereldwijde debat te claimen. De Britse aanpak houdt de komende tijd minder beperkingen in, maar kan veranderen als AI-risico’s materialiseren.
Overige in de EU-invloedssfeer: De Raad van Europa (breder dan de EU) werkt aan een AI-Conventie die een juridisch verdrag zou kunnen zijn over AI-ethiek en mensenrechten – die wordt nog opgesteld, maar als daarover wordt besloten kan ze ondertekenaars (ook sommige niet-EU-landen) binden aan principes vergelijkbaar met, maar iets hoger dan, die van de EU-wet.
India, Australië, enz.: Veel landen publiceerden AI-ethiekrichtlijnen. Zo kiest India voor een raamwerkbenadering, meer gericht op innovatie, en voorlopig niet op een specifieke AI-wet, met focus op capaciteitsopbouw en enkele sectorspecifieke richtsnoeren. Australië ontwikkelt risicogebaseerde kaders, maar waarschijnlijk nog geen harde wetgeving. De algemene trend is iedereen erkent de noodzaak van AI-governance, maar de mate van harde regelgeving versus zachte richtlijnen verschilt.
Wereldwijde fora: UNESCO’s Aanbeveling inzake AI-ethiek (2021) werd door bijna 200 landen onderschreven en bestrijkt principes als proportionaliteit, veiligheid, eerlijkheid, enz. Het is niet bindend, maar duidt op een wereldwijd waardeconsensus. Ook de OESO AI-principes (2019) zijn breed aangenomen en informeerden zelfs de G20. Qua papier zijn dit soort internationale principes zeer in lijn met de EU-aanpak. De uitdaging is om ze grensoverschrijdend daadwerkelijk in de praktijk te brengen.

Het World Economic Forum en andere groepen bevorderen ook de dialoog. Zoals in het WEF-artikel benoemd, is de vraag: zien we een scenario van “uit elkaar gaande paden” (met de VS, China en EU elk een andere koers), of een “domino-effect” waarbij de stap van de EU navolging oproept weforum.org seniorexecutive.com. Er zijn aanwijzingen voor beide: de EU heeft duidelijk invloed gehad op landen als Brazilië en Canada; de VS lijken hun positie deels bij te stellen onder EU-druk (zo praten ze meer over transparantie, vermoedelijk als antwoord op de EU); de Chinese afstemming is gedeeltelijk (ze delen sommige technische standaardideeën maar niet het democratiseringsaspect).

Samengevat zou een vereenvoudigde vergelijking kunnen zijn:

EU: Uitgebreide, wettelijk bindende regelgeving over sectoren heen op basis van risico; focus op fundamentele rechten, met strenge handhaving (boetes, toezichthoudende instanties).
VS: Geen overkoepelende wet (per 2025); vertrouwend op brede principes (AI Bill of Rights) en sectorspecifieke handhaving; nadruk op innovatie en bestaande rechtskaders; nu meer zelfregulering vanuit de industrie.
China: Gedetailleerde overheidsregels om AI-uitvoer en -gebruik te controleren; nadruk op veiligheid, censuur en overheidscontrole; verplichte naleving van door de staat bepaalde ethische normen; handhaving via staatsinstanties met zware straffen (inclusief strafrechtelijk, bij overtreden van staatsregels).

Ondanks de verschillen erkennen alle drie de kwesties als bias, veiligheid en transparantie – ze stellen alleen andere prioriteiten en handhaven op andere manieren. Voor een wereldwijd bedrijf betekent dit navigeren tussen drie regimes: voldoen aan de strikte procedures van de EU, de Amerikaanse richtlijnen en opkomende staatsregels volgen, en voldoen aan de Chinese inhoudsregels en registratie-eisen als men daar opereert. Dit is uitdagend, en er zal druk zijn in internationale fora om de last te verlichten door bepaalde aspecten te harmoniseren (zoals het ontwikkelen van gezamenlijke technische standaarden voor AI-risicobeheer die door regelgevers in meerdere rechtsgebieden worden geaccepteerd).

Een hoopvol teken: samenwerking aan AI-standaarden (technische normen via ISO/IEC of andere organisaties) kan een bedrijf in staat stellen om AI te ontwikkelen volgens één set specificaties die vervolgens breed wordt geaccepteerd. De EU-wetgeving vermeldt zelfs dat het voldoen aan geharmoniseerde Europese standaarden (zodra die voor AI bestaan) het vermoeden van naleving geeft artificialintelligenceact.eu. Als die standaarden aansluiten bij wereldwijde normen, zou een bedrijf kunnen “bouwen op één manier, wereldwijd voldoen.”

Tot slot, als we vooruitkijken: naarmate AI-technologie evolueert (met zaken als GPT-5 of meer autonome AI-systemen), zullen de regels ook veranderen. De EU heeft herzieningsmechanismes ingebouwd om haar wet te vernieuwen. Mogelijk voeren de VS of anderen nieuwe wetten in bij een groot AI-incident dat tot actie aanzet (zoals sommige datalekken tot strengere privacywetten leidden). Internationale afstemming kan ook uit noodzaak ontstaan – bijvoorbeeld als AI grote grensoverschrijdende effecten krijgt (zoals een door AI veroorzaakte financiële crisis of iets dergelijks), zullen landen samenkomen om het te beheren.

Voor nu geldt dat elke organisatie die “voorop wil blijven lopen” met AI, alle fronten in de gaten moet houden: Europese naleving is een must voor toegang tot de EU-markt, Amerikaanse best practices zijn essentieel voor die grote markt, en inzicht in Chinese vereisten is cruciaal voor wie daar actief is. Een proactieve houding aannemen – het intern verankeren van ethische en veilige AI-principes – zorgt ervoor dat een bedrijf alle verschillende regimes aankan. Dit betekent vaak het creëren van een intern AI-governancekader dat voldoet aan de strengste standaard (vaak die van de EU), en vervolgens per regio aanpassen waar nodig.

Samenvattend: de EU AI Act zet per 2025 de toon in AI-regulering. Hoewel die uitdagingen biedt, vormt het ook een gestructureerd pad naar betrouwbare AI. Bedrijven en regeringen wereldwijd kijken toe en reageren – sommigen met strengere regelgeving, anderen met nadruk op innovatie. De komende jaren zal blijken hoe deze benaderingen samenkomen, en of we naar een meer geharmoniseerd wereldbestel gaan of een lappendeken waar AI-ontwikkelaars zorgvuldig doorheen moeten laveren. Hoe dan ook: wie op de hoogte blijft en zich tijdig voorbereidt – door de subtiliteiten van de EU-wet te begrijpen, te investeren in compliance-capaciteiten, en mee te denken in beleidsdiscussies – zal het beste gepositioneerd zijn om te floreren in dit nieuwe tijdperk van AI-toezicht.

Bronnen:

Europees Parlement, “EU AI Act: first regulation on artificial intelligence,” juni 2024 europarl.europa.eu europarl.europa.eu.
Europese Commissie, “Shaping Europe’s Digital Future – AI Act,” bijgewerkt 2025 digital-strategy.ec.europa.eu digital-strategy.ec.europa.eu.
Future of Life Institute, “High-Level Summary of the AI Act,” mei 2024 artificialintelligenceact.eu artificialintelligenceact.eu.
Orrick Law, “The EU AI Act: Oversight and Enforcement,” 13 september 2024 orrick.com orrick.com.
Senior Executive Media, “How the EU AI Act Will Reshape Global Innovation,” 2023 seniorexecutive.com seniorexecutive.com.
World Economic Forum, “What’s in the US ‘AI Bill of Rights’,” okt. 2022 weforum.org weforum.org.
Cimplifi, “The Updated State of AI Regulations for 2025,” aug. 2024 cimplifi.com cimplifi.com.
BSR, “The EU AI Act: Where Do We Stand in 2025?” 6 mei 2025 bsr.org bsr.org.