Ga naar de inhoud
Support Plan kort gesprek

Volg ons

03.02.2026

Wat is de EU AI Act? Waarom deze relevant is voor jouw organisatie

Geschreven door Marco

Leestijd 5 minuten

De EU AI Act is een EU-verordening voor het aanbieden en gebruiken van AI-systemen. Ook als je AI-tools gebruikt, kun je verplichtingen hebben (vaak ben je dan deployer). De wet werkt met 4 risicolagen: verboden, high-risk, transparantieplicht en minimaal risico. Per toepassing bepaal je wat er geldt. Belangrijke momenten: sinds 2 februari 2025 gelden onder meer AI-geletterdheid en verboden praktijken. De volgende grote stap volgt op 2 augustus 2026. Er zitten tussenstappen tussen, maar wat voor jou telt hangt af van je rol en risicoklasse. Praktisch begin je met overzicht: maak een AI-register (tools, functies, processen, data, eigenaar, advies of beslissing). Classificeer daarna per toepassing en leg je argumentatie vast. Regel basismaatregelen die vaak terugkomen: AI-geletterdheid per rol, afspraken over transparantie (chatbots en AI-content), menselijke controle waar nodig, en duidelijke eigenaarschap per toepassing.

Inhoud van dit artikel

Regels voor AI in je werk

Je gebruikt AI in je werk. De ene keer bewust, de andere keer omdat het ineens in een tool zit na een update. De EU heeft regels gemaakt voor het aanbieden en gebruiken van AI-systemen: de EU AI Act.

Wat betekent dit voor jouw organisatie? Wat moet je regelen, zodat je geen risico loopt en je medewerkers weten wat wel en niet kan? Zeker omdat delen van de EU AI Act al gelden sinds 2 februari 2025 en de volgende grote stap op 2 augustus 2026 komt. Tussen 2 februari 2025 en 2 augustus 2026 zitten nog tussenstappen, maar welke datum voor jou echt telt hangt af van je rol (provider of deployer) en van de risicoklasse van de AI die je gebruikt.

Je leest hieronder wat de EU AI Act is, hoe het risicomodel werkt, welke onderdelen al tellen en welke basismaatregelen in veel organisaties logisch zijn.

Definitie van de EU AI Act

De EU AI Act is een Europese verordening met regels voor het aanbieden en gebruiken van AI-systemen. De wet kijkt vooral naar risico. Hoe groter het risico voor gezondheid, veiligheid en grondrechten, hoe zwaarder de verplichtingen.

De wet geldt voor organisaties die AI-systemen of general-purpose AI modellen op de markt brengen of in gebruik nemen in de EU. Ook als de leverancier buiten de EU zit, kan de wet gelden als de output in de EU wordt gebruikt.

De EU AI Act gebruikt rollen:

  • Provider: ontwikkelt een AI-systeem (of laat het ontwikkelen) en brengt het onder eigen naam op de markt of zet het zelf in.
  • Deployer: gebruikt een AI-systeem onder eigen verantwoordelijkheid. Dat geldt ook als medewerkers of ingehuurde partijen het namens jouw organisatie gebruiken.
  • Operator: verzamelnaam voor provider, deployer, importeur, distributeur en meer.

Een AI-systeem is in de wet breed omschreven. Het gaat om een machine-based systeem dat met een zekere autonomie werkt, na uitrol adaptief kan zijn en uit input afleidt hoe het outputs maakt zoals voorspellingen, content, aanbevelingen of beslissingen.

Praktisch betekent dit: veel software met (generatieve) AI-functies kan hieronder vallen, zoals chatbots, copilots en systemen die aanbevelingen doen of beslissingen ondersteunen.

Waarom de EU AI Act belangrijk is

Je merkt pas dat dit belangrijk is als je het terugbrengt naar jouw praktijk:

  • Je wil weten of je AI inzet die verboden is
  • Je wil weten of je AI inzet die high-risk is, met zware plichten.
  • Je wil weten waar je transparant moet zijn, bijvoorbeeld richting relaties of kandidaten.
  • Je wil kunnen laten zien dat je je basis op orde hebt, zoals AI-geletterdheid bij je team.

De EU AI Act helpt je om AI-gebruik in te delen op risico. Dat geeft richting. Het voorkomt dat je alles als “grote compliance” behandelt of juist alles wegwuift als “iets van de leverancier”.

Een keer sparren?

Soorten of niveaus van AI-risico in de EU AI Act

De EU AI Act werkt met vier risicolagen. Die lagen helpen je om per toepassing te bepalen wat er speelt.

1) Onacceptabel risico (verboden)
Bepaalde toepassingen zijn verboden. Denk aan manipulatieve of misleidende technieken die gedrag ernstig kunnen vervormen, het uitbuiten van kwetsbaarheden, social scoring, emotieherkenning op de werkplek of in onderwijs (met beperkte uitzonderingen) en bepaalde vormen van biometrische categorisatie.

2) High-risk (zware plichten)
High-risk AI-systemen zitten in impactvolle domeinen, zoals werk, onderwijs, toegang tot diensten, kredietwaardigheid, biometrie, migratie en rechtspraak. De exacte indeling staat in annexen en classificatieregels.

Gebruik je high-risk AI als deployer, dan krijg je eigen verplichtingen. In de kern gaat het om:

  • werken volgens instructies en zorgen voor passende menselijke controle
  • zorgen voor kwaliteit en relevantie van inputdata die jij beheert, waar dit relevant is
  • monitoring, logs waar vereist en meewerken met toezichthouders
  • in bepaalde situaties personen informeren als zij onderworpen zijn aan high-risk AI die beslissingen maakt of ondersteunt

In specifieke gevallen moet je vooraf ook een fundamental rights impact assessment uitvoeren, bijvoorbeeld bij bepaalde deployers en in specifieke Annex III-situaties. Het is dus geen standaardstap bij elke high-risk toepassing.

3) Beperkt risico (transparantieplicht)
Voor sommige systemen geldt vooral een transparantieplicht. Dit speelt bijvoorbeeld als mensen met een AI-systeem interacteren of als content AI-gegenereerd of gemanipuleerd is (zoals deepfakes).

4) Minimaal risico (weinig extra plichten)
Voor veel alledaagse toepassingen gelden geen extra producteisen uit de AI Act. Maar andere wetten kunnen wel spelen, zoals AVG, consumentenrecht of sectorregels.

Een simpele vuistregel: als je niet weet welke AI-functies je gebruikt, kan je ook niet goed classificeren. Begin daarom met overzicht.

Een keer sparren?

Voorbeelden uit de praktijk

Dit zijn voorbeelden die je in een organisatie kunt tegenkomen, gebaseerd op situaties uit het brondocument.

1) Chatbot of voicebot in klantcontact
Als mensen met een AI-systeem interacteren, moet je dat laten weten, tenzij dat overduidelijk is. Een praktische, korte melding kan al genoeg zijn, zolang die duidelijk en toegankelijk is.

Voorbeeldtekst: “Je chat met een AI-assistent. Voor complexe of gevoelige vragen kijkt een medewerker mee. Deel geen vertrouwelijke informatie.”

2) Marketing of communicatie met AI-beeld, AI-audio of AI-video
Bij deepfakes geldt een disclosureplicht dat het AI-gegenereerd of gemanipuleerd is, met uitzonderingen. Ook hier helpt een vaste standaardtekst.

Voorbeeldtekst: “Dit beeld is (gedeeltelijk) gegenereerd of aangepast met AI.”

3) HR en mensenbeoordeling
Gebruik je AI in processen rond werk, bijvoorbeeld voor selectie of beoordeling, dan kom je sneller in situaties waar high-risk plichten kunnen spelen. Daarnaast is emotieherkenning op de werkplek in de regel verboden, met beperkte uitzonderingen.

4) IT of operations ontdekt AI-features in bestaande tools
Veel organisaties gebruiken al tools met AI-features, zoals copilots, CRM, servicedesk of analytics. Dan helpt het als je per toepassing vastlegt: doel, doelgroep, inputdata, output en of AI adviseert of beslist. Dat maakt de volgende stap, classificatie, veel eenvoudiger.

Waar het vaak misgaat

Je denkt dat je geen plichten hebt omdat je alleen inkoopt
Als deployer blijf je verantwoordelijk voor hoe je het systeem gebruikt. Dat gaat onder meer over doel, context, data-invoer, menselijke controle en transparantie.

Voorkomen: wijs per toepassing een eigenaar aan en leg vast waarvoor je het gebruikt.

Je start met regels, zonder overzicht
Zonder inventaris mis je AI-functies die al in tools zitten. Dan ga je pas zoeken als er een vraag komt van HR, marketing of een auditor.

Voorkomen: maak een AI-register. Leg ook AI-functies in bestaande tools vast.

Je regelt AI-geletterdheid te laat of te vaag
AI-geletterdheid is een verplichting uit de EU AI Act (artikel 4) voor providers en deployers. De EU AI Office en de Autoriteit Persoonsgegevens delen uitleg en voorbeelden van hoe je dit in de praktijk kunt aanpakken. De wet vraagt afstemming op rol, context en het doel waarvoor je AI inzet. De wet schrijft geen specifieke cursus met certificaat voor, maar je moet wel kunnen aantonen dat je dit serieus borgt.

Voorkomen: leg minimaal vast wat je beleid is, welke rollen je hebt, wie wat moet weten en hoe je dat aantoonbaar maakt (registratie en periodieke herhaling).

Je vergeet transparantie in content en interactie
Transparantie raakt vaak meerdere teams. Als je geen vaste aanpak kiest, gaat iedereen het anders doen.

Voorkomen: maak standaardmeldingen voor chatbots en voor AI-gegenereerde of gemanipuleerde content en zet erbij wanneer je uitzonderingen verwacht.

Je behandelt alles als high-risk of juist niets
Als je alles te zwaar maakt, krijg je stilstand. Als je alles te licht maakt, loop je risico op verboden toepassingen of ontbrekende transparantie.

Voorkomen: classificeer per toepassing in de vier risicolagen en leg je argumentatie vast.

Van regels naar eerste acties

De EU AI Act is een Europese verordening die regels geeft voor het aanbieden en gebruiken van AI-systemen. De wet werkt met risicolagen. Dat helpt je om per toepassing te bepalen of iets verboden is, high-risk is, vooral transparantie vraagt of weinig extra plichten heeft.

Sinds 2 februari 2025 gelden onder meer AI-geletterdheid en verboden praktijken. De volgende grote stap in toepasselijkheid volgt op 2 augustus 2026. Wat jij precies moet regelen hangt af van jouw rol per toepassing en de risicoklasse.

Ons gespecialiseerde AI en Automation team kijkt graag met je mee als je van “we gebruiken allerlei AI” naar overzicht en afspraken wil. Dan breng je eerst je toepassingen in kaart, daarna maak je keuzes per risicolaag en leg je vast wie wat doet.

Een kleine, concrete vervolgstap: pak je top 5 AI-toepassingen of AI-features en noteer per stuk doel, doelgroep, inputdata, output en of het advies geeft of beslissingen ondersteunt. Als dat op papier staat, wordt de rest veel minder vaag.

Marco ‐ IT-marketeer bij Symbis

Meer van mijn artikelen lezen?

Volg mij ook op LinkedIn