Stel, u runt een middelgroot logistiek bedrijf in Amsterdam. U hebt net een gloednieuwe AI-tool geïntegreerd die automatisch sollicitanten screent, waardoor uw HR-team elke week uren werk bespaart. Klinkt geweldig, toch? Welnu, onder een van de strengste AI-regelgevingen ter wereld valt die tool nu onder streng wettelijk toezicht, en als u niet voorbereid bent, kunt u boetes krijgen tot 35 miljoen euro of 7% van uw wereldwijde jaaromzet, afhankelijk van welk bedrag het hoogst is.
Welkom in het tijdperk van de EU-AI-wet. De EU-wet inzake kunstmatige intelligentie, die nu van kracht is, is ‘s werelds eerste uitgebreide wettelijke kader dat specifiek is ontworpen om kunstmatige intelligentie te reguleren. Voor Nederlandse bedrijven, of u nu een tech-startup in Amsterdam, een detailhandelaar in Eindhoven of een zorgverlener in Utrecht bent, is deze regelgeving niet iets dat u kunt negeren.
Wat is de EU-AI-wet precies?
Zie de AI-wet als de ambitieuze neef van de AVG. Net zoals de Algemene Verordening Gegevensbescherming (AVG) de manier waarop bedrijven omgaan met persoonsgegevens heeft veranderd, zal de AI-wet een fundamentele verandering teweegbrengen in de manier waarop bedrijven kunstmatige intelligentie ontwikkelen, implementeren en gebruiken in de Europese Unie.
De verordening is van toepassing op elke organisatie die AI-systemen op de EU-markt brengt of AI-systemen binnen de EU gebruikt, ongeacht waar het bedrijf zijn hoofdkantoor heeft. Dus ja, Nederlandse bedrijven vallen hier zeker onder, evenals internationale bedrijven die Nederlandse klanten bedienen.
De kern van de wet is een risicogebaseerde aanpak. Niet alle AI is gelijk. Een algoritme voor muziekaanbevelingen op een streamingplatform brengt heel andere risico’s met zich mee dan een AI-systeem dat beslist of iemand een banklening krijgt. De wet categoriseert AI-systemen op basis daarvan en stelt regels vast die in verhouding staan tot hun potentiële impact op het leven van mensen.
Wat betekent dit concreet voor Nederlandse bedrijven?
Nederland is een van de meest digitaal geavanceerde economieën van Europa. Het gebruik van AI door Nederlandse bedrijven neemt gestaag toe, met name in sectoren als de financiële dienstverlening, productie, logistiek en detailhandel. Dit betekent dat een aanzienlijk deel van de Nederlandse bedrijven al gebruikmaakt van AI-tools die mogelijk onder de AI-wet vallen.
Hier volgen enkele concrete, praktijkgerichte scenario’s om u te helpen begrijpen hoe de wet van toepassing is:
• Een Nederlandse bank die een AI-model gebruikt om kredietaanvragen te beoordelen, moet ervoor zorgen dat het model transparant en controleerbaar is en niet discrimineert. Er moeten mechanismen voor menselijk toezicht zijn.
• Een ziekenhuis in Amsterdam dat AI gebruikt om medische scans te analyseren, moet voldoen aan strenge eisen op het gebied van gegevenskwaliteit en documentatie, en ervoor zorgen dat medische professionals altijd de conclusies van de AI kunnen negeren.
• Een Nederlands HR-techbedrijf dat AI-wervingsinstrumenten aan andere bedrijven verkoopt, moet zijn product registreren in de AI-database van de EU en conformiteitsbeoordelingen uitvoeren voordat het op de markt wordt gebracht.
• Een winkelketen die gebruikmaakt van AI-gestuurde dynamische prijsbepaling, moet controleren of deze onder de transparantieverplichtingen valt en ervoor zorgen dat klanten niet worden misleid.
Belangrijkste verplichtingen voor aanbieders en gebruikers van risicovolle AI
De AI-wet maakt een onderscheid tussen twee hoofdgroepen: aanbieders (bedrijven die AI-systemen ontwikkelen of leveren) en gebruikers (bedrijven die AI-systemen gebruiken in hun bedrijfsvoering). Beide hebben verplichtingen, maar aanbieders hebben de zwaarste regelgevingslast.
Als uw bedrijf een aanbieder is van risicovolle AI, moet u een conformiteitsbeoordeling uitvoeren om aan te tonen dat uw systeem voldoet aan de eisen van de wet, gedetailleerde technische documentatie bijhouden, uw systeem registreren in een openbaar toegankelijke EU-database, robuust gegevensbeheer en bias-tests implementeren en een kwaliteitsmanagementsysteem opzetten.
Als uw bedrijf een gebruiker is van risicovolle AI (wat betekent dat u een door iemand anders ontwikkelde tool gebruikt), moet u ervoor zorgen dat u het systeem gebruikt volgens de instructies van de aanbieder, in bepaalde gevallen een effectbeoordeling op het gebied van grondrechten uitvoeren, logboeken bijhouden van de werking van het systeem en te allen tijde zorgen voor zinvol menselijk toezicht.
Zie het als volgt: de leverancier is de autofabrikant en de gebruiker is de bestuurder. De fabrikant moet ervoor zorgen dat de auto rijklaar en veilig is. De bestuurder moet zich aan de verkeersregels houden en mag de auto niet roekeloos gebruiken. Beiden zijn verantwoordelijk, maar op verschillende manieren.
De tijdlijn: wanneer treden de regels in werking?
Een van de belangrijkste dingen om te begrijpen over de AI-wet is dat deze in fasen wordt geïmplementeerd. U hoeft niet van de ene op de andere dag aan alles te voldoen, maar u moet nu wel beginnen met plannen.
• Fase 1 (reeds van kracht): De wet is nu van kracht. Verboden op AI-systemen met onaanvaardbare risico’s worden al gehandhaafd. Als u verboden AI-toepassingen gebruikt, is het nu tijd om actie te ondernemen.
• Fase 2 (binnenkort): Er zullen regels gelden voor algemene AI-modellen (GPAI), waaronder transparantievereisten voor ontwikkelaars van grote AI-modellen. Nederlandse technologiebedrijven die voortbouwen op AI-modellen moeten zich gaan voorbereiden.
• Fase 3 (binnen twee jaar na inwerkingtreding van de wet): Volledige verplichtingen voor AI-systemen met een hoog risico worden van kracht, waaronder conformiteitsbeoordelingen en registratievereisten. Dit is de belangrijke deadline waar de meeste Nederlandse bedrijven rekening mee moeten houden in hun planning.
• Fase 4 (binnen drie jaar na inwerkingtreding van de wet): AI-systemen met een hoog risico in gereguleerde productsectoren, zoals medische hulpmiddelen, moeten ook aan de regels voldoen. Zorgverleners en medtechbedrijven, let op.
De voorbereidingstijd is begonnen, maar deze is niet onbeperkt. Gezien de omvang van de vereiste documentatie, risicobeoordelingen en interne proceswijzigingen, kunnen bedrijven het beste nu meteen beginnen met het in orde brengen van hun compliance.
Algemene AI: een speciale vermelding voor Nederlandse techbedrijven
Nu tools zoals ChatGPT en soortgelijke grote taalmodellen steeds meer verweven raken met de bedrijfsvoering, introduceert de AI Act specifieke regels voor algemene AI-modellen (GPAI). Dit zijn AI-systemen die voor een breed scala aan taken kunnen worden gebruikt, niet alleen voor één specifiek doel.
Aanbieders van GPAI-modellen moeten technische documentatie verstrekken en voldoen aan de EU-auteursrechtwetgeving. Voor GPAI-modellen die als een systeemrisico worden beschouwd (over het algemeen modellen die zijn getraind op zeer grote rekenkracht), gelden aanvullende verplichtingen, waaronder adversarial testing, incidentrapportage en cyberbeveiligingsmaatregelen.
Voor Nederlandse technologiebedrijven die producten bouwen op basis van GPAI-modellen is het belangrijk om te begrijpen dat aansprakelijkheid zowel stroomopwaarts als stroomafwaarts kan liggen. Het is van cruciaal belang om te weten wie waarvoor verantwoordelijk is in uw AI-toeleveringsketen.
Wie gaat de AI-wet in Nederland handhaven?
Elke EU-lidstaat is verplicht een nationale bevoegde autoriteit aan te wijzen om toe te zien op de naleving van de AI-wet. In Nederland zal de Autoriteit Persoonsgegevens naar verwachting een sleutelrol spelen, gezien haar bestaande mandaat op het gebied van gegevens en digitale rechten. Nederland neemt ook actief deel aan het EU-AI-bureau, het orgaan dat op het niveau van de Europese Commissie is opgericht om het AI-beleid in de lidstaten te coördineren.
De sancties voor niet-naleving zijn streng. Overtredingen met betrekking tot verboden AI-systemen kunnen leiden tot boetes tot 35 miljoen euro of 7% van de wereldwijde jaaromzet. Overtredingen van andere verplichtingen kunnen leiden tot boetes tot 15 miljoen euro of 3% van de wereldwijde jaaromzet. Het verstrekken van onjuiste informatie aan autoriteiten kan leiden tot boetes tot 7,5 miljoen euro of 1,5% van de wereldwijde jaaromzet.
Hoe u kunt beginnen met het naleven van de AI-wet: 5 praktische stappen
Voelt u zich een beetje overweldigd? Dat is volkomen normaal. Hier is een eenvoudig, praktisch stappenplan om uw Nederlandse bedrijf in de juiste richting te sturen:
• Maak een inventarisatie van uw AI. Voer een interne audit uit van alle AI-systemen die uw bedrijf gebruikt of levert. Ja, dit omvat ook tools van derden en door leveranciers geleverde software. U moet een duidelijk beeld hebben van uw AI-landschap voordat u uw risicoblootstelling kunt beoordelen.
• Classificeer uw risico. Wijs elk AI-systeem toe aan de juiste risicocategorie. Als u twijfelt, vraag dan juridisch advies of raadpleeg de door de Europese Commissie gepubliceerde richtsnoeren. Er staat te veel op het spel om te gissen.
• Begrijp uw rol. Bent u een leverancier, een implementator of beide? Uw verplichtingen verschillen aanzienlijk, afhankelijk van uw rol in de AI-waardeketen.
• Investeer in documentatie en governance. Begin met het opzetten van de interne processen, documentatiekaders en mechanismen voor menselijk toezicht die de wet vereist. Dit is geen eenmalige taak, maar vereist voortdurende inzet.
• Train uw team. De AI-wet is niet alleen een zaak voor de juridische afdeling. Uw datawetenschappers, productmanagers, HR-teams en klantenservicemedewerkers moeten allemaal begrijpen hoe de wet hun werk beïnvloedt. Maak AI-kennis tot een zakelijke prioriteit.
De kans die schuilgaat achter de regelgeving
Hier is een perspectief dat de moeite waard is om vast te houden: regelgeving is niet alleen een last om aan te voldoen. Voor Nederlandse bedrijven die bereid zijn om deze proactief te omarmen, is de AI-wet een echt concurrentievoordeel.
Consumenten en zakelijke partners hechten steeds meer waarde aan betrouwbare AI. Bedrijven die kunnen aantonen dat ze beschikken over robuust AI-beheer, transparantie en ethisch ontwerp, zullen zich onderscheiden. In sectoren als de gezondheidszorg, de financiële sector en HR, waar vertrouwen alles is, is het een krachtig onderscheidend vermogen om te kunnen zeggen dat uw AI volledig voldoet aan de EU-wetgeving.
Nederland heeft altijd boven zijn gewicht gebokst op het gebied van innovatie. Nederlandse bedrijven die nu vooroplopen op het gebied van AI-compliance, zullen beter gepositioneerd zijn om uit te breiden in Europa, internationale partnerschappen aan te trekken en het soort langdurige klantvertrouwen op te bouwen dat geen enkele marketingcampagne kan kopen.
Van innovatie naar verantwoordelijkheid: navigeren door de EU AI-wet
De EU-AI-wet is misschien wel de belangrijkste technologische wetgeving sinds de AVG. Voor Nederlandse bedrijven luidt deze wet een nieuw tijdperk in waarin AI niet alleen een hulpmiddel is om efficiënt te werken, maar ook een verantwoordelijkheid met zich meebrengt.
De belangrijkste punten zijn duidelijk: weet welke AI-systemen u gebruikt, begrijp uw risicocategorie, bepaal of u een aanbieder of gebruiker bent, begin nu met het opzetten van uw nalevingsprocessen en train uw medewerkers. Het gefaseerde tijdschema geeft u ruimte om te handelen, maar niet om uit te stellen.
Het goede nieuws is dat het Nederlandse bedrijfsleven geen onbekende is met het aanpassen aan regelgeving. U hebt de AVG doorlopen, dus u kunt dit ook doorlopen, en de bedrijven die dit met enthousiasme in plaats van met tegenzin doen, zullen als winnaar uit de bus komen.
Klaar om de volgende stap te zetten? Begin deze week met een interne AI-audit. Breng alle AI-tools in kaart die uw bedrijf gebruikt, documenteer ze en markeer alle tools die een hoog risico kunnen vormen.
De AI-wet vormt geen bedreiging voor innovatie. Het is een uitnodiging om AI te bouwen die mensen daadwerkelijk kunnen vertrouwen. En dat is voor vooruitstrevende Nederlandse bedrijven de grootste kans van het decennium.
