Wat doet de AI Act precies?

Kort gezegd: de wet kijkt niet alleen naar wie AI bouwt, maar ook naar wie het in de praktijk gebruikt of naar Europa haalt. De bedoeling? Meer veiligheid, transparantie en controle over hoe AI wordt ingezet.

Denk bijvoorbeeld aan een ziekenhuis dat AI gebruikt bij diagnoses, of een recruiter die automatisch cv's laat filteren. In zulke gevallen bepaalt de wet wie er verantwoordelijk is als er iets misgaat. Spoiler: dat ben je vaker dan je denkt.

Belangrijke punten op een rij:

• De wet, AI Act, kent risicoklassen, hoe risicovoller het systeem, hoe strenger de eisen.

• Ook AI van buiten de EU valt eronder als het hier gebruikt wordt.

• Niet alleen de bouwer van het systeem is verantwoordelijk: ook gebruikers en importeurs krijgen taken.

• Je rol bepaalt je plichten. Die goed inschatten is essentieel.
  

Aanbieder: jij zet het systeem op de markt

Ben jij degene die een AI-systeem ontwikkelt, of onder jouw naam op de markt brengt? Dan word je gezien als aanbieder. Je bent dan verantwoordelijk voor het hele plaatje: van ontwerp tot gebruiksinstructies.

Wat moet je regelen?

• Check of je systeem in de “hoog risico”-categorie valt.

• Zorg voor technische documentatie, gebruiksinstructies en risicobeoordelingen.

• Lever CE-markering en volg de juiste procedures.

• Blijf betrokken ná lancering: je moet fouten opsporen en oplossen.
  

Herkenbaar voorbeeld: Een Nederlandse softwarefirma ontwikkelt een AI-tool die bedrijven helpt bij personeelsselectie. Ze verkopen het onder hun eigen naam aan klanten in Europa. Daarmee zijn ze juridisch gezien aanbieder, en dus ook verantwoordelijk voor alles wat het systeem wel of niet doet.

Importeur: jij haalt AI naar de EU

Als jij AI-software inkoopt van buiten Europa en hier verkoopt, ben je importeur. En dat brengt verplichtingen met zich mee, ook al heb je het systeem niet zelf gebouwd.

Wat wordt er van je verwacht?

• Controleer of de aanbieder aan de Europese regels voldoet.

• Check documentatie, handleidingen en CE-markering.

• Laat jouw bedrijfsgegevens op het product zetten.

• Houd de papieren bij – soms tien jaar lang.

• Niet zeker van de conformiteit? Dan mag je het product niet verder verkopen.
  

Voorbeeld uit de praktijk: Een Nederlandse distributeur haalt een AI-gedreven diagnose-tool uit Canada. Ze moeten verifiëren of het systeem voldoet aan de EU-normen. Is dat niet het geval? Dan moet de verkoop worden uitgesteld tot alles klopt.

Gebruiker: jij zet het systeem in de praktijk in

Gebruik jij AI in je organisatie, bijvoorbeeld om documenten te analyseren, klantenservice te verbeteren of risico's in te schatten? Dan ben je volgens de wet een 'gebruiker', of in vaktaal: een deployer.

Wat zijn jouw taken?

• Gebruik het systeem volgens de instructies van de aanbieder.

• Zorg voor toezicht door medewerkers die snappen wat het systeem doet.

• Controleer of de data die je invoert klopt en representatief is.

• Houd systeemlogs bij, vooral bij high-risk AI.

• Informeer je personeel als AI op de werkvloer wordt gebruikt.
  

Voorbeeld: Een verzekeraar gebruikt AI om schadeclaims te beoordelen. Medewerkers krijgen uitleg over hoe het systeem werkt en houden toezicht op de uitkomsten. Ook worden logs opgeslagen zodat ze achteraf inzicht hebben in de beslissingen.

Rollen kunnen verschuiven

Let op: je kunt meerdere rollen tegelijk vervullen. Of je rol verandert ongemerkt.

Wanneer gebeurt dat?

• Je past het systeem technisch aan of traint het opnieuw.

• Je brengt het op de markt onder je eigen merk.

• Je wijkt af van de oorspronkelijke toepassing.

Gevolg: je bent ineens geen gewone gebruiker meer, maar aanbieder – met bijbehorende plichten.

Voorbeeld: Een zorginstelling koopt een AI-tool in, maar past zelf het algoritme aan en rolt het uit onder de eigen naam. Daarmee wordt zij (mede)aanbieder, en dus ook verantwoordelijk voor de correcte werking ervan.

Tips om je rol goed te vervullen

Aanbieders:

• Begin vroeg met technische documentatie en risicobeoordeling.

• Informeer gebruikers helder en volledig.
  

Importeurs:

• Vraag om bewijs dat de aanbieder aan de AI Act voldoet.

• Weiger systemen die niet aantoonbaar veilig zijn.
  

Gebruikers:

• Zorg voor goede training en toezicht in je organisatie.

• Houd logs bij en controleer regelmatig de werking van het systeem.
  

Veelgestelde vragen

Geldt de AI Act al? De wet is aangenomen en treedt stapsgewijs in werking. De verplichtingen gaan dus binnenkort gelden.

Wat als ik mijn rol verkeerd inschat? Dan kun je verantwoordelijk worden gehouden voor fouten of schade. Ook boetes zijn mogelijk.

Is AI-gebruik in mijn bedrijf altijd risicovol? Niet per se. Alleen bij high-risk toepassingen gelden zware regels, maar ook bij lichtere vormen moet je alert zijn.

Conclusie

De AI Act is geen ver-van-je-bed-show. Of je nu ontwikkelt, importeert of gebruikt, je hebt een rol en dus ook verantwoordelijkheid. Wie zijn positie helder heeft, voorkomt gedoe en bouwt vertrouwen op. Want AI is krachtig, maar moet goed worden ingezet. Precies dat is wat deze wet probeert te regelen.

Bronnen (klikbare links)

• Skadden: What Businesses Need to Know about the EU AI Act

• Orrick: The EU AI Act - Who and What Is Covered?

• WilmerHale: Obligations for Deployers, Providers, Importers

• ArtificialIntelligenceAct.eu – Artikelen 16, 24, 25, 26

• Stephenson Harwood: Provider vs. Deployer

• ActiveMind Legal: EU AI Act Guide

• Steptoe: EU AI Act Obligations for Distributors