top of page

Toezicht Inside

Zoeken

Nederlandse bedrijven onvoorbereid op AI-wetgeving

Nederlandse bedrijven onvoorbereid op AI-wetgeving

Nieuwsbericht

Volgens onderzoek van de Kamer van Koophandel (KVK) zijn Nederlandse ondernemers grotendeels niet voorbereid op de Europese AI Act. De wet, die sinds 2024 van kracht is en vanaf 2026 volledig wordt toegepast, wordt door maar weinig bedrijven actief geïntegreerd in hun beleid. (KVK)

Belangrijkste resultaten

  • Ongeveer 50% van de ondernemers geeft aan de wet niet te kennen. Slechts 7% zegt goed op de hoogte te zijn. Slechts 2–3% is al maatregelen aan het treffen.

  • Middelgrote mkb's (10+ medewerkers) verwachten meer impact (44%) dan kleinere bedrijven (22%). Toch neemt ook in de middelgrote categorie vrijwel niemand concrete stappen.

  • Gebruik van AI toepassingen als ChatGPT of Microsoft Copilot komt voor bij drie op de tien ondernemers; in de zakelijke dienstverlening ligt dat hoger (ongeveer 46%). Generatieve AI wordt door een kwart van de ondernemers belangrijk geacht.

  • Vier op de tien ondernemers weten niet of de wetgeving op hen van toepassing is. Vooral zelfstandigen geven aan niet te weten waar te beginnen.

Praktijkimplicaties

Bedrijven die nu niets doen lopen potentieel risico op complianceproblemen, juridische sancties of reputatieschade zodra de AI Act volledig geldt. Dit geldt zowel voor bedrijven die AI ontwikkelen als voor zij die AI-systemen inzetten. Voor middelgrote bedrijven is de noodzaak duidelijker, maar zelfs daar is actie nog zeldzaam.

Juridisch kader van de AI Act

Hierna wordt uiteengezet wat de AI Act wettelijk inhoudt, welke verplichtingen gelden, wat de risicocategorieën zijn, en wat de gevolgen kunnen zijn voor uw organisatie.


Doel en reikwijdte

De AI Act (Regulering van de Europese Unie, officiële verordening) is bedoeld om te zorgen dat AI-systemen veilig zijn, fundamentele rechten gerespecteerd worden, en dat er heldere regels gelden voor zowel aanbieders als gebruikers van AI binnen de EU.


De wet geldt direct in alle lidstaten (EU-verordening), zonder dat nationale wetgeving eerst aangepast moet worden. Verplichtingen gelden zowel voor ontwikkelaars (providers) van AI-systemen als voor organisaties die AI inzetten (gebruikers).


Risicocategorieën

De wet maakt onderscheid tussen vier risiconiveaus, met oplopende verplichtingen naarmate het risico toeneemt.

  • Onacceptabel risico: toepassingen die verboden zijn. Bijvoorbeeld systemen die mensen manipuleren, discrimineren of ingrijpen in fundamentele rechten zonder legitieme grondslag.

  • Hoog risico: toepassingen met belangrijke gevolgen voor veiligheid, gezondheid, rechten of fundamentele vrijheden. Voorbeelden zijn medische AI-software, biometrische identificatie of AI bij onderwijs of financiële sectoren.

  • Beperkt risico: systemen die niet onder hoog risico vallen maar waarbij transparantieverplichtingen gelden, zoals gebruik van chatbots of generatieve AI, met verplichting om gebruikers te informeren dat zij te maken hebben met AI.

  • Minimaal risico: de meeste toepassingen; weinig tot geen specifieke verplichtingen, behalve algemene beginselen zoals eerlijkheid, veiligheid en transparantie indien relevant.

Verplichtingen voor aanbieders en gebruikers

Afhankelijk van risiconiveau verschillen de verplichtingen. Enkele kernverplichtingen:

  • Voor hoog risico systemen geldt dat een conformiteitsbeoordeling (conformity assessment) moet worden uitgevoerd voordat het systeem op de markt gebracht wordt.

  • Transparantie: indien u een AI-systeem inzet, moet duidelijk zijn voor betrokkenen dat zij met een AI-systeem te maken hebben (bijv. chatbot, gegenereerde content).

  • Documentatie: bij hoog risico systemen moeten technische documentatie, datakwaliteit, procedures voor toezicht door mensen (human oversight) aanwezig zijn.

  • Risicobeoordeling: u moet vaststellen of uw AI-toepassing onder de wet valt, in welke risicocategorie deze valt, en welke maatregelen nodig zijn om aan de wettelijke eisen te voldoen.

Inwerkingtreding en overgangsperiode

  • De AI Act trad in augustus 2024 formeel in werking.

  • Bepaalde verplichtingen, zoals verboden praktijken en verplichtingen voor AI-geletterdheid, gelden al vanaf februari 2025.

  • De volledige werking voor alle onderdelen is gepland voor 2026.

Gevolgen voor uw organisatie

Op basis van het nieuwsbericht en het wettelijke kader kunnen de volgende consequenties gelden:

  • Organisaties die straks onder de categorie hoog risico vallen en niet tijdig voldoen, riskeren boetes of andere sancties van toezichthouders.


  • Onzekerheid over de toepasselijkheid van de wet moet worden weggenomen, onder andere door te inventariseren welke AI-systemen gebruikt worden, waarvoor ze worden ingezet, en welke risicocategorie van toepassing is.


  • Gebruikers van AI-systemen (niet alleen ontwikkelaars) zullen verantwoordelijk worden gehouden voor correct gebruik, transparantie en training van medewerkers.


  • Voor mkb-bedrijven zullen besluiten rond AI-gebruik onderdeel moeten worden van governance, compliance en mogelijk contractuele afspraken met leveranciers.


FAQ

Wanneer geldt de AI Act volledig voor alle bedrijven? De AI Act is sinds augustus 2024 van kracht. Vanaf 2025 gelden sommige verplichtingen gefaseerd; de volledige werking van alle onderdelen is voorzien in 2026.

Hoe bepaalt u of uw toepassing onder hoog risico valt? U moet nagaan of de AI-toepassing betrekking heeft op sectoren en doeleinden zoals genoemd in Annex III van de AI Act, of onder harmonisatiewetgeving valt. Artikel 6 van de AI Act geeft criteria voor classificatie als hoog risico.

Wat zijn verboden AI-toepassingen? Toepassingen met onaanvaardbaar risico zijn verboden: bijvoorbeeld systemen die manipulatie, discriminatie of ernstige inbreuk op fundamentele rechten bewerkstelligen.

Moet u als gebruiker van een generatieve AI-tool (zoals ChatGPT) al maatregelen nemen?Ja, in veel gevallen. Zelfs bij beperkt risico gelden verplichtingen rond transparantie (bijvoorbeeld gebruikers informeren), en het is belangrijk om te beoordelen of het systeem onder strengere regels valt.


Welke sancties kunnen volgen bij niet-naleving? Boetes of andere bestuurlijke maatregelen kunnen volgen, afhankelijk van de ernst van de overtreding en de risicocategorie. Voor hoog risico systemen zullen de controles strenger zijn.

Bronnen

bottom of page