De AI Act: wat is er veranderd sinds augustus 2025?

Dit artikel is bedoeld om een update te geven over de AI Act. Want hoe zat dat ook alweer? Sinds 2 februari 2025 is de AI Act van kracht geworden in de EU. Niet volledig, alleen gedeeltelijk. Deze nieuwe Europese wetgeving zorgt ervoor dat kunstmatige intelligentie veilig, transparant en verantwoord wordt ingezet. De regels en verplichtingen worden stap voor stap ingevoerd want het is omvangrijk. In augustus is er een nieuw deel live gegaan. Tijd voor een update: wat betekent dit voor organisaties die AI gebruiken of ontwikkelen? In deze blog legt compliance officer Sherwien Ramsoedh uit wat het betekent voor jouw organisatie.

Terugblik: de eerdere fase

• In de eerste fase (februari tot augustus) lag de nadruk op het ontwikkelen en stimuleren van AI-geletterdheid (AIG). Bijvoorbeeld door dit te incorporeren in het AI-beleid van je organisatie. Sherwien legt uit: “Organisaties moesten en moeten nadenken over hoe ze AI binnen verschillende afdelingen inzetten, en welke kennis medewerkers daarvoor nodig hebben. Want niet iedereen hoeft AI-expert te zijn, maar basisbegrip is wel noodzakelijk: wat is AI, welke risico’s zijn er, en waarom mag je niet zomaar bedrijfsdata in een AI-systeem invoeren?”
• Verboden AI-toepassingen vermijden (zie bovenste stuk onacceptabel risico).

De AI-waardeketen

Hoewel de AI-waardeketen in de eerste fase al belangrijk was, is het goed om hierop terug te kijken. Zo wordt duidelijk waarom de hele keten zo belangrijk is. De AI Act kijkt namelijk naar de volledige AI-waardeketen.

Sherwien: “De AI-waardeketen begint bij de ontwikkelaars van AI-systemen, die verantwoordelijk zijn voor het ontwerp, de training en de technische werking van hun modellen. Maar ook aanbieders, importeurs, vertegenwoordigers en (eind)gebruikers krijgen verplichtingen.”

Verschillende rollen, verschillende verantwoordelijkheden

Een belangrijk onderscheid: zodra een organisatie AI onder eigen naam commercieel aanbiedt, verschuift de rol van ‘gebruiker’ naar ‘aanbieder’. “Hierdoor gelden strengere verplichtingen,” zegt Sherwien. “Denk aan het maken van afspraken met leveranciers van taalmodellen, het opvolgen van de instructies van de leverancier van het AI-systeem, en het waarborgen van transparantie richting eindgebruikers.”

De AI-waardeketen is dynamisch: een organisatie kan meerdere rollen tegelijk vervullen. Sherwien: “Hoe dichter je bij de bron van het systeem zit, hoe zwaarder de verplichtingen. Ontwikkelaars en aanbieders moeten bijvoorbeeld uitgebreide eisen naleven rond documentatie, datakwaliteit, beveiliging en transparantie. Gebruikers hebben vooral plichten rond verantwoord gebruik en het informeren over het gebruik van AI en dat gegenereerde antwoorden niet per se juist hoeven te zijn.”

Zo heeft de AI Act als doel dat verantwoordelijkheid niet alleen bij ontwikkelaars ligt, maar door de hele waardeketen heen verdeeld wordt.

Het volgende station van de AI-Act: een gelimiteerd risico

Vanaf 2 augustus gelden de regels voor AI-systemen met een gelimiteerd risico. Sherwien: “Dit raakt veel organisaties direct, omdat het gaat om toepassingen zoals chatbots, generatieve AI. Voorbeelden van generatieve AI zijn de bekende AI-producten zoals Microsoft Copilot, OpenAI ChatGPT, Le Chat Mistral, Anthropic ClaudeAI en Google Gemini.”

De belangrijkste verplichting in deze fase is transparantie. Gebruikers moeten weten dat ze met een AI-systeem communiceren en dat de antwoorden niet altijd juist zijn. Dat betekent dat je zelf verantwoordelijk blijft voor de juistheid van de informatie waarop je vertrouwt.

Voor organisaties die generatieve AI inzetten in hun dienstverlening geldt dat zij eindgebruikers duidelijk moeten informeren dat zij met een AI praten en niet met een mens. Dit kan bijvoorbeeld via banners als: ‘Je communiceert met een AI’, ‘AI kan fouten maken’, of ‘Controleer de antwoorden.’

Belangrijk is niet alleen welk AI-systeem je gebruikt en welk classificatieniveau het heeft, maar vooral hoe je het toepast. Gebruik je een AI-systeem dat officieel beperkt risico kent op een manier die toch hoog risico oplevert, dan kun je je niet verschuilen achter de classificatie.

Een voorbeeld: je bent recruiter op een HR-afdeling en je gebruikt Copilot. Je laat Copilot twintig cv’s scannen, vraagt om sterke en zwakke punten, en vraagt wie de beste kandidaat is. Je neemt het antwoord klakkeloos over zonder checks. In dat geval gebruik je het systeem niet langer als een AI met beperkt risico, maar op een manier die hoog risico oplevert.

Daarom moet er in zulke situaties een mens tussen zitten die de uiteindelijke beoordeling doet, we noemen dit ook wel Human In The Loop (HITL), om alsnog van beperkt risico te kunnen spreken. Belangrijk is dus dat je het systeem op de juiste manier gebruikt en de instructies van de leverancier volgt.

Voorbeelden van AI met gelimiteerd risico:

• Chatbots die klantenservice bieden op websites, waarbij duidelijk wordt aangegeven dat de gebruiker met een AI-systeem communiceert.
• Generatieve AI-tools zoals Microsoft Copilot, ChatGPT, Google Gemini, die bijvoorbeeld tekst en afbeeldingen genereren en antwoorden geven op vragen van gebruikers.
• AI-assistenten in e-mailsoftware die helpen bij het automatisch opstellen of samenvatten van berichten.
• AI-systemen die automatisch afbeeldingen of designs maken op basis van gebruikersinstructies, bijvoorbeeld voor marketingmateriaal.

AI Code of Practice

De EU heeft daarnaast de AI Code of Practice opgesteld: een praktische leidraad voor organisaties die AI gebruiken of ontwikkelen. Deze code draait om drie pijlers:

• Transparantie: het gebruik van correcte, betrouwbare en onpartijdige data is heel belangrijk. Bij het (door)ontwikkelen van AI-modellen moeten organisaties extra aandacht besteden aan het voorkomen van bias in de trainingsdata, omdat dit kan leiden tot onethische of juridisch onjuiste uitkomsten. Sherwien legt uit: “Organisaties die taalmodellen verder ontwikkelen, moeten zich houden aan transparantie-eisen. Dat betekent dat zij technische documentatie bijhouden over hoe hun AI-model is getraind, welke bronnen zijn gebruikt en hoe de data is verzameld. Dit helpt bij het waarborgen van authenticiteit en het voorkomen van bias of onbetrouwbare informatie.”
• Beveiliging: bescherming tegen hackers en cyberdreigingen.
• Het respecteren van auteursrechten: respect voor intellectueel eigendom en geen inbreuk op beschermde content. De code benadrukt dat het niet alleen gaat om het beschermen van data, maar ook om het voorkomen van inbreuk op auteursrechten, bijvoorbeeld door geen beschermde boeken, artikelen of andere content zonder toestemming te gebruiken in AI-systemen.

Belangrijk: de AI Code of Practice is niet alleen bedoeld voor ontwikkelaars, maar het geeft organisaties die gebruik maken of willen maken handvatten waar ze op moeten letten als ze bijvoorbeeld AI willen inkopen. Bijvoorbeeld de elementen die in de afspraken worden gemaakt.

Alles voor een verantwoorde inzet van AI met de AI Act

We naderen nu het volgende station in augustus 2026: hoog-risico AI. En onderschat dat niet. De verplichtingen die sinds augustus zijn ingegaan, zijn behoorlijk stevig. Gebruik deze fase om je goed in te lezen en tijdig advies in te winnen, zodat je niet voor verrassingen komt te staan of het risico loopt non-compliant te zijn. AI biedt enorme meerwaarde, maar alleen als je het verantwoord en veilig blijft inzetten.

Lees ook deze blogs:

• De AI Act vanuit een compliance-perspectief
• AI-safety is onmisbaar: "Het zou zonde zijn als AI zijn eigen voordelen teniet doet met zijn bias"