Wouter
De EU AI Act: een praktisch stappenplan voor je website
De Europese Unie introduceert de AI Act. Deze nieuwe wetgeving heeft grote gevolgen voor iedereen die AI gebruikt, dus ook voor jouw website. Veel organisaties gebruiken AI, vaak zonder het te beseffen. Denk aan chatbots, aanbevelingen in je webshop of marketingtools. De AI Act is geen poging om innovatie te remmen, maar om vertrouwen te bouwen.
Deze wet stelt regels op basis van risico’s. Hoe groter het potentiële risico van een AI-systeem, hoe strenger de eisen. Het doel is om onze grondrechten, veiligheid en gezondheid te beschermen. In dit artikel geven we je een concreet stappenplan om je website voor te bereiden. Zo weet je precies wat je moet doen en wanneer.
Wat is de EU AI Act?
De EU AI Act is de eerste uitgebreide wet voor AI ter wereld. Het hoofddoel is om het vertrouwen in AI te vergroten en tegelijkertijd innovatie in Europa te stimuleren. De wet richt zich niet op de technologie zelf, maar op de risico’s die specifieke toepassingen met zich meebrengen voor mensen. Je kunt de officiële documentatie vinden in het Regulatory framework for AI van de Europese Commissie.
De basisgedachte is eenvoudig: hoe hoger het risico van een AI-systeem voor onze gezondheid, veiligheid of grondrechten, hoe strenger de regels. De wet geldt voor alle aanbieders en professionele gebruikers van AI-systemen binnen de Europese Unie, ongeacht waar ze gevestigd zijn. Het Europees Parlement heeft de wet officieel goedgekeurd, zoals te lezen in het persbericht van het Europees Parlement.
De impact op jouw website: van chatbots tot personalisatie
Misschien denk je dat AI op jouw website wel meevalt. Toch gebruiken veel online oplossingen al vormen van AI. Deze tools vallen straks allemaal onder de nieuwe regels. Het is belangrijk dat je weet waar je aan toe bent.
Een veelvoorkomend voorbeeld is een chatbot die vragen van bezoekers beantwoordt. Onder de AI Act moet je gebruikers duidelijk informeren dat ze met een AI-systeem praten, tenzij dit al overduidelijk is uit de context. Deze transparantie is een kernonderdeel van de wet. Voor veel AI-chatbots betekent dit een aanpassing in de user interface. De specifieke regels hierover vind je in Artikel 50 over transparantie.
Ook een webshop met gepersonaliseerde aanbevelingen maakt gebruik van AI. Het algoritme dat producten voorstelt op basis van surfgedrag, valt onder de definitie van de wet, maar meestal in de categorie ‘minimaal risico’. De AI Act stelt hieraan zelf nauwelijks directe eisen. De plicht om uit te leggen welke data je gebruikt en hoe de aanbevelingen tot stand komen, vloeit voor dit soort systemen vooral voort uit andere wetgeving, zoals de AVG en de Digital Services Act. Het is dus goed om te weten dat verschillende regels hier samenkomen.
De risiconiveaus van de AI Act: waar valt jouw tool onder?
De AI Act verdeelt AI-systemen in vier categorieën op basis van hun risico. Het is cruciaal om te weten in welke categorie jouw toepassingen vallen. De vereisten verschillen namelijk sterk per niveau.
Goed om te weten: de wet maakt onderscheid tussen aanbieders (de partijen die AI bouwen en op de markt brengen) en gebruikers oftewel deployers (de organisaties die AI inzetten). Als mkb-bedrijf ben je vrijwel altijd gebruiker en niet bouwer. De zwaarste verplichtingen, zoals conformiteitsbeoordelingen en uitgebreide technische documentatie, liggen bij de aanbieders. Voor jou draait het vooral om transparantie en het op orde hebben van je administratie.
Onaanvaardbaar risico: Deze systemen zijn simpelweg verboden. Denk aan social scoring door overheden, zoals in China. Ook AI die mensen manipuleert om gevaarlijk gedrag te vertonen of misbruik maakt van kwetsbare groepen, mag niet.
Hoog risico: Dit zijn systemen die een groot risico vormen voor gezondheid, veiligheid of grondrechten. Voorbeelden zijn AI in medische apparatuur, kritieke infrastructuur of voor personeelswerving. Deze systemen moeten voldoen aan strenge eisen rondom datakwaliteit, documentatie, toezicht en beveiliging voordat ze op de markt mogen komen.
Beperkt risico: De meeste AI-toepassingen op websites vallen hieronder. Denk aan chatbots of systemen die deepfakes genereren. Voor deze categorie geldt vooral een transparantieverplichting. Gebruikers moeten weten dat ze te maken hebben met AI.
Minimaal risico: Dit is de restcategorie. Hieronder vallen bijvoorbeeld spamfilters of AI in videogames. Voor deze systemen gelden geen extra wettelijke verplichtingen. De wet moedigt wel vrijwillige gedragscodes aan.
Stappenplan: zo bereid je je voor op de AI Act
De nieuwe wetgeving voelt misschien overweldigend. Met een duidelijk plan kun je je organisatie echter goed voorbereiden. Volg deze vier stappen om te zorgen dat je op tijd voldoet aan de eisen.
Stap 1: Inventariseer je AI-systemen
Begin met een overzicht. Breng alle AI-toepassingen in kaart die je binnen je organisatie gebruikt. Kijk daarbij verder dan alleen de systemen op je website. Denk ook aan externe SaaS-tools voor marketing, HR of data-analyse. Zelfs componenten die door leveranciers worden aangeboden, moet je meenemen. Een grondige technical audit helpt om een compleet beeld te krijgen van alle systemen en hun onderlinge afhankelijkheden.
Stap 2: Classificeer het risico
Nadat je alle AI-systemen hebt geïdentificeerd, bepaal je voor elk systeem het risiconiveau. Gebruik de vier categorieën uit de wet: onaanvaardbaar, hoog, beperkt of minimaal. Voor de meeste websites zullen de tools in de categorie ‘beperkt risico’ vallen. Omdat je als mkb meestal gebruiker bent en geen bouwer, gaat het er vooral om dat je weet welke systemen je inzet en dat je de transparantie daarvan op orde hebt. Wees wel kritisch: een verkeerde inschatting kan later voor problemen zorgen. Raadpleeg bij twijfel een expert om de classificatie te valideren.
Stap 3: Implementeer de juiste maatregelen
Elk risiconiveau vraagt om specifieke acties. Voor systemen met een beperkt risico, zoals chatbots, implementeer je de nodige transparantiemaatregelen. Zorg ervoor dat gebruikers duidelijk geïnformeerd worden. Voor systemen met een hoog risico moet je een conformiteitsprocedure starten. Dit is een uitgebreid proces waarbij je de veiligheid en betrouwbaarheid van het systeem moet aantonen.
Stap 4: Zorg voor duidelijke documentatie en transparantie
Documentatie is essentieel. Zorg dat je voor elk AI-systeem vastlegt hoe het werkt, welke data het gebruikt en welke beslissingen het neemt. Deze documentatie is nodig om aan de toezichthouder te kunnen laten zien dat je voldoet aan de wet. Informeer daarnaast je gebruikers helder en begrijpelijk. Goede transparantie bouwt niet alleen aan compliance, maar ook aan vertrouwen.
Begin op tijd: de AI Act komt eraan
De AI Act wordt niet van de ene op de andere dag ingevoerd, maar gefaseerd. Een deel van de regels is al van kracht: zo gelden de verboden op de zwaarste AI-praktijken inmiddels. De transparantieregels die voor de meeste websites het meest relevant zijn, zoals de meldingsplicht voor chatbots, worden in 2026 van kracht. Daarna volgen de strengere eisen voor hoogrisico-systemen. Het is verstandig om de tijdlijn van de implementatie van de AI Act in de gaten te houden, want de details kunnen nog wijzigen.
De boodschap is vooral: wacht niet tot het laatste moment. Inventariseren, classificeren en je transparantie op orde brengen kost tijd. De wet kent boetes, maar de hoogste bedragen zijn bedoeld voor de ernstigste overtredingen en de grootste spelers; voor het mkb gelden proportionele, lagere plafonds. Voor de meeste websites gaat het dus niet om afschrikking, maar om iets eenvoudigers: wie nu begint, heeft straks een voorsprong en laat zien dat hij verantwoord met technologie omgaat.
Benieuwd onder welk risico jouw AI-systemen vallen?
Vraag een grondige technical audit aan en krijg direct inzicht in de stappen die je moet zetten.
Neem contact opVeelgestelde vragen
De definitie is breed en omvat software die met een zekere mate van autonomie output kan genereren. Denk hierbij aan voorspellingen, aanbevelingen, content of beslissingen die fysieke of virtuele omgevingen beïnvloeden.
Systemen die mensen onbewust manipuleren, misbruik maken van de kwetsbaarheden van specifieke groepen of worden ingezet voor social scoring door overheden, zijn verboden. Ook real-time biometrische identificatie in openbare ruimtes is in principe niet toegestaan.
Organisaties moeten gebruikers informeren wanneer ze interactie hebben met een AI-systeem, zoals een chatbot, tenzij dit al overduidelijk is uit de context. Voor beeld, audio en video geldt de zichtbare disclosure-plicht specifiek voor deepfakes: realistische, mogelijk misleidende content die echt lijkt. Een decoratieve of duidelijk niet-realistische AI-illustratie, zoals een hero-afbeelding op je website, is geen deepfake en vereist die zichtbare melding dus niet. Wel geldt voor de maker van een AI-beeldgenerator dat de output technisch (machineleesbaar) gemarkeerd moet zijn, maar dat is een verplichting van de tool zelf en niet iets wat jij als gebruiker handmatig hoeft toe te voegen. Voor AI-gegenereerde tekst is de plicht eveneens genuanceerd: die geldt vooral voor teksten die het publiek informeren over zaken van algemeen belang, en niet wanneer de content door een mens is geredigeerd of gecontroleerd en iemand de redactionele verantwoordelijkheid draagt. Een doorsnee blog dat voor publicatie wordt nagekeken, hoeft dus niet per se een AI-label te krijgen, al kan transparantie hier wel een bewuste keuze zijn.
Ja, de wet heeft een extraterritoriale werking. De regels gelden voor alle aanbieders die hun AI-systemen op de Europese markt aanbieden. Het maakt daarbij niet uit waar de aanbieder zelf gevestigd is.
De verantwoordelijkheid ligt primair bij de aanbieder van het AI-systeem. Echter, ook de gebruiker die het systeem in een professionele context inzet, heeft verplichtingen. Denk aan een bedrijf dat een AI-recruitmentsysteem van een derde partij gebruikt.
Dit nieuwe orgaan houdt toezicht op de handhaving van de AI Act op Europees niveau. Het richt zich met name op algemene AI-modellen en ondersteunt de nationale toezichthouders in de lidstaten bij de implementatie van de wet.
