Wat is de AI Act? Heldere uitleg voor Belgische ondernemers

Wat is de AI Act precies

De officiele naam is Verordening (EU) 2024/1689. Het Europees Parlement keurde haar goed in maart 2024, en zij trad in werking op 1 augustus 2024. Een verordening werkt rechtstreeks in alle EU-lidstaten, zonder dat omzetting naar Belgisch recht nodig is. Voor ondernemers betekent dit dat de regels gelijk zijn in heel Europa, en dat ook KMO direct gebonden zijn aan de tekst.

De wet kiest een risico-gebaseerde aanpak. AI-systemen worden ingedeeld in vier categorieen, gaande van onaanvaardbaar tot minimaal risico. Hoe hoger het risico, hoe strenger de verplichtingen. Veel populaire tools die u dagelijks gebruikt vallen in de twee laagste categorieen, maar enkele toepassingen zoals AI in werving en selectie of in kredietscoring vallen onmiddellijk in de hoge risico-categorie.

Wanneer treedt de AI Act in werking

De wet gaat in werking in fases. Sinds 2 februari 2025 zijn twee belangrijke bepalingen al van kracht: het verbod op onaanvaardbare praktijken en de verplichting tot AI-geletterdheid. Op 2 augustus 2025 traden de regels voor algemene AI-modellen in werking. De grote deadline waarop het gros van de bepalingen handhaafbaar wordt, is 2 augustus 2026. Voor enkele specifieke high-risk-categorieen geldt nog een verlenging tot 2 augustus 2027.

Voor wie geldt de AI Act

De wet onderscheidt verschillende rollen. Een provider is iemand die AI ontwikkelt en op de markt brengt. Een deployer is iemand die AI professioneel inzet. Importeurs en distributeurs hebben hun eigen rol. De meeste Belgische KMO vallen onder de deployer-rol: zij gebruiken AI-systemen die door anderen werden gemaakt.

Belangrijk: de wet werkt extraterritoriaal. Zelfs een leverancier buiten de EU moet aan de regels voldoen wanneer zijn product op de EU-markt komt of wanneer de output van zijn AI binnen de EU wordt gebruikt. Voor u als ondernemer betekent dit dat u uw Amerikaanse SaaS-leveranciers mag bevragen over hun naleving van de verordening.

De vier risicocategorieen

Onaanvaardbaar risico omvat praktijken zoals social scoring door overheden, manipulatieve subliminale technieken en realtime biometrische identificatie in openbare ruimten. Deze zijn volledig verboden binnen de EU.

Hoog risico verwijst naar AI die wordt ingezet in gevoelige domeinen. Welke AI-systemen high-risk zijn, wordt opgesomd in Annex III van de wet. Hier gelden uitgebreide verplichtingen rond risicobeheer, documentatie, menselijk toezicht en logging.

Beperkt risico geldt voor AI met transparantieverplichtingen, zoals chatbots en AI-gegenereerde content. Minimaal risico omvat de meeste toepassingen, waaronder spamfilters en aanbevelingsalgoritmen voor muziek of films. Voor deze laatste gelden geen specifieke verplichtingen, behalve dan de algemene plicht tot AI-geletterdheid.

Wat moet een KMO concreet doen

Drie dingen verdienen prioriteit. Eerst: een inventaris opmaken van alle AI-systemen die binnen uw organisatie worden gebruikt. Tweede: per systeem nagaan in welke risicocategorie het valt. Derde: voor elke categorie de bijhorende verplichtingen invullen, beginnend bij Artikel 4 over AI-geletterdheid, dat sinds februari 2025 al volledig handhaafbaar is.

Voor de meeste ondernemers is een Quickscan de logische eerste stap. In een halve dag bouwen wij die inventaris voor u op, classificeren elk systeem en wijzen u op de prioriteiten in een rapport. Daarna kunt u beslissen of u zelf verder werkt of een Compliance Sprint inschakelt om de implementatie volledig af te ronden.

Sancties bij niet-naleving

De wet voorziet drie boetecategorieen. Voor inbreuken op het verbod van Artikel 5 kunnen boetes oplopen tot 35 miljoen euro of 7 procent van de wereldwijde jaaromzet, afhankelijk van welk bedrag het hoogste is. Voor andere significante inbreuken geldt 15 miljoen euro of 3 procent. Voor het verstrekken van onjuiste informatie aan toezichthouders geldt 7,5 miljoen euro of 1 procent.

Voor KMO gelden wel speciale bepalingen: de boetes worden in verhouding gebracht met de omvang van de onderneming, en de focus van de toezichthouder ligt naar verwachting eerder op herstel dan op bestraffing in eerste instantie. Maar wie geen enkele inspanning kan aantonen, riskeert sneller en harder geraakt te worden. Meer detail leest u in onze post over AI Act boetes en risico.

Externe bronnen

De volledige tekst van de verordening is publiek beschikbaar via EUR-Lex. Het Europees AI Office publiceert toelichtingen en guidance documents die de toepassing verduidelijken.