De EU AI ACT in een notendop

Wat is de AI Act en waarom is ze in het leven geroepen?

De AI Act, aangenomen door de Europese Unie in 2024, beoogt een uniform juridisch kader te scheppen voor de ontwikkeling, het in de handel brengen en het gebruik van AI-systemen binnen de interne markt.

Het doel is om AI mensgericht en betrouwbaar te maken, waarbij een hoog niveau van bescherming voor gezondheid, veiligheid en grondrechten wordt gegarandeerd, conform het Handvest van de Europese Unie. 

Tegelijkertijd moet het vrije verkeer van AI-gebaseerde goederen en diensten worden gewaarborgd om innovatie te ondersteunen en daarom wordt er gestreefd naar een delicate balans tussen risicobeheersing en het vermijden van innovatiebelemmeringen.

Wat zijn de vier risiconiveaus?

De AI Act hanteert een risicogebaseerde benadering waarbij AI-systemen worden ingedeeld in: verboden systemen, systemen met een hoog risico (HRAI) en systemen met een beperkt risico.

Onaanvaardbaar risiconiveau:

Verboden AI-systemen zijn die welke onaanvaardbare risico’s inhouden. Praktische voorbeelden zijn hier:

• AI voor misleidende manipulatie van mensen
• Sociaal scoren van burgers zoals in China
• Ongecontroleerde gezichtsherkenning in openbare ruimten
• Biometrische classificatie gebaseerd op beschermde kenmerken, zoals ras of religie
• Emotieherkenning op het werk of op school
• AI voor risicovoorspelling van individuele strafbare feiten

Hoog risiconiveau

AI-systemen met een hoog risico moeten voldoen aan strenge verplichtingen, waaronder risicobeheer, transparantie, menselijk toezicht en cyberbeveiliging. 
Praktische voorbeelden zijn hier:

• AI in kritieke infrastructuren zoals elektriciteitsnet of transportveiligheid
• Geautomatiseerde beoordeling van studenten of cv’s bij aanwerving
• Kredietscores die toegang tot leningen bepalen
• AI voor biometrische identificatie (bvb. gezichtsherkenning in beveiliging)

Beperkt risiconiveau

Systemen met een beperkt risico zijn onderworpen aan specifieke transparantieverplichtingen, waaronder het informeren van gebruikers over de AI-natuur van de interactie en het markeren van kunstmatig gegenereerde content. Praktische voorbeelden zijn hier:

• Chatbots waarbij duidelijk moet zijn dat men met een machine spreekt
• AI-gegenereerde deepfakes of nieuwscontent, die gelabeld moet worden
• Algoritmes die interactie met mensen hebben, zonder grote impact op hun rechten of veiligheid

Minimaal risiconiveau

Systemen met minimaal of geen risico zijn van toepassing op de meeste bestaande AI-toepassingen. 
Praktische voorbeelden zijn hier:

• Spamfilters voor e-mail
• AI in videogames om gedrag te simuleren
• Basale data-analyse zoals automatische sortering van bestanden 

Op wie is de wet van toepassing?

De AI Act is van toepassing op een breed scala aan actoren binnen de AI-waardeketen, waaronder aanbieders, gebruiksverantwoordelijken, importeurs, distributeurs en gemachtigden van AI-systemen. De wet richt zich op AI-systemen die in de Europese Unie in de handel worden gebracht of in gebruik worden gesteld, ook als de aanbieder of gebruiksverantwoordelijke buiten de EU is gevestigd, op voorwaarde dat de output van het AI-systeem in de EU wordt gebruikt.

De AI Act maakt een onderscheid tussen aanbieders, die AI-systemen ontwikkelen of onder eigen naam in de markt brengen, en gebruiksverantwoordelijken, die AI-systemen onder eigen verantwoordelijkheid gebruiken voor beroepsmatige activiteiten.

Natuurlijke personen die AI-systemen louter voor persoonlijke, niet-beroepsmatige doeleinden gebruiken, vallen buiten het toepassingsgebied.

Concreet gezien volgen hier een aantal voorbeelden van het gebruik van AI-instrumenten door advocatenkantoren en juridische adviseurs en deze voorbeelden illustreren hoe breed de AI Act doordringt tot het dagelijkse werk en de adviesverlening van juristen en legal consultants:

• Het gebruik van AI om wetgeving en rechtspraak te analyseren
• De automatische review van contracten of bepalingen door AI-software, bijvoorbeeld bij due diligence of compliance-checks
• Chatbots en virtuele assistenten op de website van het kantoor waarbij juridische vragen  automatisch worden beantwoord door een AI-chatbot
• De automatisering van interne processen zoals dossiermanagement, documentgeneratie of tijdregistratie door AI
• Due diligence bij M&A en transacties: AI-tools voor het screenen van bedrijven of contracten op risico’s in fusies, overnames en joint ventures.

Welke verplichtingen en nalevingsmaatregelen zijn van toepassing op de juridische praktijk?

Wat is GPAI?

En een dag later, op 10 juli 2025, is de ‘General-Purpose AI Code of Practice’ (GPAI Code) of de ‘AI-praktijkcode voor algemene doeleinden’ (een vrijwillige gedragscode), gepubliceerd, die bedoeld is om aanbieders van general-purpose AI-modellen te helpen voldoen aan de nieuwe verplichtingen van de Europese AI Act. De code is opgesteld door 13 onafhankelijke experts in samenwerking met meer dan 1.000 belanghebbenden uit de industrie en academische wereld, waaronder modelaanbieders, kleine en middelgrote ondernemingen, academici, deskundigen op het gebied van AI-veiligheid, rechthebbenden en maatschappelijke organisaties.

De bedoeling is dat de code richtlijnen biedt om te voldoen aan de AI Act, met name rond transparantie, veiligheid en auteursrecht voor general-purpose AI-modellen zoals GPT-4, Gemini, Claude en Llama.

Uitdagingen op het gebied van auteursrecht en intellectueel eigendom

Generatieve AI kan in veel sectoren innovatie versnellen en creatieve processen ondersteunen, maar roept ook ethische en juridische vragen op over auteursrecht, manipulatie en het vertrouwen in de gegenereerde output. Juridische discussies over het auteursrecht op door AI gecreëerde werken blijven complex: werken die louter door AI zijn gemaakt, genieten geen auteursrechtelijke bescherming, tenzij er sprake is van een eigen intellectuele schepping door een natuurlijke persoon. De AI Act bevat geen specifieke bepalingen over auteursrechtelijke bescherming van AI-creaties. 

Belangrijk is wel dat het Europees Parlement op 9 juli 2025 de studie ‘Generative AI and Copyright – Training, Creation, Regulation’ (175 bladzijden) heeft gepubliceerd, die er normaal voor zal zorgen dat de EU waarschijnlijk nieuwe wetgeving zal invoeren die AI-ontwikkelaars verplicht om zich aan strengere regels te houden, wat kan leiden tot hogere nalevingskosten, maar ook tot meer rechtszekerheid op lange termijn.

AI geletterdheid

AI-geletterdheid is kennis over de werking van AI en de mogelijke risico’s en schade, inzicht in hoe AI-systemen beslissingen nemen en wat hun impact is op mensen en groepen, het vermogen om AI op een verantwoorde manier te implementeren en te monitoren en het bewustzijn van naleving van de AI Act en ethische normen.

Volgens de EU-wetgeving moeten organisaties sinds 2 februari 2025 hun personeel opleiden, zowel direct betrokkenen bij AI als indirect beïnvloeden personen. Het niveau van AI-geletterdheid hangt wel af van gebruikte AI-systemen, risico’s en rol van de medewerker en er zijn geen vaste normen geëist, maar organisaties moeten een passend niveau waarborgen. 
Dit geldt voor iedereen binnen organisaties die AI-systemen ontwikkelen, gebruiken of ermee in aanraking komen.

Welke sancties gelden er bij niet-naleving

De AI Act voorziet in een gestructureerd sanctiesysteem dat is ingedeeld in drie niveaus, met maximale geldboetes van respectievelijk 7,5 miljoen euro, 15 miljoen euro en 35 miljoen euro. Deze sancties zijn van toepassing op alle operatoren van AI-systemen en aanbieders van generatieve AI-systemen (GPAI's), waarbij het tweede niveau specifiek geldt voor aanbieders van GPAI's. 

Voor instellingen, organen en instanties van de Europese Unie geldt een apart sanctiesysteem met lagere maximumboetes, dat hier buiten beschouwing wordt gelaten. 

De zwaarste sancties zijn gereserveerd voor schendingen van het verbod op bepaalde AI-praktijken, met boetes tot 35 miljoen euro of 7% van de totale wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Daarnaast zijn er sancties voor niet-naleving van specifieke verplichtingen en voor het verstrekken van onjuiste informatie aan toezichthouders

In de financiële sector moeten dienstverleners AI-systemen met een hoog risico continu monitoren en ernstige incidenten binnen strikte termijnen melden aan markttoezichtautoriteiten. Bij vastgestelde non-conformiteit zijn zij verplicht onmiddellijk corrigerende maatregelen te nemen, zoals het aanpassen, uit de handel nemen of terugroepen van het AI-systeem. Markttoezichtautoriteiten kunnen bij niet-naleving binnen vijftien werkdagen passende maatregelen opleggen, waaronder het verbod op het aanbieden of gebruiken van het AI-systeem. Deze handhavingsmaatregelen zijn aanvullend op de algemene sancties en zijn gericht op het waarborgen van de veiligheid, gezondheid en grondrechten van personen.

Wat is nu concreet het tijdschema?

1 augustus 2024

De AI Act, goedgekeurd in april 2024, is in werking getreden op 1 augustus 2024 en voorziet een gefaseerde toepassing van haar bepalingen. 

2 februari 2025

Het verbod op verboden AI-praktijken geldt vanaf 2 februari 2025 en vanaf die datum moeten organisaties ook hun personeel opleiden. 

2 augustus 2025

Vanaf 2 augustus 2025 gelden de verplichtingen voor aanbieders van generatieve AI-modellen voor algemene doeleinden (GPAI), met uitzondering van modellen die reeds voor die datum in de handel zijn gebracht, waarvoor een overgangstermijn van 24 maanden geldt. 

2 augustus 2026

Op 2 augustus 2026 wordt de AI Act algemeen van toepassing, met inbegrip van transparantieverplichtingen voor AI-systemen met een beperkt risico en verplichtingen voor hoogrisico-AI-systemen (High Risk AI, HRAI) die vanaf die datum in de handel zijn gebracht of worden gebruikt. 

2 augustus 2027

Ten slotte gelden vanaf 2 augustus 2027 de verplichtingen voor hoogrisico-AI-systemen die na 2 augustus 2026 in de handel zijn gebracht of gebruikt.