Strategie

AI onder toezicht: wat de nieuwe EU-wet betekent voor jouw bedrijf

Geen juristenpraat, maar wat je écht moet weten als MKB’er met slimme software.

#strategie#ai

Deze blog is de laatste in mijn reeks blogjes over wetten op het gebied van cyber security. Ik heb het eerder al gehad over de telecommunicatiewet, de AVG, de DORA, de NIS2/CyberBeveiligingsWet, de CRA en dan nu: de EU AI wet.

**Wat regelt deze wet precies?**De AI-wet werkt risico-gebaseerd. Dat houdt dus in dat je maatregelen moet nemen die passend zijn bij het risico. Je moet dus zelf een afweging maken. Dat maakt ’m best logisch als je het eenmaal ziet:

  • Verboden toepassingen (hoogste risico): een klein rijtje toepassingen mag in principe niet (denk aan AI die mensen manipuleert of social scoring door overheden).
  • Hoog-risico systemen: AI die invloed heeft op toegang tot onderwijs, werk, krediet, essentiële diensten, of die in producten zit die veiligheid raken (bv. medische apparaten), valt in deze categorie. Daar gelden zware eisen voor: risicobeheer, goede (niet-discriminerende) data, logging, transparantie, menselijke controle, robuustheid én een conformiteitsbeoordeling met CE-markering.
  • Beperkt risico: transparantieplichten. Bijvoorbeeld: als iemand met een chatbot praat, moet duidelijk zijn dat het een AI is. En deepfakes moeten als zodanig herkenbaar zijn.
  • Minimaal risico: veel “normale” AI-toepassingen (zoals AI in je teksteditor) vallen hier – weinig verplichtingen.

De wet is in het leven geroepen omdat AI niet meer “leuk speelgoed” is maar steeds vaker een motor in bedrijfsprocessen en besluitvorming is. De EU wil dat we AI kunnen vertrouwen, dat grondrechten worden beschermd (denk aan privacy en non-discriminatie), en dat er een gelijk speelveld is voor bedrijven. Niet elke tool hoeft onder een vergrootglas, maar wat wél impact heeft op mensen of veiligheid moet aan duidelijke spelregels voldoen. Zo voorkom je de AI-variant die vooral sturen op een snelle groei en pas daarna de beveiligings-brandjes gaat blussen.

Belangrijke termen uit de wet

  • Aanbieder (provider): jij bouwt/verkóópt het AI-systeem.
  • Gebruiker (deployer): jij zet het AI-systeem in in je eigen proces.
  • Conformiteit & CE: “bewijs” dat je systeem aan de eisen voldoet (vooral bij hoog-risico).
  • Transparantie: laat weten dat iemand met AI te maken heeft en label deepfakes.

Hoe komt je daar als MKB nu concreet mee in aanraking? Drie veelvoorkomende routes:

  1. Je bouwt zelf AI (of laat iets bouwen) voor klantenDan ben je (mede)aanbieder. Bouw je iets dat onder hoog-risico valt? Reken op documentatie, risicobeheer, testplannen, datakwaliteit, logging, menselijke oversight en CE. Ben je een kleine organisatie? Ook dan moet je voldoen. Maar dit is te organiseren als je vroeg begint (zie een concreet stappenplan verderop). Bouw je iets niet-hoog-risico? Dan vooral transparant zijn (bv. deepfake-labels, duidelijke uitleg).
  • een impactbeoordeling (wat kan er misgaan, wie wordt geraakt?);
  • menselijke controle organiseren (niet blind varen op het model);
  • logboeken bijhouden;
  • uitleg kunnen geven aan betrokkenen;
  • en soms registratie in een EU-database (voor bepaalde hoog-risico systemen).Gebruik je “gewone” AI (bv. e-mail-assistent)? Dan vooral goed informeren en geen gevoelige data zomaar erin kieperen.
  1. Je publiceert AI-contentDeepfake? Labelen. Chatbot op je site? Duidelijk maken dat het een bot is. Gebruik je generatieve AI voor marketing? Check auteursrechten/licenties van materiaal en voorkom dat je confidentiële info in een publieke tool stopt.

Voorbeelden uit de praktijk

  • Werving & selectie: zet je AI in om cv’s te ranken? Grote kans: hoog-risico. Zorg voor niet-discriminerende data, log wat de tool doet en laat mensen het eindoordeel vellen.
  • Krediet of klantacceptatie: laat je AI meebeslissen? Dan gelden de strengere eisen.
  • Klantenservice met een chatbot: transparantie is key; geen medische, juridische of financiële claims laten doen zonder menselijke check.
  • Creatie & marketing: AI-beeld of -video? Label deepfakes en let op rechten.
  • Leveranciersmanagement: vraag om conformiteitsverklaringen of AI-informatie van je softwareleverancier; leg afspraken vast in je contract (wat loggen ze, hoe gaan ze om met biases, support bij incidenten?).

Implementeren

De regels treden gefaseerd in werking. Verboden dingen eerder, zware eisen iets later. Voor MKB is het handig om nu de basis te leggen, zodat je straks niet hoeft te rennen.

Een simpel stappenplan om morgen te starten

  1. Maak een AI-inventaris: waar gebruik je AI (of wil je het gaan gebruiken)? Interne tools tellen ook mee.
  2. Classificeer per use case: minimaal/beperkt/hoog risico. Twijfel? Noteer waarom, en behandel ’m voorlopig strenger.
  • Transparantie (botmeldingen, deepfake-labels),
  • Datakaders (wat mag wél/niet in de tool),
  • human-in-the-loop bij besluiten over mensen. (mensen moeten toezicht houden bij alle beslissingen)
  • Impactbeoordeling,
  • Loggen en testcases,
  • Duidelijke rollen (wie is aanbieder, wie is gebruiker?),
  • Vraag leveranciers om documentatie/verklaringen.
  1. Leg het vast & herhaal jaarlijks: beleid, werkinstructies, wie beslist, hoe je klachten of incidenten afhandelt. Eens per jaar herijken (is het risico veranderd? zijn er updates?).

Tot slot

Zie de AI-wet niet als rem, maar als vangrail. Je krijgt een kader om verantwoord te innoveren zonder later in juridische of reputatieproblemen te belanden. Begin klein, documenteer slim, en kies waar AI je écht vooruithelpt.

Klaar met lezen?

CISO Essentials helpt je je gedachten te vertalen naar een concrete aanpak — zonder dure tools of een fulltime CISO.

Intake aanvragen
Alle artikelen