Stel je voor: je staat op het punt om een nieuwe AI-tool te kopen voor je bedrijf.
De leverancier belooft gouden bergen, maar hoe weet je zeker dat je niet over de schreef gaat met de nieuwe Europese regels? De AI Act is er nu officieel, en het verandert de spelregels voor iedereen die met kunstmatige intelligentie werkt.
Dit is niet zomaar een saai document vol juridisch jargon; het is een blauwdruk voor veilige en verantwoorde technologie. In dit artikel lees je hoe je de AI-leverancier op de korrel neemt en controleert of ze écht voldoen aan de AI Act. Zonder gedoe, maar wel scherp.
De AI Act is de eerste wet ter wereld die AI breed reguleert. Het doel? Risico’s beperken zonder de innovatie de das om te doen. De Europese Unie wil voorkomen dat AI-systemen burgers schaden, discrimineren of onnodig in de gaten houden.
De wet treedt gefaseerd in werking, waarbij de strengste regels voor hoogrisico-AI in 2026 volledig van kracht zijn.
Bedrijven moeten nu al aan de bak, want de kosten voor het niet naleven van de regels kunnen oplopen tot 6% van de wereldwijde jaaromzet. Dat is een bedrag waar je u tegen zegt.
Om te begrijpen of een leverancier compliant is, moet je weten in welke klasse hun AI-systeem valt. De AI Act deelt AI-systemen in op basis van risico.
Dit zijn de vier categorieën: De classificatie bepaalt welke verplichtingen gelden.
Als je een leverancier inschakelt voor een hoogrisico-systeem, mag je niet zomaar akkoord gaan met een simpele verklaring. Je moet bewijs zien dat het systeem veilig en eerlijk is.
De meeste bedrijven zullen te maken krijgen met hoogrisico-AI. Voor deze systemen gelden zeven hoofdeisen. Een leverancier moet aan al deze punten voldoen.
Een leverancier moet een grondige risicobeoordeling uitvoeren voordat de AI op de markt komt.
Dit is niet iets dat je even snel doet; het vereist een diepgaande analyse van potentiële gevaren. Bovendien moet het systeem continu worden gemonitord op nieuwe risico’s na de lancering.
AI leert van data. Als de data slecht is, is de AI slecht. De AI Act eist dat trainingsdata representatief en vrij van fouten is.
Een leverancier moet kunnen aantonen hoe ze de datakwaliteit waarborgen. Denk aan het schoonmaken van datasets en het voorkomen van bias (vooroordelen).
Een AI mag geen black box zijn. Gebruikers moeten begrijpen hoe de AI tot een besluit komt. Leveranciers moeten technieken gebruiken die uitlegbaarheid bieden, zodat je als bedrijf kunt uitleggen waarom een AI bijvoorbeeld een sollicitant afwijst. AI mag nooit volledig autonoom beslissen over zaken die mensen raken.
Er moet altijd een menselijke toezichthouder zijn die de AI kan overrulen. Een leverancier moet aantonen hoe deze controle is ingebouwd.
Het systeem moet bestand zijn tegen fouten en cyberaanvallen. Denk aan de European Machine Learning Index (EMLI) als referentie voor kwaliteitsstandaarden.
Een leverancier moet testen of de AI onder druk niet in de soep loopt.
Hoe voorkom je dat je in zee gaat met een leverancier die de boel belazert? Volg deze stappen.
Blabla is niet genoeg. Vraag om een technisch dossier. Dit moet bevatten:
Wees kritisch. Als de leverancier hier moeilijk over doet of documenten niet kan overleggen, is dat een groot rode vlag. Hoewel er nog geen officiële EU-certificeringen bestaan (de AI Act is nieuw), zijn er al initiatieven zoals het European AI Assurance Centre. Vraag of de leverancier werkt met gerespecteerde normen zoals ISO/IEC 27001 voor informatiebeveiliging of specifieke AI-normen.
Een leverancier die investeert in certificering toont aan dat ze serieus werk maken van compliance.
Vertrouw niet alleen op wat de leverancier zegt. Overweeg een onafhankelijke derde partij in te schakelen voor een audit. Gebruik onze praktische AI-checklist voor de MKB-ondernemer om te controleren of het systeem voldoet aan de AI Act.
Dit kost geld, maar het bespaart je een hoop juridische ellende later. Google de leverancier. Zijn er klachten?
Hebben ze eerder AI-systemen gebouwd die voldeden aan strenge regels? Een leverancier met een bewezen trackrecord in compliance is een veiligere keuze dan een nieuwkomer zonder ervaring.
Vraag hoe de leverancier omgaat met data privacy en beveiliging. Voldoen ze aan de GDPR? Hoe voorkomen ze dat persoonsgegevens lekken? Een leverancier die hier slordig mee omgaat, voldoet waarschijnlijk ook niet aan de AI Act.
De Europese Commissie en nationale toezichthouders houden toezicht op de naleving van de AI Act. Bekijk de AI Act tijdlijn om te zien wanneer jouw bedrijf compliant moet zijn; bedrijven die de regels overtreden, riskeren namelijk hoge boetes.
De hoogte van de boete hangt af van de overtreding, maar kan oplopen tot 6% van de wereldwijde jaaromzet. Ook kunnen toezichthouders producten van de markt halen of bedrijven dwingen om hun systemen aan te passen. De Digital Markets Authority (DMA) zal ook een rol spelen, vooral bij AI-systemen die worden gebruikt op digitale marktplaatsen. Het is dus niet alleen de AI Act waarmee je rekening moet houden; er komen steeds meer Europese regels bij.
De EU AI Act voor MKB-ondernemers is een complexe wet, maar het biedt ook kansen. Bedrijven die nu investeren in compliant AI-systemen, hebben een voorsprong op de concurrentie.
Door kritisch te zijn op je leveranciers en de juiste vragen te stellen, minimaliseer je risico’s en bouw je aan een betrouwbare AI-strategie.
Vergeet niet: compliance is geen eenmalige klus, maar een continu proces. Blijf op de hoogte van nieuwe ontwikkelingen en zorg dat je altijd bewijsmateriaal paraat hebt. Zo ben je niet alleen veilig, maar ook klaar voor de toekomst.