conxion logo wit
account center
conxion logo wit
terug naar overview

EU AI Act Explained: Alles wat je moet weten voor jouw bedrijf

#52TOPICS

“Ik doe toch niks verkeerd.” Dat is wat de meeste ondernemers denken als je de AI Act ter sprake brengt.

 

Maar wist je dat je als bedrijf al verantwoordelijk bent voor hoe je medewerkers AI gebruiken? Dat een gratis AI-tool je bedrijfsgeheimen op het internet kan zetten? En dat je concurrent jou straks kan aanklagen voor oneerlijke concurrentie als jij niet compliant bent?

 

In de nieuwste aflevering van 52 Topics gaan we in gesprek over de AI Act met legal expert Maarten Verhaghe van Trust Advocaten.

Snelle links 🔗:

Wat is de AI Act eigenlijk?

Europa doet wat Europa doet: reguleren. Maar dit keer niet zomaar.

 

De AI Act is een Europese verordening, geen richtlijn die eerst door nationale parlementen moet passeren, maar een wet die rechtstreeks van kracht is in alle EU-lidstaten. Ze reguleert het gebruik van artificiële intelligentie met één centraal doel: de mens beschermen. Grondrechten, privacy, vrijheid, bedrijfsgeheimen. Europa wil niet dat een algoritme bepaalt wie een lening krijgt, wie ontslagen wordt of wie gevolgd wordt via camera’s, tenzij dat onder strenge voorwaarden en met menselijk toezicht gebeurt.

 

Het verschil met de VS of China? Gigantisch. Terwijl andere grootmachten voluit inzetten op snelheid en schaal, kiest Europa bewust voor een ethisch kader.

 

Innovatie remmen? Nee. Spelregels opstellen? Ja. En die spelregels gelden ook voor buitenlandse bedrijven die hun AI inzetten op de Europese markt.

"Europa is nog altijd een enorme afzetmarkt. Bedrijven die moord en brand schreeuwen over de AI Act? Die willen gewoon niet verplicht worden zich aan te passen. Maar als de EU niet interessant zou zijn, zouden de Amazons en Facebooks hier allang vertrokken zijn."

De AI Act staat niet alleen

Dit is misschien wel het belangrijkste inzicht van het gesprek.

 

De AI Act is geen losstaande wet. Ze functioneert als het derde luik van een bredere Europese digitale strategie:

 

  • GDPR: bescherming van persoonsgegevens
  • NIS2: cyberveiligheid voor kritieke sectoren
  • AI Act: regulering van artificiële intelligentie

 

Ze overlappen. Ze verwijzen naar elkaar. Een beslissing die AI maakt over een persoon? Dat is tegelijk een AI Act-kwestie én een GDPR-kwestie. Een AI-systeem dat gehackt wordt? Dat is AI Act én NIS2. Je kunt ze niet los van elkaar zien.

 

Maarten geeft een heldere tip: start niet met drie aparte trajecten. Doe de oefening één keer, integraal. De overlap is te groot om ze apart te behandelen en vroeg of laat moet je toch consolideren.

Drie niveaus: verboden, hoog risico en beperkt risico

De AI Act werkt met een risico-gebaseerde aanpak. Hoe groter het potentiële gevaar voor mensen, hoe strenger de regels. Er zijn drie niveaus:

Verboden AI

Mag gewoon niet. Punt

Social scoring (mensen beoordelen op basis van gedrag), automatische gezichtsherkenning via publieke camera’s, scraping voor profiling. Dit zijn systemen die fundamentele rechten schenden en ze zijn verboden, ongeacht het doel.

Hoog Risico AI

Mag, maar met strenge voorwaarden

AI die mensen beoordeelt in een arbeidscontext: sollicitaties screenen, promoties evalueren, ontslagbeslissingen ondersteunen. Mag gebruikt worden, door bedrijven én headhunters, maar vereist een risicoanalyse, menselijk toezicht en melding aan het AI-bureau.

Beperkt Risico AI

Wat wij dagelijks gebruiken

ChatGPT, Copilot, Gemini, Claude. Tekst, beeld, audio genereren. Hier liggen de verplichtingen vooral bij de aanbieder, maar ook jij als gebruiker hebt verantwoordelijkheden. Welke data laad je in? Wie heeft er toegang?

Het cruciale punt: het beoogde doel bepaalt het risiconiveau, niet het systeem op zich. Gebruik je Copilot om nieuwsbrieven te schrijven? Beperkt risico. Gebruik je datzelfde Copilot om ontslagbeslissingen te ondersteunen? Dan zit je plots in hoog risico-territorium. En dan gelden er heel andere regels.

Praktijkvoorbeeld: AI in een recruitmentbedrijf

Stel: je runt een recruitmentbureau. Je wil AI inzetten om het selectieproces te versnellen. Slimme zet, maar waar moet je op letten?

Stap 1: Koop slim in

Is het AI-systeem dat je aankoopt zelf compliant? Heeft de aanbieder de juiste beveiligingsmaatregelen? Zit er een afdoende gebruikershandleiding bij? De aanbieder heeft verplichtingen, maar jij bent verantwoordelijk voor wat je inkoopt.

Stap 2: Doe een risicoanalyse

Welke dataset gebruik je? Wat is het exacte doel? Als dat doel “mensen beoordelen voor een job” is, zit je in hoog-risico-AI. Dan moet je een formeel risico assessment uitvoeren en dit, zodra het AI-bureau operationeel is, melden.

Stap 3: Menselijk toezicht is verplicht

Bij hoog-risico AI mag het systeem zelf geen beslissingen nemen. Er moet altijd een mens zijn die de output beoordeelt. En dat moet een betekenisvolle menselijke tussenkomst zijn, niet iemand die gedachteloos op “goedkeuren” klikt.

Stap 4: GDPR blijft altijd gelden

Sollicitanten zijn personen. Hun gegevens vallen onder GDPR. Geautomatiseerde beslissingen met individuele gevolgen, iemand al dan niet uitnodigen, iemand al dan niet afdanken, zijn enkel toegestaan onder specifieke voorwaarden: toestemming of contractuele noodzaak.

 

"Op het moment dat je als gebruiker een AI-systeem inzet voor een ander doel dan waarvoor het ontworpen is, word je in feite zelf een producent. En dan gelden er heel andere regels."

Het gevaar van gratis tools

Even ChatGPT gebruiken. Snel iets laten samenvatten. Een contract laten nakijken. Iedereen doet het. Maar lees je ook de gebruiksvoorwaarden?

 

Maarten haalt een concreet voorbeeld aan: Samsung. Medewerkers voerden broncode en verslagen van vertrouwelijke meetings in via ChatGPT. De informatie belandde op het internet. Met de juiste prompts was die informatie achteraf opvraagbaar.

 

Bij gratis tools doe je in veel gevallen afstand van de data die je ingeeft. Die data kan gebruikt worden om het model verder te trainen. Staat dat in de kleine lettertjes? Ja. Leest iemand die? Zelden.

 

Dit geldt extra sterk voor beroepen met een beroepsgeheim:

 

  • Advocaten
  • Boekhouders
  • Dokters
  • Financieel adviseurs

 

Voor hen is het gebruik van een publieke AI-tool met dossiergegevens niet alleen riskant — het kan een schending van het beroepsgeheim betekenen. Zelfs bij betalende tools: lees wat er staat over hergebruik van jouw data voor training.

De 5 vuistregels voor verantwoord AI-gebruik

Maarten vat het samen in heldere stappen. Dit is je checklist voordat je AI inzet in je organisatie:

1
Wie ben ik?

Bepaal je juridische kwalificatie. Welke wetgeving is op jou van toepassing? GDPR? NIS2? AI Act? En in welke hoedanigheid — gebruiker, aanbieder, of mogelijk allebei? Dit is het fundament van alles.

 

2
Welk type AI gebruik ik en voor welk doel?

Beperkt risico of hoog risico? Het doel bepaalt de categorie. Schrijf je brieven of neem je beslissingen over mensen? Dat maakt een wereld van verschil.

 

3
Wat geef ik in en wat blijft intern?

Bedrijfsgeheimen, IP, persoonsgegevens: dat hoort niet in een publieke AI-tool. Bepaal duidelijk wat intern blijft en wat buiten de organisatie mag. En: wie heeft toegang tot het systeem? Need-to-know, altijd.

 
4
Stel menselijk toezicht in

Neem geen AI-output for granted. Controleer altijd. Controleer de bronnen. Houd rekening met hallucinaties. Jij bent verantwoordelijk voor wat je communiceert of beslist ook als een AI het gegenereerd heeft.

 
5
Maak een AI-beleid en leid je mensen op

Een policy is geen document dat in een lade belandt. Het is een levend stuk dat meegenomen wordt bij onboarding, besproken wordt in team, en geüpdatet wordt als de wereld verandert. Zonder beleid creëer je Shadow AI en dát is een tijdbom.

Shadow AI: het nieuwe Shadow IT

Herinner je Shadow IT? Medewerkers die eigen tools installeerden buiten de IT-afdeling om. Dropbox, WhatsApp, noem maar op. Jaren later zitten bedrijven nog met de gevolgen.

 

Shadow AI is hetzelfde fenomeen, maar de stakes zijn hoger.

 

Als medewerkers op eigen houtje AI-tools beginnen te gebruiken — met bedrijfsinformatie, met klantgegevens, met contracten — dan ben jij als organisatie daarvoor aansprakelijk. Niet de medewerker. Jij.

Een AI-policy is dus geen luxe. Het is een noodzaak. Maak duidelijk:

  • Welke tools zijn toegestaan
  • Wat wel en niet ingegeven mag worden
  • Wie toegang heeft tot welke systemen
  • Hoe de output gecontroleerd moet worden

 

En dan ook: zorg dat de IT-rechten kloppen. Geen open SharePoint-omgevingen waar iedereen alles kan lezen. Geen AI-tools met onbeperkte toegang tot alle bedrijfsdata. Rechtenbeheer is de eerste verdedigingslinie.

Compliance als opportuniteit, niet als last

Dit is misschien wel de meest onderschatte boodschap van het gesprek.

 

Veel bedrijven weten vandaag niet wat ze hebben. Welke bedrijfsgeheimen liggen er ergens op een server? Welke persoonsgegevens worden verwerkt? Welke contracten zijn nog actueel?

 

Door met de AI Act — en GDPR en NIS2 — aan de slag te gaan, word je verplicht om je processen in kaart te brengen. En dat levert op:

 

  • Betere datakwaliteit
  • Geoptimaliseerde processen
  • Tijdswinst
  • Bescherming van je IP en bedrijfsgeheimen
  • Sterkere contracten met klanten en leveranciers

 

En dan is er nog het competitieve argument. Bedrijven die niet meegaan in compliance? Die riskeren niet alleen boetes en reputatieschade. Ze riskeren ook aansprakelijkheidsclaims. En — dit is bevestigd in rechtspraak — je concurrent kan je aanklagen voor oneerlijke concurrentie als jij de spelregels niet volgt die hij wél volgt.

"Bedrijven die er niet in meegaan: de vraag is of die binnen 5 tot 10 jaar nog bestaan."

Hoe begin je? Drie concrete eerste stappen

Goed, je bent overtuigd. Maar waar begin je als KMO die vandaag nog geen compliance-afdeling heeft?

 

Stap 1: Doe een juridische audit. Wie ben je als organisatie? Welke wetgeving is op jou van toepassing? Wat zijn je huidige contracten — met klanten, leveranciers, medewerkers? Zijn die nog actueel? Dit is het startpunt van alles.

 

Stap 2: Breng je AI-gebruik in kaart. Welke tools gebruiken je medewerkers vandaag — ook informeel? Wat gaan ze daarin? Welk doel dienen ze? Je kunt niets managen wat je niet kent.

 

Stap 3: Start met awareness. Informeer je team. Niet met een droge PowerPoint, maar met echte voorbeelden. Wat kan er misgaan? Wat betekent dit concreet voor hun dagelijkse werk? En maak een eerste versie van een AI-policy — al is het maar een A4’tje. Beter iets dan niets.

 

En daarna? Itereer. Probeer. Leer. Maarten zegt het zelf: “Behinder me niet. Doe inzichten op. Kijk wat er kan en wat er niet kan.” Maar doe het gestructureerd, en doe het samen.

Maarten over zijn eigen AI-gebruik

We sloten af met een eerlijke vraag: gebruikt Maarten zelf ook AI?

 

Ja. In zijn advocatenkantoor zetten ze AI in om sneller te zoeken in rechtspraak, rechtsleer en contracten. Complexe zaken analyseren gaat sneller. Er is tijdswinst.

 

Maar hij is duidelijk over de grenzen: “Het is ondersteunend, niet vervangend. Je moet slimmer zijn dan je AI-tool om de output te kunnen beoordelen.” En bronvermeldingen zijn niet-onderhandelbaar. Je moet altijd kunnen traceren waar de informatie vandaan komt — om hallucinaties te kunnen spotten en de kwaliteit te kunnen garanderen.

 

Dat is de toestand vandaag. AI als krachtige assistent, niet als autonome beslisser. En dat zal nog een tijdje zo blijven.

Gerelateerde artikelen

Meer weten over wat ConXioN voor jouw bedrijf kan betekenen?

Onze experts staan voor je klaar om je te begeleiden en te adviseren.

Get in touch

Gerelateerde artikelen

Tagged ,