AI Act verplichtingen voor gebruikers: verantwoord AI inzetten
Je hoeft geen AI te bouwen om verplichtingen te hebben onder de AI Act. Als je AI-systemen van derden inzet in je bedrijfsprocessen, ben je gebruiker en gelden er concrete regels. Welke dat zijn hangt af van het risiconiveau van de systemen die je gebruikt.
De AI Act (Verordening EU 2024/1689) is de eerste bindende AI-regelgeving ter wereld. De verordening is op 1 augustus 2024 in werking getreden en wordt gefaseerd van toepassing. Bedrijven die AI-systemen ontwikkelen zijn aanbieders. Bedrijven die AI-systemen van anderen inzetten in hun eigen processen of voor hun eigen klanten zijn gebruikers, ook wel "deployers" genoemd.
Voor gebruikers gelden minder en andere verplichtingen dan voor aanbieders, maar ze zijn niet vrijgesteld. Dit artikel richt zich uitsluitend op de verplichtingen voor gebruikers.
Wanneer ben je gebruiker onder de AI Act?
Je bent gebruiker als je een AI-systeem dat je niet zelf hebt ontwikkeld, inzet in je eigen bedrijfsprocessen of voor je klanten. Dat is een brede definitie.
| Situatie | Gebruiker? |
|---|---|
| Je gebruikt ChatGPT of Microsoft Copilot intern voor tekstwerk | Nee (privégebruik valt buiten reikwijdte) |
| Je integreert een AI-chatbot in je klantenservice | Ja |
| Je gebruikt een HR-tool met AI-screening van sollicitanten | Ja |
| Je koopt een creditscoring-dienst met AI | Ja |
| Je gebruikt AI-gegenereerde content in je marketing | Nee (geen inzet van AI-systeem in proces) |
| Je automatiseert een beslissing met een AI-model | Ja |
Het onderscheid tussen intern gebruik en professionele inzet in een bedrijfsproces is niet altijd scherp. Bij twijfel behandel je het conservatief: als AI een rol speelt in een beslissing die klanten of medewerkers raakt, val je vrijwel zeker onder de gebruikersbepalingen.
Het risicoclassificatiesysteem
De verplichtingen voor gebruikers hangen af van het risiconiveau van het AI-systeem dat je inzet. De AI Act onderscheidt vier niveaus.
| Risiconiveau | Omschrijving | Voorbeelden | Verplichtingen gebruiker |
|---|---|---|---|
| Onaanvaardbaar | Verboden systemen | Sociale scoresystemen, realtime biometrische surveillance | Verboden in te zetten |
| Hoog risico | Systemen in kritieke domeinen | AI voor HR, kredietverlening, onderwijs, veiligheid | Zwaarste verplichtingen |
| Beperkt risico | Transparantieverplichtingen | Chatbots, deepfakes, emotieherkenning | Meldplicht naar gebruiker |
| Minimaal risico | Geen specifieke regels | AI-filters in e-mail, spelchecker | Geen extra verplichtingen |
De meeste AI-tools die MKB-bedrijven gebruiken vallen onder minimaal of beperkt risico. Maar enkele veelgebruikte systemen vallen wel degelijk onder hoog risico, met name in HR en financiële besluitvorming.
Hoog-risico AI: wanneer valt jouw systeem eronder?
Hoog-risico AI is gedefinieerd in bijlage III van de AI Act. Relevante categorieën voor het MKB:
| Categorie | Concrete voorbeelden |
|---|---|
| Werkgelegenheid en personeelsbeheer | AI-screening van cv's, scoring van kandidaten, prestatiebewaking |
| Toegang tot essentiële diensten | AI-kredietscoring, verzekerbaarheidsmodellen |
| Onderwijs en beroepsopleiding | AI-evaluatie van leerlingen of deelnemers |
| Rechtshandhaving | Risicobeoordeling van personen (politie, beveiliging) |
| Migratie en grensbeheer | Verificatie van reisdocumenten |
Gebruik je een sollicitatiescreener met AI-rangschikking, een creditcheck-dienst of een prestatiemonitoringtool voor medewerkers, dan zit je in het hoog-risicodomein, ook als leverancier van de software dat zo niet benoemt.
Verplichtingen voor gebruikers van hoog-risico AI (AI Act art. 26)
Als je hoog-risico AI inzet, gelden de volgende verplichtingen:
1. Gebruik conform aanwijzingen aanbieder
Je gebruikt het systeem uitsluitend zoals de aanbieder heeft bedoeld. Gebruik buiten de beoogde scope maakt jou mede-aanbieder met bijbehorende zwaardere verplichtingen.
2. Menselijk toezicht
Je zorgt voor aantoonbaar menselijk toezicht op de AI-beslissingen. Een medewerker beoordeelt de AI-output voordat een beslissing definitief wordt. Volledig geautomatiseerde beslissingen zonder menselijke tussenkomst zijn bij hoog-risico AI niet toegestaan (zie ook AVG art. 22 voor het geval persoonsdata betrokken is).
3. Invoerdata bewaken
Je controleert of de data die je in het systeem invoert relevant en voldoende betrouwbaar is voor het beoogde gebruik.
4. Logboekbewaring
Je bewaart de automatisch gegenereerde logs van het AI-systeem, voor zover je daar controle over hebt.
5. Melden van incidenten
Ernstige incidenten of onverwachte risico's die je ontdekt, meld je aan de aanbieder van het systeem.
6. Melden aan markttoezichthouder
Bij ernstige incidenten met hoog-risico AI meld je dit ook aan de bevoegde nationale autoriteit (in Nederland naar verwachting de ACM of een sectorspecifieke toezichthouder).
Praktijkscenario: HR-tool met AI-screening
Een productiebedrijf met 80 medewerkers schakelt een externe HR-dienstverlener in voor de eerste selectie van sollicitanten. De dienstverlener gebruikt een AI-systeem dat cv's rankt op basis van historische aanwervingsdata. Het productiebedrijf is gebruiker van dit hoog-risico systeem (bijlage III, categorie 4a: selectie van personen).
Verplichtingen voor het productiebedrijf:
- Schriftelijk vastleggen dat een HR-medewerker elke AI-rangschikking beoordeelt voor er contact wordt opgenomen of afgewezen
- In de arbeidsadvertentie of sollicitatieprocedure vermelden dat AI wordt ingezet bij de selectie
- Vragen om inzage in de logs bij klachten van sollicitanten
- Controleren dat de aanbieder de AI-tool als hoog-risico heeft geregistreerd in de EU-database
Stelt de aanbieder dat het systeem geen hoog-risico AI is terwijl er wel selectiebeslissingen op worden gebaseerd, dan neemt het productiebedrijf dat standpunt juridisch over en loopt aansprakelijkheidsrisico.
Verplichtingen bij beperkt-risico AI: transparantie
Voor systemen met beperkt risico geldt primair een transparantieverplichting. Als je een AI-chatbot inzet in je klantenservice, moet de klant weten dat hij met een AI communiceert. Deepfakes of AI-gegenereerde afbeeldingen moeten als zodanig herkenbaar zijn.
Concreet voor je website of klantenservice:
- Vermeld duidelijk wanneer een chatbot een gesprek voert, niet een medewerker
- Zorg dat overschakelen naar een medewerker altijd mogelijk is
- Label AI-gegenereerde content die realistisch oogt als kunstmatig gemaakt
Inwerkingtredingsdata: wanneer gelden welke verplichtingen?
De AI Act treedt gefaseerd in werking. Voor gebruikers zijn deze data relevant:
| Datum | Wat geldt dan |
|---|---|
| 2 februari 2025 | Verboden AI-toepassingen (art. 5) gelden definitief. Inzet verboden. |
| 2 augustus 2025 | GPAI-modellen (art. 51-56) en bijbehorende gedragscodes gelden. |
| 2 augustus 2026 | Hoog-risico AI systemen (bijlage III) zijn volledig onderworpen aan alle verplichtingen. |
| 2 augustus 2027 | Hoog-risico AI geïntegreerd in producten (bijlage I) valt volledig onder de wet. |
Systemen die vóór 2 augustus 2026 al op de markt zijn, krijgen soms overgangsperiodes van 12 tot 36 maanden. Controleer voor elk systeem dat je al gebruikt of de aanbieder een overgangsperiode heeft gecommuniceerd. Gebruik je op 1 januari 2027 nog een hoog-risico AI-systeem zonder conformiteitsdocumentatie, loop je direct handhavingsrisico.
Boetes voor gebruikers per type overtreding:
| Overtreding | Maximumboete |
|---|---|
| Verboden AI inzetten (art. 5) | €35.000.000 of 7% wereldwijde jaaromzet |
| Verplichtingen hoog-risico niet naleven | €15.000.000 of 3% wereldwijde jaaromzet |
| Onjuiste informatie aan toezichthouder | €7.500.000 of 1% wereldwijde jaaromzet |
Stappenplan: AI Act compliance als gebruiker
Stap 1: inventariseer welke AI-systemen je gebruikt
Maak een lijst van alle tools met een AI-component: CRM-functies, HR-software, financiële analyses, klantenservice-tools, marketingautomatisering.
Stap 2: bepaal het risiconiveau per systeem
Toets elk systeem aan bijlage III van de AI Act. Raadpleeg bij twijfel de aanbieder of een juridisch adviseur.
Stap 3: check aanbiedersdocumentatie
Hoog-risico AI-systemen moeten door de aanbieder worden voorzien van technische documentatie en een conformiteitsverklaring. Vraag die op en bewaar ze.
Stap 4: stel intern toezicht in
Wijs per hoog-risico systeem een verantwoordelijke medewerker aan die toezicht houdt op de AI-beslissingen en bij wie medewerkers of klanten terecht kunnen.
Stap 5: pas communicatie aan
Controleer je website, klantenservice-scripts en arbeidsadvertenties op transparantieverplichtingen.
Stap 6: documenteer
Leg vast welke AI-systemen je gebruikt, op welk risiconiveau je ze hebt ingedeeld en welke maatregelen je hebt getroffen. Dit is je verweer bij een controle.
AI-gebruikers-verplichtingen per risicocategorie
| Risicocategorie | Jij als gebruiker | Verplichtingen | Inwerkingtreding |
|---|---|---|---|
| Verboden AI | Niet gebruiken | Verbod, geen uitzondering | 2 augustus 2025 |
| Hoog-risico AI (bijlage III) | Gebruikers moeten aanbieder informeren | Monitoring, klachtenregistratie, mensentoezicht | Augustus 2026 |
| Beperkt-risico AI (chatbot, deepfake) | Transparantie aan gebruiker | Melden dat men met AI praat | 2 augustus 2025 |
| Minimaal risico (tekstgenerators, spelletjes) | Vrijwillige gedragscode | Geen wettelijke verplichting | N.v.t. |
Hoog-risico AI-toepassingen die voor MKB relevant zijn
| AI-toepassing | Risicocategorie | MKB-relevant? | Gebruikersverplichting |
|---|---|---|---|
| AI-sollicitatieselectie | Hoog risico | Ja (bij gebruik) | Mensentoezicht verplicht, logging |
| AI-kredietscoring | Hoog risico | Ja (bij gebruik) | Mensentoezicht, audit trail |
| AI-biometrische identificatie | Hoog risico | Soms | Mensentoezicht, databescherming |
| AI-chatbot klantenservice | Beperkt risico | Ja | Melden dat het AI is |
| AI-contentgeneratie (blogs, afbeeldingen) | Minimaal/beperkt | Ja | Melden als synthese |
| AI-deepfake gezichtsbewerking | Beperkt risico | Soms | Altijd melden |
| AI-spam/phishing-detectie | Minimaal risico | Ja | Geen specifieke verplichting |
| AI-tekstverwerking (vertalen, samenvatten) | Minimaal risico | Ja | Geen specifieke verplichting |
Boetes AI Act voor gebruikers
| Overtreding | Maximale boete | Wie legt op |
|---|---|---|
| Gebruik van verboden AI-praktijken | €35 mln of 7% wereldwijde omzet | Nationale toezichthouder |
| Schending hoog-risico AI-verplichtingen | €15 mln of 3% wereldwijde omzet | Nationale toezichthouder |
| Onjuiste informatie aan toezichthouder | €7,5 mln of 1% wereldwijde omzet | Nationale toezichthouder |
| GPAI-modellen (aanbieders) | €15 mln of 3% voor schending codes | Europese AI Office |
Voor MKB-gebruikers (geen aanbieders) zijn de verplichtingen beperkt: gebruik van verboden AI (absoluut verbod) en transparantie bij beperkt-risico AI (chatbots). Hoog-risico AI-systemen brengen meer verplichtingen, maar die gelden primair voor de aanbieder.
Veelgestelde vragen
Gelden dezelfde regels als je ChatGPT of Copilot intern gebruikt?
Voor puur intern gebruik (medewerkers gebruiken AI als werktuig) zijn de verplichtingen beperkt. Maar als je AI-output gebruikt om beslissingen over klanten of medewerkers te onderbouwen, val je al snel in de gebruikerscategorie.
Wat als mijn leverancier zegt dat zijn systeem geen hoog-risico AI is?
Je bent zelf verantwoordelijk voor de inschatting van het risico in jouw toepassing. Als je een systeem inzet op een manier die valt onder bijlage III, ben je hoog-risicoverplichtingen verschuldigd ongeacht wat de aanbieder beweert.
Wanneer gelden de regels voor gebruikers volledig?
Hoog-risico AI voor algemeen gebruik: augustus 2026. Verboden AI: al per februari 2025. GPAI-modellen (zoals ChatGPT): augustus 2025. Controleer de actuele inwerkingtredingsdata op EUR-Lex.
Wat zijn de boetes voor gebruikers?
Overtredingen door gebruikers kunnen leiden tot boetes tot €15 miljoen of 3% van de wereldwijde jaaromzet. Voor inzet van verboden AI liggen de maxima hoger (€35 miljoen of 7%).
*Zie ook: AI Act voor het MKB | AI Act verplichtingen voor aanbieders | AI Act risicoclassificatie | ChatGPT zakelijk inzetten | AI en AVG privacy | AI risico's voor het MKB | AI beleid opstellen*