Artificiele Intelligentie

EU AI Act: de conformiteitsgids voor Belgische kmo's

Gepubliceerd op Door Dr Ir Hüseyin Cakmak
#eu ai act kmo #ai act conformiteit #ai regelgeving belgie #europese ai-verordening #verplichtingen ai act
EU AI Act: de conformiteitsgids voor Belgische kmo's

De EU AI Act is het eerste Europese wettelijke kader voor artificiele intelligentie. Hij treedt gefaseerd in werking tussen 2025 en 2027, op basis van het gebruik van AI en niet van de bedrijfsgrootte. Voor een Belgische kmo is de uitdaging niet alles ineens aanpakken, maar weten wat haar aanbelangt, en wanneer [1][3].

Wat is de EU AI Act en wie wordt in Belgie geviseerd?

De EU AI Act, formeel verordening (EU) 2024/1689, is op 1 augustus 2024 in werking getreden. Het is een Europese verordening: ze geldt rechtstreeks in Belgie, zonder nationale omzetting, net zoals de GDPR [1][2]. De aanpak is gebaseerd op risico: hoe meer een AI-systeem de gezondheid, de veiligheid of de grondrechten kan schaden, hoe zwaarder de verplichtingen.

Een punt zet bedrijfsleiders vaak op het verkeerde been: de tekst viseert geen categorie van ondernemingen, maar rollen. U kunt "aanbieder" zijn als u een AI-systeem onder uw merk ontwikkelt of laat ontwikkelen, of "gebruiksverantwoordelijke" als u zo'n systeem professioneel inzet. De grote meerderheid van de Belgische kmo's is in de eerste plaats gebruiksverantwoordelijke: ze gebruikt een chatbot, een cv-sorteertool, een schrijfassistent of scoringssoftware die een derde levert.

Dat onderscheid bepaalt alles, omdat de verplichtingen per rol verschillen. De verordening voorziet trouwens begeleidende maatregelen voor kleine en middelgrote structuren, zodat de conformiteitslast proportioneel blijft [2]. De nuttige reflex is dus niet paniek, maar in kaart brengen: welke AI-systemen zijn echt in gebruik bij u, en in welke hoedanigheid.

Wat is de toepassingskalender van de EU AI Act?

De verordening geldt niet in een keer. Ze volgt een gefaseerde kalender, wat tijd laat om zich te organiseren op voorwaarde dat u de vervaldata kent. Hier zijn de belangrijkste fasen, zoals ze in de officiele implementatiekalender staan [3].

Datum Wat van toepassing wordt Typische impact voor een kmo
1 augustus 2024 Inwerkingtreding van de verordening Geen onmiddellijke verplichting
2 februari 2025 Verboden praktijken en AI-geletterdheid Elk verboden gebruik stopzetten; teams opleiden
2 augustus 2025 AI voor algemene doeleinden, governance en sancties Uw AI-modelleveranciers nagaan
2 augustus 2026 Gros van de regels, waaronder hoog-risico AI (bijlage III) en transparantie Kern van de verplichtingen voor de meeste gevallen
2 augustus 2027 Hoog risico bij gereglementeerde producten (artikel 6, lid 1) Vooral AI geintegreerd in gecertificeerde producten

Kort gezegd zijn twee vervaldata al gepasseerd en verbinden ze uw kmo vandaag al: het verbod op verboden praktijken en de verplichting tot AI-geletterdheid sinds februari 2025, daarna het regime voor AI voor algemene doeleinden sinds augustus 2025 [3]. De meest structurerende vervaldatum voor het vervolg is 2 augustus 2026, die het gros van het dispositief activeert, met name voor hoog-risicosystemen en transparantieverplichtingen.

Die faselogica doet denken aan de NIS2-richtlijn in cybersecurity: een Europees kader, een geleidelijke toepassing, en een reeel risico als u de voorbereidingstijd onderschat. Anticiperen blijft goedkoper dan zich in allerijl conform maken.

Welke AI-praktijken zijn verboden sinds februari 2025?

Sinds 2 februari 2025 is een sokkel van AI-praktijken zonder meer verboden in de Unie, ongeacht de sector [3][4]. Het gaat om gebruiken die strijdig worden geacht met de Europese waarden en grondrechten. Een kmo zet die zelden in, maar controleer beter dat geen enkele tool in gebruik eronder valt.

Onder de door artikel 5 van de verordening verboden praktijken vallen onder meer:

  • gedragsmanipulatie die de kwetsbaarheden van een persoon uitbuit om diens beslissingen aanzienlijk te beinvloeden;
  • sociale scoring van individuen op basis van hun gedrag of persoonlijke kenmerken;
  • bepaalde vormen van emotieherkenning op de werkvloer;
  • het niet-gericht scrapen van gezichtsbeelden om herkenningsdatabanken op te bouwen.

De volledige lijst en de exacte formulering behoren tot de tekst zelf, en de interpretatie evolueert [4]. De goede reflex voor een kmo is haar hr-, marketing- en bewakingstools te overlopen: dat zijn de domeinen waar een op het eerste gezicht onschuldig gebruik in een gevoelige categorie kan kantelen. Bij twijfel over een concreet geval voorkomt het advies van een gespecialiseerd jurist of technische begeleiding een dure inschattingsfout.

Die verboden gaan sinds dezelfde datum gepaard met een verplichting tot AI-geletterdheid (artikel 4): wie AI-systemen exploiteert of inzet, moet over voldoende inzicht beschikken in hun werking en hun beperkingen [3]. Voor een kmo vertaalt zich dat concreet in een sensibilisering van de betrokken teams, proportioneel aan de effectief gebruikte systemen.

Gebruikt uw kmo een hoog-risico AI-systeem?

Dat is de vraag die het gros van uw conformiteitslast bepaalt. De verordening classeert bepaalde gebruiken als "hoog risico" wanneer ze gevoelige domeinen raken: werving en personeelsbeheer, toegang tot essentiele diensten, kredietwaardigheidsbeoordeling, kritieke infrastructuur, onderwijs, of bepaalde veiligheidsvoorzieningen [2][6]. Een tool die automatisch sollicitaties sorteert of kredietaanvragen beoordeelt, kan zo in die categorie belanden.

De vier risiconiveaus van de verordening lezen als een schaal:

  1. Onaanvaardbaar risico: verboden praktijken (zie vorige rubriek).
  2. Hoog risico: strikte verplichtingen inzake risicobeheer, datakwaliteit, documentatie, logging en menselijk toezicht.
  3. Beperkt risico: transparantieverplichtingen (de gebruiker informeren dat hij met een AI interageert).
  4. Minimaal risico: de meerderheid van de courante gebruiken, zonder specifieke verplichting.

Voor de meeste kmo's is de geruststellende waarheid dat hun dagelijkse gebruiken onder minimaal of beperkt risico vallen. Maar een enkel hoog-risicosysteem volstaat om zware verplichtingen uit te lokken, die voor het gros vanaf 2 augustus 2026 van toepassing zijn [3]. Vandaar het belang van een eerlijke inventaris in plaats van een aanname. Bij ITOPS.be benaderen we die diagnose als een voorafgaande kadering (Blueprint): de systemen identificeren, hun risiconiveau kwalificeren, en dan de acties prioriteren voordat de uitvoering start.

eu ai act, schaal van de vier risiconiveaus voor een Belgische kmo

Welke verplichtingen voor AI voor algemene doeleinden en transparantie?

Sinds 2 augustus 2025 zijn AI-modellen voor algemene doeleinden, die de meeste generatieve assistenten voeden, onderworpen aan eigen verplichtingen, hoofdzakelijk gedragen door hun aanbieders [3]. Voor een kmo-gebruiker is de impact onrechtstreeks maar reeel: u moet zich ervan vergewissen dat de leveranciers van de AI-tools die u integreert hun eigen verplichtingen naleven, met name inzake technische documentatie en transparantie.

Vanaf 2 augustus 2026 nemen de transparantieverplichtingen van artikel 50 in kracht toe [3][7]. Concreet moet een gebruiker geinformeerd worden wanneer hij met een AI interageert (een chatbot bijvoorbeeld), en moeten door AI gegenereerde of gemanipuleerde inhoud, waaronder deepfakes, als zodanig herkenbaar zijn. Voor een kmo die een gespreksagent op haar site inzet of AI-ondersteunde visuals produceert, leggen die regels een duidelijke en eerlijke vermelding op.

Die eisen staan niet op zichzelf. Ze combineren met de GDPR zodra persoonsgegevens in het spel zijn. De Gegevensbeschermingsautoriteit herinnert eraan dat GDPR-conformiteit volledig verplicht blijft naast de EU AI Act, waarbij beide regimes parallel gelden en niet het ene in plaats van het andere [5]. Een Belgische kmo moet dus op twee vlakken tegelijk redeneren: rechtmatigheid van de gegevensverwerking enerzijds, conformiteit van het AI-systeem anderzijds.

Hoe maakt u uw kmo stap voor stap conform?

Het goede nieuws is dat een methodische aanpak volstaat voor de meeste kmo's. Het gaat er niet om alles tegelijk aan te pakken, maar om een logische volgorde te volgen die de reglementaire kalender weerspiegelt.

  1. Uw AI-systemen inventariseren: som elke tool op die AI gebruikt, uw rol (aanbieder of gebruiksverantwoordelijke) en de finaliteit. Zonder die kaart kan geen enkele verplichting correct worden gekwalificeerd.
  2. Het risiconiveau kwalificeren: classeer elk systeem volgens de vier niveaus. Weer eerst elk gebruik dat onder de verboden praktijken valt [4].
  3. Eerst het dringende behandelen: controleer de conformiteit met de al toepasselijke verplichtingen (verboden praktijken en AI-geletterdheid sinds februari 2025, AI voor algemene doeleinden sinds augustus 2025) [3].
  4. De vervaldatum van augustus 2026 voorbereiden: documenteer, omkader en plan voor elk hoog-risicosysteem of systeem onderworpen aan transparantie de nodige maatregelen voor de toepassingsdatum.
  5. Afstemmen op de GDPR: lijn voor elk systeem dat persoonsgegevens verwerkt de AI Act-aanpak uit op uw bestaande GDPR-verplichtingen [5].

Die sequentie past natuurlijk in onze aanpak in twee tijden: een kadering (Blueprint) die verheldert wat u aanbelangt, gevolgd door een uitvoering (Build) die de diagnose vertaalt in concrete maatregelen. Om die AI-governance in een ruimere strategie te situeren, toont onze gids over AI voor kmo's en de concrete cases hoe conformiteit en bedrijfswaarde samen vorderen.

Een laatste voorzichtigheidsbaken: de precieze modaliteiten, drempels en toepassingsgidsen van de EU AI Act worden door de Europese en Belgische autoriteiten verder gepubliceerd en verfijnd. Behandel dit kader als een levende werf, om in de tijd op te volgen, eerder dan als een vakje dat u eens en voorgoed afvinkt. Controleer altijd het geldende recht bij de officiele bronnen voor een engagerende beslissing.

Veelgestelde vragen

Geldt de EU AI Act voor een kleine Belgische kmo?

Ja, de verordening geldt op basis van het gebruik van AI, niet op basis van de bedrijfsgrootte. Een kmo die een AI-systeem inzet of gebruikt valt onder de verplichtingen, met een verlicht regime voor kleine structuren bij sommige stappen [1][2].

Welke sleuteldata van de EU AI Act moet ik onthouden?

De verboden praktijken en de AI-geletterdheid gelden sinds 2 februari 2025, de verplichtingen voor AI voor algemene doeleinden sinds 2 augustus 2025, en het gros van de regels voor hoog-risicosystemen vanaf 2 augustus 2026 [3].

Loopt een kmo sancties op bij niet-conformiteit?

De verordening voorziet administratieve boetes, waarvan de hoogste plafonds gelden voor de verboden praktijken. De bedragen houden rekening met de bedrijfsgrootte, maar niet-conformiteit blijft een risico dat u geval per geval moet inschatten [1].

Vervangt de EU AI Act de GDPR voor kmo's?

Nee. Beide teksten bestaan naast elkaar: de GDPR regelt persoonsgegevens, de EU AI Act regelt AI-systemen. De Gegevensbeschermingsautoriteit herinnert eraan dat GDPR-conformiteit parallel verplicht blijft [5].

Bronnen en referenties

  1. EUR-Lex: Verordening (EU) 2024/1689 tot vaststelling van geharmoniseerde regels betreffende artificiele intelligentie (AI Act)
  2. Europese Commissie: Europees regelgevend kader voor artificiele intelligentie
  3. AI Act: Gefaseerde implementatiekalender
  4. AI Act: Artikel 5, verboden AI-praktijken
  5. Gegevensbeschermingsautoriteit: Artificiele intelligentie en gegevensbescherming
  6. AI Act: Artikel 6, classificatieregels voor hoog-risicosystemen
  7. AI Act: Artikel 50, transparantieverplichtingen