Kaders

De EU-wet inzake kunstmatige intelligentie: wat houdt deze in en hoe moet deze worden geïmplementeerd?

Handleiding voor naleving van de EU-wet inzake kunstmatige intelligentie (AI-wet): breng rollen in kaart, beheer risico’s en governance, classificeer AI met een hoog risico, en voldoe aan de verplichtingen inzake transparantie en CE-markering.

Tuomas Pitkänen
9 april 2026
@

Inhoud van het artikel

ISO 27001 collectie
De EU-wet inzake kunstmatige intelligentie: wat houdt deze in en hoe moet deze worden geïmplementeerd?
NIS2-verzameling
De EU-wet inzake kunstmatige intelligentie: wat houdt deze in en hoe moet deze worden geïmplementeerd?
Cyberday blog
De EU-wet inzake kunstmatige intelligentie: wat houdt deze in en hoe moet deze worden geïmplementeerd?

De wet inzake kunstmatige intelligentie (AI-wet) is de eerste horizontale wet van de EU inzake AI, waarin wordt vastgelegd hoe AI kan worden ontwikkeld, op de markt gebracht en gebruikt. De wet is van toepassing op aanbieders, importeurs, distributeurs en gebruikers, ongeacht of hun AI-systemen binnen de EU worden gebruikt of alleen output produceren die gevolgen heeft voor mensen in de EU. Het doel is om risico's voor de gezondheid, de veiligheid en de grondrechten te verminderen en tegelijkertijd de deur open te houden voor betrouwbare innovatie.

Een belangrijk verschil met de meeste compliancekaders: de AI-wet richt zich niet in de eerste plaats op risico’s voor uw organisatie. De wet reguleert de risico’s die AI-systemen met zich meebrengen voor individuen, groepen en de samenleving als geheel. Een wervingsinstrument dat discrimineert, een kredietmodel dat mensen op oneerlijke wijze uitsluit, een chatbot die misleidt: dat zijn de nadelen waarop de wet zich richt. Deze op de buitenwereld gerichte risicobenadering bepaalt alles, van de indeling tot de handhaving.

De wet hanteert een risicogebaseerde aanpak: hoe groter het potentieel voor schade, hoe strenger de controles. Bepaalde AI-toepassingen zijn volledig verboden, terwijl systemen met een hoog risico alleen zijn toegestaan onder strikte bestuurlijke en technische voorwaarden. Voor toepassingen met een lager risico blijven de verplichtingen beperkt; hier wordt vooral gevraagd om elementaire transparantieverplichtingen in plaats van volledige nalevingsregels.

Verschillende risiconiveaus

Tot de risicovolle systemen behoren systemen die worden ingezet in gevoelige sectoren zoals wetshandhaving, arbeidsmarkt en kritieke infrastructuur. Deze systemen moeten voldoen aan uitgebreide eisen op het gebied van risicobeheer, menselijk toezicht, gegevensbeheer en technische robuustheid.

Tot systemen met een beperkt risico behoren chatbots, beeld- of tekstgeneratoren en eenvoudige aanbevelingssystemen. Hiervoor gelden alleen transparantieverplichtingen, waarbij in hoofdzaak moet worden vermeld dat gebruikers met AI communiceren.

Systemen met een minimaal risico, zoals spamfilters, vallen onder deze wet helemaal niet onder regelgeving, hoewel vrijwillige gedragscodes worden aangemoedigd.

Aangezien de wet voortbouwt op bestaande EU-wetgeving in plaats van deze te vervangen, hebben organisaties die al werken met de AVG, productveiligheidsregels of kaders voor consumentenbescherming een voorsprong. Een groot deel van de vereiste governance kan worden ingepast in de bestaande structuren, hoewel de lat voor documentatie en verantwoording gedurende de gehele AI-levenscyclus hoger komt te liggen.

Gratis nalevingsbeoordeling: Controleer of u voldoet aan de AI-wet

Wat de AI-wet voorschrijft

De wet is opgebouwd rond risiconiveaus, op rollen gebaseerde verplichtingen en controles gedurende de levenscyclus. Daarnaast worden er specifieke regels ingevoerd voor AI-modellen voor algemeen gebruik en gerichte transparantieverplichtingen voor dagelijkse AI-interacties. Deze doelstellingen vertalen zich in concrete instrumenten: verboden en controles op activiteiten met een hoog risico waarborgen de grondrechten, de CE-markering en geharmoniseerde normen bieden rechtszekerheid, en regelgevende sandboxes en gedragscodes ondersteunen innovatie.

Het is belangrijk om op te merken dat de definitie van een AI-systeem in de wet bewust technologieneutraal is. Deze omvat alle software die op basis van invoer conclusies trekt en uitvoer genereert, zoals voorspellingen, aanbevelingen of beslissingen, ongeacht of deze is gebaseerd op machine learning, op logica gebaseerde methoden of statistische benaderingen. Veel tools die teams momenteel niet als AI bestempelen, kunnen hier toch onder vallen, waardoor een grondige inventarisatie een essentiële eerste stap is.

Aanbieders, implementators en de waardeketen

De AI-wet legt verplichtingen op op basis van de plaats die je inneemt in de waardeketen; het belangrijkste onderscheid wordt gemaakt tussen aanbieders van AI met een hoog risico en gebruikers van AI-systemen met een hoog risico. Aanbieders zijn de organisaties die een AI-systeem ontwikkelen of dit onder eigen naam op de markt brengen. Zij dragen de zwaarste regelgevingslast: technische documentatie, risicobeheer, kwaliteitsbeheer, conformiteitsbeoordeling, CE-markering en monitoring na het in de handel brengen zijn allemaal de verantwoordelijkheid van de aanbieder.

Gebruikers zijn de organisaties die een AI-systeem in hun eigen bedrijfsvoering toepassen. Hun verplichtingen zijn minder zwaar, maar blijven niettemin aanzienlijk, met name voor systemen met een hoog risico. Gebruikers van AI-systemen met een hoog risico moeten zorgen voor menselijk toezicht, het systeem gebruiken in overeenstemming met de instructies van de aanbieder en toezien op risico’s binnen hun specifieke context. Ze zijn ook verplicht om, voordat ze een systeem met een hoog risico in gebruik nemen, een effectbeoordeling inzake de grondrechten uit te voeren, waarin de mogelijke gevolgen van het gebruik van het AI-systeem voor individuen, groepen en de samenleving worden vastgesteld. Importeurs en distributeurs hebben hun eigen taken op het gebied van verificatie en traceerbaarheid, maar voor de meeste lezers is het onderscheid tussen aanbieder en gebruiker het belangrijkste.

Inzicht in de rol die u bij elk AI-systeem vervult, vormt het uitgangspunt voor naleving. Een organisatie kan voor het ene systeem een aanbieder zijn en voor het andere een gebruiker, en de verplichtingen lopen daarbij aanzienlijk uiteen.

Risicogebaseerde categorieën en verboden praktijken

De wet onderscheidt vier risicocategorieën: verboden praktijken, systemen met een hoog risico, toepassingen met een beperkt risico (transparantie) en toepassingen met een minimaal risico. De regelgevingslast is recht evenredig met de risicoclassificatie.

Systemen met een hoog risico vereisen een uitgebreid nalevingsprogramma dat de volledige levenscyclus bestrijkt. 

Systemen met een beperkt risico vereisen alleen maatregelen op het gebied van openbaarmaking en transparantie.

Voor systemen met een minimaal risico gelden geen specifieke verplichtingen, hoewel vrijwillige gedragscodes worden aangemoedigd.

Dit betekent dat het vaststellen van het risiconiveau van elk systeem net zo belangrijk is als het vaststellen van uw rol, omdat deze twee samen bepalen hoeveel werk naleving met zich meebrengt.

De verboden praktijken zijn beperkt in omvang, maar worden strikt gehandhaafd. Ze omvatten:

  • AI die gedrag beïnvloedt op een manier die waarschijnlijk aanzienlijke schade veroorzaakt
  • Sociale beoordeling door overheidsinstanties die leidt tot oneerlijke of schadelijke behandeling
  • Realtime biometrische identificatie op afstand in openbare ruimtes, beperkt tot strikt omschreven uitzonderingen in het kader van wetshandhaving
  • Verschillende toepassingen van biometrische categorisering waarbij gevoelige kenmerken worden afgeleid

Classificatie als risicovol en verplichtingen

De kern van de wet is gericht op de regulering van AI-systemen met een hoog risico, en de wet deelt deze toepassingen in twee groepen in. De eerste groep betreft AI die wordt gebruikt als veiligheidscomponent in door de EU gereguleerde producten, zoals medische hulpmiddelen, machines en voertuigen. De tweede groep betreft op zichzelf staande AI die wordt gebruikt bij gevoelige beslissingen, waaronder toegang tot onderwijs, werving en personeelsbeheer, kredietbeoordeling, essentiële diensten, wetshandhaving, migratie en justitie.

De administratieve lasten voor systemen met een hoog risico zijn aanzienlijk. Aanbieders moeten:

  • Een risicobeheersysteem implementeren
  • Een kwaliteitsmanagementsysteem opzetten
  • Zorg voor databeheer voor datasets voor training, validatie en testen
  • Zorg voor documentatie, logboekregistratie, nauwkeurigheid, robuustheid, cyberbeveiliging en menselijk toezicht
  • Een systeem voor monitoring na het in de handel brengen en incidentmelding beheren

Exploitanten van risicovolle systemen hebben minder, maar nog steeds belangrijke verplichtingen. Zij moeten het systeem gebruiken volgens de instructies van de aanbieder, zorgen voor menselijk toezicht, letten op contextspecifieke risico’s en vóór de ingebruikname een effectbeoordeling met betrekking tot de grondrechten uitvoeren.

Transparantie bij dagelijkse interacties met AI

Zelfs AI-toepassingen die niet tot de categorie met een hoog risico behoren, kunnen waarborgen vereisen. De wet schrijft voor dat er duidelijke informatie moet worden verstrekt wanneer mensen interactie hebben met AI, zoals chatbots, en dat er labels moeten worden aangebracht op synthetische of gemanipuleerde media die voor authentiek kunnen worden aangezien. Samen verminderen deze maatregelen het risico op misleiding en helpen ze gebruikers hun vertrouwen af te stemmen.

In de praktijk moeten aanbieders en implementators hun interfaces, contentpijplijnen en gebruikersmeldingen hierop aanpassen. Medewerkers moeten weten wanneer meldingen over AI-interacties en labels voor synthetische content van toepassing zijn, met name wanneer deze taken raakvlakken hebben met het platformbeleid, marketingworkflows en publieke communicatie.

Algemene AI-modellen en systeemrisico’s

Algemene AI-modellen zijn domeinoverschrijdend inzetbaar, wat inhoudt dat de aanbieders ervan technische documentatie moeten bijhouden, informatie over mogelijkheden en beperkingen moeten publiceren en eindgebruikers de nodige risicogerelateerde details moeten verstrekken. Auteursrechtelijke waarborgen en overzichten van trainingsgegevens maken deel uit van deze transparantieverplichting.

Modellen die als risicovol worden aangemerkt, krijgen strengere eisen opgelegd vanwege het systeemrisico dat ze met zich meebrengen, waaronder modelbeoordelingen, adversarial testing, cyberbeveiligingsmaatregelen, incidentmelding en transparantie over het gebruik van rekenkracht en energie. Aanbieders van deze modellen moeten samenwerken met toezichthouders en de ontwikkeling van geharmoniseerde normen en gedragscodes ondersteunen.

Tussenpersonen die algemene modellen verfijnen of herverpakken, nemen de documentatieverplichtingen van de oorspronkelijke aanbieder over, terwijl gebruikers verderop in de keten zelfstandig hun eigen gebruikssituaties moeten beoordelen en moeten voldoen aan de risicogerelateerde of transparantieverplichtingen die in hun specifieke context van toepassing zijn.

Conformiteitsbeoordeling en CE-markering

Voordat een systeem met een hoog risico in de handel kan worden gebracht of in gebruik kan worden genomen, moet het een conformiteitsbeoordeling ondergaan. Sommige beoordelingen zijn gebaseerd op interne controles, ondersteund door technische documentatie, terwijl andere een beoordeling door een aangemelde instantie vereisen. Zodra is vastgesteld dat een systeem aan de eisen voldoet, brengt de aanbieder de CE-markering aan en registreert hij het in de EU-AI-databank.

De wet maakt ook geharmoniseerde normen en gemeenschappelijke specificaties mogelijk, die praktische manieren bieden om aan te tonen dat aan de conformiteitsveronderstelling wordt voldaan. Aanbieders moeten uitgebreide technische dossiers bijhouden en deze actueel houden, ongeacht de versie of de hertrainingscyclus.

Bestuur, handhaving en sancties

Elke lidstaat wijst een nationale toezichthoudende autoriteit aan, en aangemelde instanties zullen samen met markttoezichtautoriteiten toezicht houden op risicovolle systemen die onder de productregelgeving vallen. Op EU-niveau zal een coördinatiestructuur leiding geven aan de ontwikkeling van normen, richtsnoeren opstellen en grensoverschrijdende zaken behandelen.

De sancties bij niet-naleving zijn aanzienlijk. Het toepassen van verboden praktijken of het overtreden van belangrijke vereisten kan leiden tot boetes die oplopen tot het hoogste bedrag van een vast bedrag of een percentage van de wereldwijde jaaromzet. De wet past deze maximumbedragen aan op basis van de omvang van de organisatie en de ernst van de overtreding. Het bijhouden van een nauwkeurige administratie en het tijdig melden van incidenten kan het risico op handhavingsmaatregelen aanzienlijk verminderen.

Hoe implementeert u de AI-wet in uw organisatie?

De praktische uitvoering verloopt het soepelst wanneer deze wordt afgestemd op bestaande bestuursstructuren, en kleine teams kunnen de werkzaamheden zo indelen dat ze aansluiten bij de gefaseerde implementatietermijnen, in plaats van alles in één keer aan te pakken.

De twee vragen die bepalend zijn voor al het andere zijn: wat is uw rol bij elk AI-systeem (aanbieder of gebruiker), en wat is de risicoclassificatie van het systeem? Begin met het opstellen van een inventaris van AI-systemen en -functies binnen uw organisatie, en koppel vervolgens elk systeem aan een rol en een risicocategorie. Een gebruiker van een chatbot met een beperkt risico heeft informatieplichten. Een gebruiker van een wervingstool met een hoog risico moet zorgen voor menselijk toezicht en een effectbeoordeling met betrekking tot de grondrechten. Een aanbieder van diezelfde tool heeft te maken met het volledige nalevingsprogramma. Door deze koppeling in een vroeg stadium goed te regelen, voorkomt u zowel over-engineering als gevaarlijke hiaten.

Voer vervolgens gestructureerde risicobeoordelingen uit voor risicovolle onderdelen, waarbij aspecten als veiligheid, vooringenomenheid, robuustheid, gegevensherkomst en gevolgen voor rechten aan bod komen. Zet een kwaliteitsmanagementsysteem op, pas inkoopcontracten aan om de verplichtingen uit de AI-wet daarin op te nemen, en stem bestaande DPIAs of beveiligingstests af op de AI-risicobeoordelingen om dubbel werk te voorkomen. Naleving houdt niet op bij de lancering: modellen veranderen en contexten verschuiven, dus monitoring na het in de markt brengen en periodieke herbeoordelingen moeten deel uitmaken van het dagelijkse werkritme.

Voor beveiligingsteams zal veel hiervan bekend voorkomen. Bedreigingsmodellering kan worden uitgebreid naar risico’s op het gebied van kwaadwillige machine learning, bij veilige ontwikkeling kunnen gegevensherkomst en evaluatieprotocollen worden geïntegreerd, en incidentrespons kan worden verbreed om AI-specifieke gebeurtenissen en meldingen aan toezichthouders te omvatten. Voor compliance-managers biedt dit een reële kans op afstemming: gegevensbeheer in het kader van de AVG sluit naadloos aan bij controles op AI-datasets, en één goed ontworpen controle kan bewijsmateriaal opleveren voor meerdere regelgevingskaders.

Cyberday u helpen uw AI-inventaris te centraliseren, beheersmaatregelen af te stemmen op de AI-wet en deze in overeenstemming te brengen met ISO 27001, NIS2 en de AVG. Dashboards geven een overzicht van de dekking van beheersmaatregelen binnen verschillende kaders, houden de status van leveranciers en incidenten bij en bieden exportbestanden die klaar zijn voor audits, zodat u uw inspanningen kunt richten op de gebieden met het hoogste risico.

Ga aan de slag met Cyberday

Cyberday teams Cyberday het implementeren van de AI-wet in combinatie met ISO 27001, NIS2 en de AVG. U kunt een inventaris van AI-middelen bijhouden, verplichtingen koppelen aan beheersmaatregelen en bewijsmateriaal één keer verzamelen voor meerdere regelgevingskaders. Via dashboards kunt u de naleving, de status van leveranciers en incidenten bijhouden, zodat u uw inspanningen kunt richten op de gebieden met het hoogste risico.

Controleer nu uw status met betrekking tot de AI-wet: Beoordeling AI-wet

Webinar: AI-agenten in ISMS-werkzaamheden

Ontdek hoe AI-agenten de meest tijdrovende onderdelen van uw complianceproces kunnen versnellen, van het opzetten van de ISMS-basis tot risicobeheer, audits, vragenlijsten, documentatie en training – zonder dat dit ten koste gaat van controle, consistentie of controleerbaarheid.

Bekijk het webinar

Andere artikelen over hetzelfde onderwerp

Bekijk de volledige ISO 27001-collectie
Bekijk de volledige NIS2-collectie

Andere gerelateerde blogartikelen

Meer artikelen in de categorie

09.04.2026

De EU-wet inzake kunstmatige intelligentie: wat houdt deze in en hoe moet deze worden geïmplementeerd?

Handleiding voor naleving van de EU-wet inzake kunstmatige intelligentie (AI-wet): breng rollen in kaart, beheer risico’s en governance, classificeer AI met een hoog risico, en voldoe aan de verplichtingen inzake transparantie en CE-markering.
01.04.2026

De EU-AI-wet en ISO 42001: verschillen, raakvlakken en hoe je ze samen kunt gebruiken

De EU-AI-wet versus ISO 42001: ontdek de belangrijkste verschillen, waar ze elkaar overlappen en hoe u beide kunt gebruiken om een praktisch en aan de regelgeving voldoend AI-beheer op te zetten.
26.02.2026

ISO 27001 en AVG: hoe de wereldwijde norm de Algemene Verordening Gegevensbescherming ondersteunt

In deze blog gaan we kort in op de ISO 27001-norm en de AVG, bekijken we hun overeenkomsten en bespreken we hoe ISO 27001 nuttig kan zijn voor naleving van de AVG. We zullen ook een blik werpen op de samenwerking tussen de AVG en ISO 27701.
Moeiteloze verbetering van compliance
Breedste kaderbibliotheek in de EU
Uitgebreide ondersteuning

Leg binnen enkele minuten de basis voor uw compliance
.

Ontdek hoe een AI-gestuurd ISMS er in de praktijk uitziet.
Start een gratis proefperiode en zie hoe uw compliancewerk binnen enkele minuten van start gaat.

Gratis proef starten
Boek een vergadering
Hoe werkt het?
SamenvattingBeveiligingstaken en -zekerheidDocumentatie werkstromenWerknemer richtlijnenRapportage sjablonenVertrouwen centrum
Gebruikte gevallen
Per kaderAlle kadersISO 27001NIS2-richtlijnNIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Op methodeCyberrisicobeheerBewustzijn van werknemersRapportage nalevingControlebeheerBeheer van bedrijfsmiddelenPrivacybeheerBeoordeling van leveranciersInterne audits
Middelen
AcademieWebinarsBlogHulp artikelenVideo cursussenVertrouwen centrumInhoud bibliotheekGidsenNieuwsbriefLaat een beoordeling achterPartnerprogrammaTeamGebruiksvoorwaardenPrivacybeleid
Neem contact met ons op
+358 10 231 6010
team@cyberday.ai
App werkt in:
In Finland bekend als Digiturvamalli
© Cyberday Inc. Kalevantie 2 33100 Tampere, Finland
Cyberday.ai - Verbeter en certificeer uw cyberveiligheid