Beheer

September 29, 2025

8 min reading

EU AI Act : Everything You Need to Know

Als uw bedrijf AI bouwt, koopt of gebruikt in Europa, dan is de EU AI-wet nu essentieel leesvoer.

Het is niet alleen van toepassing op Europese bedrijven, maar ook op elke organisatie waarvan de AI de EU-markt raakt.

In deze gids leert u wat de EU AI-wet is, hoe de wetgeving is gestructureerd, de concrete impact op uw bedrijf en hoe u de vereisten ervan in uw workflows kunt integreren.

Wat is de EU AI-wet

De EU AI-wet is 's werelds eerste uitgebreide wet voor kunstmatige intelligentie. Het stelt geharmoniseerde regels vast voor hoe AI wordt gebouwd, ingezet en gecontroleerd binnen de Europese Unie.

De wet is officieel in werking getreden op 1 augustus 2024 na publicatie in het Publicatieblad van de EU op 12 juli 2024. Vanaf dat moment worden de verplichtingen geleidelijk ingevoerd, in plaats van allemaal tegelijk.

U zult de wet tegenkomen als Verordening (EU) 2024/1689. Omdat het een verordening is (geen richtlijn), zijn de regels rechtstreeks van toepassing in elke lidstaat zonder nationale omzetting.

Als u algemene AI-modellen (GPAI)bouwt of integreert, voegt de wet extra transparantie- en bestuursplichten toe. Een EU AI-kantoor binnen de Europese Commissie coördineert deze regels, met name voor GPAI, en werkt samen met nationale autoriteiten aan de handhaving.

De vereisten van de wet worden gefaseerd ingevoerd. De wet is vandaag van kracht, waarbij verboden praktijken als eerste werden toegepast, gevolgd door GPAI-verplichtingen, en de meeste hoogrisicoverplichtingen later van kracht worden. De officiële tijdlijn benadrukt de publicatie in het Publicatieblad (12 juli 2024) en de inwerkingtreding (1 augustus 2024), met daarna gefaseerde toepasselijkheid. De Commissie heeft ook bevestigd dat de deadlines gehandhaafd blijven, ondanks oproepen vanuit de industrie om uitstel.

Wetgeving en regelgevende structuur van de EU AI-wet

Om te begrijpen hoe de EU AI-wet uw verplichtingen vormgeeft, bespreken we de wetgevende architectuur, de belangrijkste verplichtingen per risiconiveau en hoe de handhaving is ingebouwd.

Verboden AI-praktijken (de 'rode lijn')

Sommige AI-toepassingen zijn ronduit verboden. De wet verbiedt AI-systemen die:

  • Gebruikmaken van subliminale of manipulatieve technieken die gedrag verstoren zonder bewuste kennis.
  • Kwetsbare groepen (vanwege leeftijd, handicap, sociale status) uitbuiten op een manier die schade veroorzaakt.
  • Sociale scoring of gegeneraliseerde gedragsclassificatie uitvoeren op een manier die leidt tot discriminerende of onrechtvaardige behandeling.
  • Biometrische categorisatie gebruiken om gevoelige kenmerken zoals ras, religie, geaardheid af te leiden (behalve bij streng gereguleerd gebruik door wetshandhavingsinstanties).

Als uw systeem in een van deze categorieën valt, is het niet toegestaan in de EU.

De risicogebaseerde aanpak (wat op u van toepassing is)

De wet verdeelt verplichtingen in risiconiveaus, zodat u de naleving voor eenvoudige tools niet overmatig complex maakt en kritieke tools niet onderreguleert. Hier leest u hoe u de niveaus moet interpreteren en wat u moet doen.

Minimaal of verwaarloosbaar risico.
Denk aan spamfilters of onschuldige automatisering. U heeft geen zware wettelijke verplichtingen onder de wet. Ga door, maar volg goede engineeringpraktijken.

Beperkt risico.
Als gebruikers rechtstreeks met uw AI communiceren—zoals een chatbot of aanbevelingssysteem—moet u transparant zijn over het feit dat ze met AI te maken hebben. Maak die openbaarmaking duidelijk en tijdig in uw UX.

Hoog risico.
Dit omvat AI die wordt gebruikt in cruciale sectoren zoals werving en selectie, onderwijs, gezondheidszorg, kritieke infrastructuur en toegang tot essentiële diensten. Hier is robuust bestuur vereist: risicobeheer, strenge controles op datakwaliteit, menselijk toezicht, technische documentatie, nauwkeurigheid en robuustheid, auditlogs en conformiteitsbeoordeling vóór de marktintroductie. Als u een aanbieder bent, verwacht dan aanzienlijk voorbereidend werk vóór de lancering en voortdurende monitoring daarna.

Algemene AI (GPAI).
Als u een breed model ontwikkelt of aanbiedt dat anderen stroomafwaarts zullen aanpassen, draagt u extra transparantie- en documentatieplichten. Mogelijk moet u een samenvatting publiceren van auteursrechtelijk beschermde trainingsgegevensbronnen en modelkaarten en transparantierapporten bijhouden. Voor modellen met 'systemisch risico' kunt u diepere tests en controles op adversariële robuustheid verwachten.

U kunt ook kiezen voor vrijwillige gedragscodes wanneer u buiten het bereik van hoog risico of GPAI valt, wat een slimme manier is om verantwoording af te leggen aan klanten en toezichthouders.

Verplichtingen voor AI-systemen met hoog risico

Als uw AI kwalificeert als hoog risico, treden er verschillende verantwoordelijkheden in werking — vooral wanneer u een aanbiederbent. U moet dan:

  • Opzetten en onderhouden van risicobeheersystemen om risico's te detecteren, evalueren en beperken.
  • Zorgen voor datakwaliteit, biasmanagement, validatie en testen van trainings- en invoerdatasets.
  • Opstellen en bijhouden technische documentatie (ontwerp, architectuur, besturingslogica, beperkingen).
  • Implementeren menselijk toezicht, zodat mensen kunnen ingrijpen of beslissingen kunnen overrulen.
  • Voldoen aan nauwkeurigheid, robuustheid, cyberbeveiliging, betrouwbaarheid vereisten.
  • Uitvoeren monitoring na het op de markt brengen en ernstige incidenten of storingen melden.
  • Aanbrengen CE-markering / conformiteitsbeoordeling, vaak via aangemelde instanties in de EU.

Wat betreft inzetters (degenen die AI-systemen gebruiken), zijn hun verplichtingen lichter maar nog steeds betekenisvol: volg gebruiksrichtlijnen, monitor de werking in context, bewaar logboeken gedurende ten minste zes maanden, informeer werknemers en gebruikers over risico's.

Specifieke regels voor algemene AI (GPAI)

GPAI-modellen zijn meer dan alleen hulpmiddelen — het is infrastructuur. Daarom behandelt de wet ze speciaal:

  • Aanbieders moeten publiceren samenvattingen van de auteursrechtelijk beschermde gegevens die voor training zijn gebruikt.
  • Ze moeten technische documentatie, modelkaarten en transparantieverslagen bijhouden.
  • Het model moet zo zijn ontworpen dat het de generatie van illegale inhoud (bijv. haatzaaiende uitlatingen, desinformatie) voorkomt.
  • Voor GPAI-modellen die als "systemisch risico" worden beschouwd, kunnen aanvullende tests, controles op adversariële robuustheid en rapportageverplichtingen van toepassing zijn.

Ten slotte kunnen niet-hoogrisico- of niet-GPAI-systemen nog steeds kiezen voor vrijwillige gedragscodes onder de wet (Titel III).

Bestuur, handhaving en sancties

Een goede wet is slechts zo sterk als het handhavingsmechanisme. Het bestuur van de EU AI Act is gelaagd.

Europees AI-bureau & adviesorganen

De AI-wet stelt een AI-bureau binnen de Europese Commissie in om de naleving in de hele EU te controleren, met name voor GPAI, en om de handhaving tussen nationale autoriteiten te coördineren. Adviesorganen zijn onder meer de Europese Raad voor Kunstmatige Intelligentie, een Wetenschappelijk Panel en een Adviesforum.

Nationale autoriteiten & markttoezicht

Elke EU-lidstaat moet nationale bevoegde autoriteiten (markttoezichtorganen) aanwijzen om toezicht te houden op de naleving, inspecties uit te voeren en sancties op te leggen. Deze autoriteiten wijzen ook aangemelde instanties die conformiteitsbeoordelingen uitvoeren voor systemen met een hoog risico.

Handhavingsbevoegdheden en -beperkingen

Nationale autoriteiten beschikken over onderzoeksbevoegdheden (documentverzoeken, audits) onder verordening 2019/1020 inzake productconformiteit. Voor GPAI heeft het EU AI-bureau de bevoegdheid om direct toezicht te houden. Er zijn echter procedurele waarborgen: verzoeken om documenten die zijn uitgewisseld met interne juridische adviseurs zijn beschermd, en bedrijven hebben het recht om gehoord te worden voordat besluiten worden genomen.

Sancties bij niet-naleving

Overtredingen worden ingedeeld naar ernst. Belangrijke boetes zijn onder meer:

  • Tot €40 miljoen of 7% van de wereldwijde omzet voor verboden praktijken.
  • Voor schendingen van transparantie, datagovernance of informatieplichten: tot €20 miljoen of 4% van de omzet.
  • Overige overtredingen: tot €10 miljoen of 2% van de omzet.

Overheidsinstanties, advocaten of burgers kunnen klachten indienen bij nationale autoriteiten. Toezichthouders kunnen corrigerende maatregelen opleggen, de opschorting van AI-systemen eisen of boetes opleggen.

Wat is de concrete impact van de EU AI Act op bedrijven

De EU AI Act is geen abstracte regelgeving. Het verandert uw roadmap, uw governance en hoe u in Europa verkoopt. Dit is wat u moet weten.

3.1 Wie wordt getroffen

De wet is breed van toepassing. Het bindt:

  • Aanbieders – bedrijven die AI ontwikkelen of op de EU-markt brengen
  • Implementeerders – bedrijven die AI gebruiken binnen de EU
  • Importeurs en distributeurs – bedrijven die AI-systemen in de EU brengen of doorverkopen

Het is ook extraterritoriaal van toepassing: als uw systeem in de EU wordt gebruikt, valt u onder de reikwijdte, ongeacht waar u het heeft gebouwd of host.

3.2 Tijdlijnen die u moet volgen

De wet is in werking getreden op 1 augustus 2024, maar verplichtingen worden gefaseerd ingevoerd:

  • Februari 2025 → verboden praktijken en AI-geletterdheidsplichten zijn van toepassing
  • Augustus 2025 → regels voor algemene AI (GPAI) treden in werking
  • Augustus 2026 → het merendeel van de verplichtingen voor de meeste systemen is van toepassing
  • Augustus 2027 → risicovolle AI die gekoppeld is aan bestaande EU-regels voor productveiligheid moet voldoen

Deze deadlines zijn vast. De Commissie heeft al bevestigd dat er geen algemene vertragingen zullen zijn.

3.3 Nieuwe verplichtingen waar u rekening mee moet houden

Voor risicovolle AI-systemen, dient u:

  • Een risicobeheersysteem uitvoeren
  • Gebruikmaken van kwalitatieve, op bias gecontroleerde datasets
  • Gedetailleerde technische documentatie opstellen en onderhouden
  • Menselijk toezicht inbedden
  • Voldoen aan vereisten voor nauwkeurigheid, robuustheid en cyberbeveiliging
  • Processen voor monitoring na het in de handel brengen en incidentrapportage in stand houden
  • Conformiteitsbeoordeling doorstaan en CE-markering aanbrengen

Aanbieders dragen de meeste van deze verplichtingen, maar inzetters moeten ook gebruiksrichtlijnen volgen, logboeken bijhouden, systemen in hun reële context monitoren en betrokkenen informeren wanneer nodig.

Voor GPAI-modellen, moeten aanbieders:

  • Samenvattingen van auteursrechtelijk beschermde trainingsgegevens publiceren
  • Transparantierapporten en technische documentatie opstellen
  • Beveiligingsmaatregelen tegen illegale inhoud ontwerpen
  • Adversariële tests uitvoeren indien modellen als 'systemisch risico' worden beschouwd

Als u GPAI in uw producten integreert, moet u deze verplichtingen doorgeven aan uw leveranciers en bevestigen dat zij hieraan voldoen.

3.4 Meest beïnvloede bedrijfsfuncties

  • Engineering & product CI/CD-pipelines omvatten nu datasetvalidatie, bias-testen, robuustheidscontroles, documentatie-updates en logs voor toezicht.
  • Juridisch & compliance → CE-markeringsdossiers, conformiteitsbeoordelingen, contractclausules voor leveranciers en draaiboeken voor reacties op toezichthouders.
  • Inkoop & leveranciersbeheer → nieuwe due diligence voor leveranciers: herkomst van trainingsdata, transparantierapporten, incidentroutes.
  • Commercieel & verkoop → compliance wordt een vertrouwenssignaal in RFP's. CE-markering en GPAI-transparantierapporten kunnen beveiligingsaudits verkorten.

3.5 Kosten en risico's

Compliance is niet gratis. Houd rekening met budgettaire gevolgen door audits, documentatie, training van nieuw personeel en mogelijke systeemherontwerpen. Voor kleinere bedrijven helpen sjablonen en gedragscodes de last te verlichten, maar een basis voor governance blijft noodzakelijk.

Boetes lopen snel op:

  • Tot €40 miljoen of 7% van de wereldwijde omzet voor verboden praktijken
  • Tot €20 miljoen of 4% voor schendingen van transparantie en governance
  • Tot €10 miljoen of 2% voor andere overtredingen

Zelfs vóór boetes kunnen onderzoeken en corrigerende maatregelen de bedrijfsvoering verstoren en de reputatie schaden.

Hoe de EU AI Act in uw processen te integreren

U heeft geen juridische verhandeling nodig. U heeft een herhaalbaar draaiboek nodig dat u elk kwartaal kunt uitvoeren. Hier is een praktische volgorde die u vandaag nog kunt toepassen.

4.1 Breng uw AI-voetafdruk en rollen in kaart

Maak een lijst van elk systeem dat gebruikt of levert AI gebruikt in uw product en backoffice. Geef aan welke rol u heeft voor elk systeem: aanbieder, implementeerder, importeur, of distributeur—want taken veranderen met de rol. Implementeerders moeten bijvoorbeeld systemen gebruiken zoals voorgeschreven, menselijk toezicht toewijzen, werknemers informeren en logboeken minstens zes maanden bewaren.

4.2 Classificeer risico vroegtijdig

Plaats elk systeem in de risicocategorieën van de wet. Controleer of het een hoog risico is onder artikel 6/bijlage III (bijv. werving, onderwijs, kritieke diensten). Zo ja, plan dan strikte controles; zo nee, noteer dan eventuele transparantieverplichtingen voor beperkt risico. Houd deze inventaris actueel en controleer opnieuw wanneer functies veranderen.

4.3 Bouw een lichtgewicht kwaliteitsmanagementsysteem (KMS)

Voor systemen met een hoog risico is een KMS verplicht voor aanbieders. Integreer procedures voor risicobeheer, datagovernance, testen, documentatie, menselijk toezicht, incidentafhandeling en CE-markering. Behandel het als een productdiscipline, niet als een map.

4.4 Ontwerp menselijk toezicht in de UX

Human oversight isn’t a checkbox. Define who can intervene, when they see alerts, and how they override the system. Document foreseeable misuse and the guardrails that reduce it. Put these controls where users actually work.

4.5 Document like you’ll be audited

Create living technical docs: purpose, limitations, architecture, data sources, evaluation plans, and known risks. Keep versioned logs and change history—you’ll need them for post-market monitoring and, if high-risk, for conformity assessment. Automate as much evidence capture as possible.

4.6 Prepare for CE conformity (when applicable)

If your AI is high-risk, line up the conformity assessment path early. Some categories use internal control; others involve a notified body. Don’t leave evidence collection to release week—tie it to your CI/CD. Affix the CE mark when you meet requirements.

4.7 Align to harmonized standards

Track CEN-CENELEC work on AI standards and adopt relevant ones as they publish. Harmonized standards provide a presumption of conformity, shrinking ambiguity and audit friction. Assign an owner to watch standards updates and translate them into checklists.

4.8 Set up post-market monitoring

Decide how you’ll detect issues after launch: telemetry, error reports, user feedback, and periodic bias/accuracy checks. Define when you must notify authorities of a serious incident and how fast you can compile facts. Build a dry-run now; don’t invent this during a crisis.

4.9 Governance for GPAI (if you build on or provide it)

If you provide general-purpose AI, prepare summaries of copyrighted training content and transparency reports. Track the Commission’s GPAI Code of Practice and the official template for training-data summaries—signing and using them can lower your compliance burden.

4.10 Create a regulator-ready posture

Know your regulators: your national authority plus the EU AI Office (especially for GPAI). Keep a single source of truth for documents and designate a response team. Practice “table-top” drills so you can provide evidence quickly and coherently.

4.11 Vendor and contract hygiene

When you buy AI, request risk classification, intended use, technical docs, model cards, data-source summaries (for GPAI), and incident SLAs. Reflect provider vs deployer responsibilities in contracts so gaps don’t land on you. Re-assess vendors with each major release.

4.12 Tie it to your roadmap and deadlines

Lock your plan to the EU timeline: the Act is in force, with broad applicability from 2 Aug 2026, and additional dates for GPAI and other chapters before that. The Commission has confirmed there’s no pause—so sequence your gaps now

Noota: EU-Compliant AI Note-Taker

Noota encrypts your data end-to-end and stores it in EU data centers. It aligns with GDPR and enterprise security standards like SOC 2 and ISO 27001, so your legal team can breathe easier.

The product is purpose-built for professional meetings. It records, transcribes, and summarizes across video calls, phone interviews, and in-person conversations—so you capture every detail without juggling apps.

  • Security first: EU-hosted, encrypted storage with recognized certifications helps you meet data-residency and protection requirements.
  • Transparent workflow: Meeting capture, transcripts, and summaries create an auditable trail you can surface during internal reviews.
  • Integrations that respect privacy: Sync notes and outcomes to tools like HubSpot while keeping data in the EU and under encryption.
  • Languages at scale: Transcribe in 80+ languages and translate into 30+—useful for EU teams operating across borders.

You want to make the most of your meeting with a compliant AI Tool ? Try Noota for free now.

Meet the Writer

Alexandre Duffaut

Alexandre is the CEO of Noota. He has dedicated his life to helping sales reps and recruiters improve their work processes.

Noota CEO

FAQ

Welke AI-systemen zijn volgens de EU AI Act volledig verboden?

De EU AI Act verbiedt vier categorieën AI-gebruik direct in Europa.

  • Sublimale of manipulatieve technieken die gedrag zonder bewustzijn beïnvloeden.
  • Exploitatie van kwetsbare groepen via leeftijd, handicap of sociale status.
  • Biometrische categorisering voor gevoelige kenmerken zoals ras of religie.

Wanneer gaan de verplichtingen van de EU AI Act van kracht?

De EU AI Act is sinds 1 augustus 2024 van kracht, maar verplichtingen rollen gefaseerd uit.

  • Verboden praktijken gelden onmiddellijk voor alle AI-systemen in Europa.
  • Transparantie- en governance-eisen voor general-purpose AI volgen in latere fases.
  • High-risk AI-verplichtingen worden nog later ingevoerd met duidelijke deadlines.

Hoe helpt Noota bedrijven sneller EU AI Act-compliant te worden dan concurrenten?

Noota biedt native AVG-compliance zonder externe bots of complexe integraties, in tegenstelling tot Fireflies en Otter.

  • Vergaderingsopname via Chrome zonder aparte bot-toestemming of GDPR-risico's.
  • Automatische samenvattingen en actiepunten vervangen handmatige naleving van governance-eisen.
  • 5000+ teams besparen 6,4 uur admin per week door AI-notitieassistent en e-mailassistent.

Voor welke teams is compliance met de EU AI Act het meest kritiek?

Verkoops-, HR- en customer success-teams verwerken gevoelige gegevens en moeten AI-gebruik documenteren.

  • Verkoopteams gebruiken AI-coaching en moeten gesprekken AVG-conform vastleggen en analyseren.
  • HR-teams riskeren discriminatie-claims bij ongecontroleerde AI-selectie of performance-tracking.
  • Support-teams moeten chatbot-interacties transparant maken en gebruikersrechten respecteren.

Welke tool helpt teams snelst AVG-conforme vergaderingsopnames en AI-notities te maken?

Noota is de enige tool die opnames zonder bot maakt en automatisch AVG-compliant samenvat.

  • Noota's AI-notitieassistent genereert in 80+ talen samenvattingen zonder handmatige compliance-checks.
  • Vergaderingssamenvattingen en actiepunten vervangen 80% admin-werk per week.
  • 4,9/5 G2-rating van 5000+ teams bewijst betrouwbaarheid voor gevoelige bedrijfsgegevens.

Probeer Noota gratis — geen creditcard vereist.

ARTICLES SIMILAIRES

All articles

noota 360

Beste AI-bureaus

02.07.2026 · Geschreven door Jean-marc Buchert

noota 360

Notulen van aandeelhoudersvergaderingen: een gids met sjabloon

30.06.2026 · Geschreven door Jean-marc Buchert