Samenvatting

De Europese Unie heeft met de AI-verordening de eerste wet ter wereld aangenomen die kunstmatige intelligentie reguleert. Het Europees Parlement stemde op 13 maart 2024 in met 523 stemmen voor en 46 tegen. De wet geldt als Europese verordening rechtstreeks in alle lidstaten, dus ook in Nederland. De regels worden gefaseerd ingevoerd tussen februari 2025 en augustus 2027.

AI-verordening in cijfers
8
Verboden AI-toepassingen
35 mln
Maximale boete (euro)
7%
Of percentage wereldwijde omzet
8
Hoog-risico domeinen
2 feb
Verboden toepassingen van kracht (2025)
2 aug
Hoog-risico verplichtingen (2026)
Bron: Verordening (EU) 2024/1689

Tijdlijn: gefaseerde invoering

De AI-verordening wordt in vier fasen ingevoerd. Het verbod op bepaalde AI-toepassingen geldt al sinds 2 februari 2025. De volledige handhaving voor hoog-risico AI begint op 2 augustus 2026.

Gefaseerde invoering AI-verordening
21 april 2021
Voorstel Europese Commissie
De Europese Commissie presenteert het eerste wetsvoorstel voor regulering van kunstmatige intelligentie.
13 maart 2024
Europees Parlement stemt in
Het Europees Parlement neemt de AI-verordening aan met 523 stemmen voor, 46 tegen en 49 onthoudingen.
1 augustus 2024
Inwerkingtreding
De verordening treedt in werking, twintig dagen na publicatie in het Publicatieblad van de EU op 12 juli 2024.
2 februari 2025
Verboden toepassingen + AI-geletterdheid
De acht verboden AI-praktijken gelden. Organisaties moeten zorgen voor voldoende AI-geletterdheid bij medewerkers.
2 augustus 2025
GPAI-regels + toezichthouders
Regels voor general-purpose AI-modellen gelden. Lidstaten moeten nationale toezichthouders aanwijzen.
2 augustus 2026
Hoog-risico verplichtingen
De verplichtingen voor hoog-risico AI-systemen, transparantieregels en overige bepalingen treden in werking.
2 augustus 2027
Productveiligheid
Hoog-risico AI-systemen die onderdeel zijn van producten onder EU-productveiligheidswetgeving (medische apparatuur, luchtvaart) moeten volledig voldoen.
Bron: Europese Commissie, implementatietijdlijn AI-verordening
Let op: mogelijke vertraging
De Europese Commissie heeft in november 2025 de Digital Omnibus voorgesteld, waarin de deadline voor hoog-risico AI-systemen (Annex III) verschuift van 2 augustus 2026 naar 2 december 2027. Dit voorstel doorloopt nog het wetgevingsproces en is niet definitief.

Vier risicocategorieen

De AI-verordening deelt AI-systemen in vier risicocategorieen in. Hoe hoger het risico, hoe strenger de eisen.

Risicocategorieen en verplichtingen
Risiconiveau
Verplichtingen
Onaanvaardbaar risico
AI-systemen die een onacceptabele bedreiging vormen voor grondrechten
Onaanvaardbaar risico
Volledig verboden (8 toepassingen)
Hoog risico
AI in 8 domeinen: zorg, onderwijs, HR, rechtshandhaving, migratie, financiele diensten, kritieke infrastructuur, democratie
Hoog risico
Risicobeheersysteem, data-governance, menselijk toezicht, transparantie, conformiteitsbeoordeling, CE-markering, registratie in EU-database
Beperkt risico
Chatbots, deepfake-generators, emotieherkenning (waar toegestaan)
Beperkt risico
Transparantieverplichtingen: gebruikers informeren dat ze met AI communiceren of dat content AI-gegenereerd is
Minimaal risico
Spamfilters, AI in videogames, voorraadbeheer, aanbevelingssystemen
Minimaal risico
Geen specifieke verplichtingen. Vrijwillige gedragscodes worden aangemoedigd
Bron: Verordening (EU) 2024/1689, artikelen 5-50

Verboden AI-toepassingen

Sinds 2 februari 2025 zijn acht AI-toepassingen verboden in de EU. De Europese Commissie publiceerde op 4 februari 2025 richtsnoeren over de interpretatie van deze verboden.

Acht verboden AI-toepassingen
1
Manipulatie via subliminale technieken
AI-systemen die het gedrag van personen beinvloeden via technieken buiten het bewustzijn, waardoor aanzienlijke schade kan ontstaan.
2
Misbruik van kwetsbare groepen
AI die kwetsbaarheden misbruikt op grond van leeftijd, handicap of sociaal-economische situatie om gedrag te beinvloeden.
3
Social scoring
AI voor het beoordelen van personen op basis van sociaal gedrag of persoonlijkheidskenmerken, met nadelige gevolgen. Geldt voor zowel overheden als bedrijven.
4
Voorspellend politiewerk op basis van profiling
AI die het risico beoordeelt dat een specifiek persoon een misdrijf pleegt, uitsluitend op basis van profiling of persoonlijkheidskenmerken.
5
Ongericht scrapen van gezichtsbeelden
Het aanleggen of uitbreiden van gezichtsherkenningsdatabases door ongericht scrapen van het internet of bewakingscamerabeelden.
6
Emotieherkenning op de werkplek en in het onderwijs
AI die emoties afleidt uit biometrische gegevens op de werkplek of in onderwijsinstellingen. Uitzondering: medische of veiligheidsredenen.
7
Biometrische categorisering op gevoelige kenmerken
AI die personen categoriseert op basis van biometrische gegevens om ras, politieke overtuiging, vakbondslidmaatschap, religie of seksuele geaardheid af te leiden.
8
Real-time gezichtsherkenning in openbare ruimtes
Biometrische identificatie op afstand in openbare ruimtes voor rechtshandhaving. Drie uitzonderingen: vermiste personen, terroristische dreiging, opsporing van ernstige misdrijven.
Bron: Artikel 5 AI-verordening. Boete: tot 35 miljoen euro of 7 procent van de wereldwijde omzet.
Let op
Het verbod op social scoring geldt niet alleen voor overheden, maar ook voor bedrijven. Financiele kredietscoring op basis van relevante financiele gegevens blijft wel toegestaan, maar valt onder de categorie hoog risico.

Hoog-risico AI-systemen: acht domeinen

AI-systemen die als hoog risico worden aangemerkt, moeten aan strenge eisen voldoen voordat ze op de markt mogen worden gebracht. De verordening onderscheidt twee routes: AI als veiligheidscomponent van producten die al onder EU-productveiligheidswetgeving vallen (Annex I), en AI-systemen in acht specifieke domeinen (Annex III).

  • Biometrie – identificatie op afstand, biometrische categorisering, emotieherkenning (waar toegestaan)
  • Kritieke infrastructuur – AI als veiligheidscomponent in digitale infrastructuur, wegverkeer, water-, gas- en elektriciteitsvoorziening
  • Onderwijs en beroepsopleiding – AI die toegang tot onderwijs bepaalt, leerresultaten beoordeelt of gedrag van studenten monitort tijdens toetsen
  • Werkgelegenheid – AI voor werving en selectie, cv-screening, promotiebesluiten, prestatiemonitoring en taaktoewijzing
  • Toegang tot diensten – AI voor beoordeling van aanspraken op uitkeringen, kredietwaardigheid, risicobeoordeling bij levens- en zorgverzekeringen
  • Rechtshandhaving – individuele risicobeoordeling, beoordeling van bewijsmateriaal, profiling bij opsporing
  • Migratie en asiel – AI bij risicobeoordeling, behandeling van asiel- en visumaanvragen, identificatie van personen
  • Rechtspraak en democratie – AI die rechterlijke autoriteiten ondersteunt bij het interpreteren van feiten en recht, of die verkiezingen kan beinvloeden

Eisen voor hoog-risico AI

Aanbieders van hoog-risico AI-systemen moeten aan zeven kernvereisten voldoen.

  • Risicobeheersysteem – doorlopend risico’s identificeren, analyseren en beperken gedurende de gehele levenscyclus
  • Data-governance – trainings- en testdata moet relevant, representatief en vrij van fouten zijn
  • Technische documentatie – volledig dossier dat naleving aantoont voor marktplaatsing
  • Registratie en logging – automatische registratie van gebeurtenissen tijdens gebruik van het systeem
  • Transparantie – duidelijke gebruiksaanwijzing voor gebruikers, inclusief mogelijkheden en beperkingen
  • Menselijk toezicht – het systeem moet zo ontworpen zijn dat mensen kunnen ingrijpen, overrulen en stopzetten
  • Nauwkeurigheid, robuustheid en cyberveiligheid – het systeem moet bestand zijn tegen fouten en beschermd tegen ongeautoriseerde toegang

Daarnaast geldt een conformiteitsbeoordeling (voor de meeste systemen een zelfevaluatie), CE-markering, een EU-conformiteitsverklaring en registratie in de openbare EU-database. Voor biometrische identificatiesystemen is een beoordeling door een onafhankelijke instantie verplicht.

General-purpose AI-modellen (GPAI)

Sinds 2 augustus 2025 gelden aparte regels voor general-purpose AI-modellen, zoals grote taalmodellen (LLM’s). Alle aanbieders van dergelijke modellen moeten technische documentatie bijhouden, informatie verstrekken aan partijen die het model integreren, een samenvatting publiceren over de trainingsdata en zich houden aan het EU-auteursrecht.

AI-modellen met een systeemrisico – modellen die zijn getraind met meer dan 10 tot de macht 25 FLOPS aan rekenkracht – moeten aan aanvullende eisen voldoen. Zij moeten modelevaluaties uitvoeren (inclusief tegengestelde tests), systeemrisico’s beoordelen en beperken, ernstige incidenten melden en zorgen voor cyberveiligheid. De Europese Commissie kan ook modellen met minder rekenkracht als systeemrisico aanmerken op basis van hun mogelijkheden en bereik.

Op 1 augustus 2025 is de GPAI Code of Practice goedgekeurd. Ondertekening is vrijwillig, maar biedt een vermoeden van naleving. De handhaving met boetes begint op 2 augustus 2026.

Transparantieverplichtingen

De AI-verordening bevat meerdere transparantieverplichtingen die gelden vanaf 2 augustus 2026.

  • Chatbots en AI-interactie – gebruikers moeten duidelijk worden geinformeerd dat ze met een AI-systeem communiceren, tenzij dat vanzelfsprekend is.
  • Deepfakes en synthetische content – AI-gegenereerde of gemanipuleerde beeld-, geluids-, video- of tekstcontent moet machineleesbaar worden gemarkeerd en als zodanig herkenbaar zijn.
  • Emotieherkenning – waar toegestaan (buiten werkplek en onderwijs) moeten personen worden geinformeerd dat een emotieherkenningssysteem op hen wordt toegepast.

Boetes en handhaving

De AI-verordening kent drie boetecategorieen, afhankelijk van de ernst van de overtreding.

Boetecategorieen
Type overtreding
Maximale boete
Categorie 1
Overtreding van verboden AI-toepassingen (artikel 5)
Categorie 1
35 miljoen euro of 7 procent van de wereldwijde omzet
Categorie 2
Niet voldoen aan hoog-risico eisen en overige verplichtingen
Categorie 2
15 miljoen euro of 3 procent van de wereldwijde omzet
Categorie 3
Verstrekken van onjuiste informatie aan toezichthouders
Categorie 3
7,5 miljoen euro of 1 procent van de wereldwijde omzet
Bij mkb-bedrijven en startups geldt het laagste van de twee bedragen. Bron: artikel 99 AI-verordening.

Toezichtstructuur

Op EU-niveau houdt het AI Office (opgericht in januari 2024 binnen DG CONNECT) toezicht, met meer dan 125 medewerkers. Het AI Office coacht en controleert direct de aanbieders van general-purpose AI-modellen. Daarnaast is er de European AI Board, een intergouvernementeel orgaan van nationale toezichthouders, en een wetenschappelijk panel van onafhankelijke deskundigen.

Nederlandse implementatie

In Nederland zijn twee toezichthouders aangewezen voor de handhaving van de AI-verordening.

  • Autoriteit Persoonsgegevens (AP) – aangewezen als coordinerende toezichthouder. De AP heeft hiervoor de afdeling Coordinatie Algoritmisch Toezicht (DCA) opgericht, met een budget dat oploopt naar 3,6 miljoen euro in 2026.
  • Rijksinspectie Digitale Infrastructuur (RDI) – verantwoordelijk voor markttoezicht en technische expertise, met name voor AI-systemen die onderdeel zijn van producten onder EU-productveiligheidswetgeving.

Daarnaast spelen sectorale toezichthouders een rol: de AFM en DNB voor financiele dienstverlening, en de IGJ voor de gezondheidszorg.

Uitvoeringswet AI-verordening

De Uitvoeringswet AI-verordening, die de verordening vertaalt naar Nederlandse wetgeving en de bevoegdheden van de toezichthouders vastlegt, is nog niet aangenomen. De wet was niet op tijd klaar voor de deadline van februari 2025 (verboden toepassingen) en ook niet voor de deadline van augustus 2025 (aanwijzing toezichthouders). Het kabinet-Jetten zal deze wet moeten afronden. Tot die tijd zijn de handhavingsbevoegdheden beperkt.

Algoritmeregister

Het Algoritmeregister (algoritmes.overheid.nl) is sinds 2022 operationeel. Overheidsorganisaties moeten hun algoritmen met directe impact op burgers per 1 juli 2026 hierin registreren. Het register heeft een bredere reikwijdte dan de EU-database: ook niet-AI-algoritmen vallen eronder. Daarnaast heeft het Ministerie van Binnenlandse Zaken het Algoritmekader gepubliceerd, een praktische handreiking voor verantwoord algoritmegebruik door de overheid.

Gevolgen per sector

Gezondheidszorg

AI voor diagnose op basis van medische beelden, behandelaanbevelingen of aansturing van medische apparatuur valt onder hoog risico. Hetzelfde geldt voor AI bij risicobeoordeling en prijsstelling van levens- en zorgverzekeringen. AI als onderdeel van een medisch hulpmiddel valt ook onder de Medical Device Regulation (MDR).

Werving en selectie

AI voor cv-screening, het filteren van sollicitanten, geautomatiseerde aannamebeslissingen, prestatiebeoordeling en taaktoewijzing is hoog risico. Organisaties moeten kandidaten en werknemers informeren over het gebruik van AI en individuen kunnen een toelichting vragen over de rol van AI bij besluiten.

Financiele dienstverlening

Kredietscoring en algoritmische kredietverlening vallen onder hoog risico. AI voor fraudedetectie is nadrukkelijk uitgezonderd van de hoog-risico categorie voor kredietwaardigheid. De AFM en DNB houden sectorspecifiek toezicht.

Overheid

AI die beoordeelt of iemand recht heeft op uitkeringen of publieke diensten is hoog risico. Overheidsorganisaties moeten naast de AI-verordening ook een grondrechteneffectbeoordeling (FRIA) uitvoeren en hun algoritmen registreren in het Algoritmeregister.

AI-geletterdheid

Sinds 2 februari 2025 moeten organisaties die AI ontwikkelen of gebruiken ervoor zorgen dat hun medewerkers over een voldoende niveau van AI-geletterdheid beschikken. De verordening schrijft geen specifiek trainingsformat voor, maar organisaties moeten kunnen aantonen dat medewerkers de werking, mogelijkheden en beperkingen van de AI-systemen begrijpen. De handhaving hierop begint op 2 augustus 2026.

Wat moet je doen als organisatie?

Checklist AI-verordening
Breng in kaart welke AI-systemen je organisatie ontwikkelt of gebruikt
Classificeer elk systeem: verboden, hoog risico, beperkt risico of minimaal risico
Controleer of je AI-toepassingen heeft die sinds 2 februari 2025 verboden zijn
Zorg voor AI-geletterdheid bij medewerkers die met AI werken
Stel voor hoog-risico systemen een risicobeheersysteem, data-governance en menselijk toezicht in
Bereid de conformiteitsbeoordeling en technische documentatie voor
Implementeer transparantiemaatregelen: informeer gebruikers dat ze met AI communiceren
Registreer hoog-risico systemen in de EU-database en (voor overheden) het Algoritmeregister
Voer een grondrechteneffectbeoordeling (FRIA) uit voor hoog-risico toepassingen
Deadline hoog-risico: 2 augustus 2026. Raadpleeg de Gids AI-verordening van de Rijksoverheid.

Veelgestelde vragen

Veelgestelde vragen

Wanneer moet ik als bedrijf voldoen aan de AI-verordening?
De verboden toepassingen gelden al sinds 2 februari 2025. De verplichtingen voor hoog-risico AI-systemen gelden vanaf 2 augustus 2026. De Europese Commissie heeft voorgesteld om die deadline met ruim een jaar te verschuiven, maar dat voorstel is nog niet aangenomen.
Geldt de AI-verordening ook voor kleine bedrijven?
Ja, de verordening geldt voor alle organisaties die AI-systemen ontwikkelen, op de markt brengen of gebruiken in de EU. Voor mkb-bedrijven en startups geldt wel een lagere boetecategorie: het laagste van het vaste bedrag of het omzetpercentage.
Is social scoring alleen verboden voor overheden?
Nee. Het verbod op social scoring geldt voor zowel overheidsinstanties als private partijen. Financiele kredietscoring op basis van relevante financiele gegevens is wel toegestaan, maar valt onder de categorie hoog risico.
Mag ik nog emotieherkenning gebruiken?
Emotieherkenning op basis van biometrische gegevens is verboden op de werkplek en in onderwijsinstellingen. In andere contexten is het toegestaan onder transparantieverplichtingen, behalve waar het al onder een verbod valt (zoals rechtshandhaving).
Wat is het verschil tussen de AI-verordening en de AVG?
De AVG reguleert de verwerking van persoonsgegevens. De AI-verordening reguleert het AI-systeem zelf, ongeacht of er persoonsgegevens bij betrokken zijn. Beide wetten kunnen tegelijkertijd van toepassing zijn. De Autoriteit Persoonsgegevens houdt toezicht op beide.
Wie houdt in Nederland toezicht op de AI-verordening?
De Autoriteit Persoonsgegevens (AP) is de coordinerende toezichthouder. De Rijksinspectie Digitale Infrastructuur (RDI) houdt markttoezicht. Daarnaast zijn er sectorale toezichthouders: de AFM en DNB voor financiele diensten, en de IGJ voor gezondheidszorg.
Moet ik mijn AI-systeem registreren?
Hoog-risico AI-systemen moeten worden geregistreerd in de openbare EU-database. Overheidsorganisaties in Nederland moeten hun algoritmen daarnaast per 1 juli 2026 registreren in het Algoritmeregister (algoritmes.overheid.nl).
Valt ChatGPT onder de AI-verordening?
Ja. Grote taalmodellen zoals GPT vallen onder de regels voor general-purpose AI-modellen (GPAI). De aanbieder moet technische documentatie bijhouden, informatie verstrekken aan partijen die het model integreren en zich houden aan het EU-auteursrecht. Als het model de drempel voor systeemrisico overschrijdt, gelden aanvullende verplichtingen.

Bronnen

  1. Verordening (EU) 2024/1689 – volledige tekst
  2. Europees Parlement – EU AI Act
  3. Europese Commissie – Richtsnoeren verboden AI-praktijken
  4. EU AI Office
  5. GPAI Code of Practice
  6. Autoriteit Persoonsgegevens – EU AI Act
  7. AP – Afdeling Coordinatie Algoritmisch Toezicht
  8. Rijksinspectie Digitale Infrastructuur – AI-toezicht
  9. Algoritmeregister
  10. Algoritmekader – AI-verordening in het kort
  11. Rijksoverheid – AI-verordening treedt in werking
  12. Digitale Overheid – AI-verordening
  13. Implementatietijdlijn AI-verordening
Actueel
Gecontroleerd:
Volgende review:
3 bronnen

Bronnen

  1. 1
    Verordening (EU) 2024/1689 – volledige tekstartificialintelligenceact.eu
  2. 2
    Europees Parlement – EU AI Acteuroparl.europa.eu
  3. 3
    Europese Commissie – Richtsnoeren verboden AI-praktijkendigital-strategy.ec.europa.eu
  4. 4
    EU AI Officedigital-strategy.ec.europa.eu
  5. 5
    GPAI Code of Practicecode-of-practice.ai
  6. 6
    Autoriteit Persoonsgegevens – EU AI Actautoriteitpersoonsgegevens.nl
  7. 7
    AP – Afdeling Coordinatie Algoritmisch Toezichtautoriteitpersoonsgegevens.nl
  8. 8
    Rijksinspectie Digitale Infrastructuur – AI-toezichtrdi.nl
  9. 9
    Algoritmeregisteralgoritmes.overheid.nl
  10. 10
    Algoritmekader – AI-verordening in het kortminbzk.github.io
  11. 11
    Rijksoverheid – AI-verordening treedt in werkingrijksoverheid.nl
  12. 12
    Digitale Overheid – AI-verordeningdigitaleoverheid.nl
  13. 13
    Implementatietijdlijn AI-verordeningartificialintelligenceact.eu