AI Act – aandachtspunten in 2025 voor jouw onderneming

23/04/2025
AI Act – aandachtspunten in 2025 voor jouw onderneming
Blog

De eerste concrete verplichtingen uit de AI Act zijn sinds 2 februari 2025 in werking getreden. De AI Act is Europese wetgeving die van toepassing is op alle Europese ondernemingen die AI-toepassingen ontwikkelen, verdelen of (gewoonweg) gebruiken. In de praktijk wordt tegenwoordig in bijna alle ondernemingen wel één of meerdere types van AI toepassingen (denk dan aan ChatGPT, copilot etc.) gebruikt, waardoor zo goed als alle ondernemingen, vaak zonder het te beseffen, ook onder deze nieuwe regels zullen vallen.

In dit artikel lichten we de belangrijkste verplichtingen toe en geven we mee wat dit concreet betekent voor jouw onderneming. Meer algemene informatie over de AI Act in het algemeen en haar deadlines/inwerkingtreding, kan je lezen in ons vorig artikel.

Verbod op AI-systemen met een onaanvaardbaar risico

Met ingang van 2 februari 2025 is het verboden om AI-toepassingen te gebruiken die een zogenaamd “onaanvaardbaar risico” vormen voor burgers uit de Europese Unie. Dit zijn bijvoorbeeld:

  • AI-systemen voor zogenaamde ‘social scoring’, waarbij individuen worden beoordeeld en een score krijgen op basis van hun gedrag, sociaaleconomische status of persoonlijke kenmerken;
  • AI-systemen voor emotieherkenning op de werkplek en in het onderwijs;

De kans dat er zulke systemen binnen je onderneming gebruikt worden, is vermoedelijk klein.

Belangrijk gevolg van dit verbod is echter ook dat je nu als onderneming de verplichting hebt om na te gaan welke AI-toepassingen er wel binnen jouw onderneming gebruikt worden en om te bekijken in welke risico categorie van de AI Act deze toepassingen vallen.

AI-geletterdheid: een nieuwe verantwoordelijkheid voor ondernemingen

Daarnaast moet elke onderneming ervoor zorgen dat de medewerkers een bepaalde mate van “AI-geletterdheid” hebben. Dit houdt in dat elke onderneming die gebruik maakt van AI, zowel als aanbieder of als gebruiksverantwoordelijke, ervoor moet zorgen dat haar medewerkers beschikken over voldoende kennis rond AI om die technologie op een verantwoorde manier te gebruiken en vooral om ook de risico’s te kunnen inschatten.

De AI Act geeft enige flexibiliteit aan ondernemingen om het begrip “AI-geletterdheid” in te vullen. Zo moet bijvoorbeeld een medewerker van de IT afdeling die mee applicaties ontwikkelt een diepgaandere kennis hebben van AI en de gepaarde risico’s, vergeleken met iemand die een generatieve AI toepassing gebruikt louter om teksten te herschrijven.

Wat kan (of moet) je concreet als onderneming doen?

Om aan de vereiste van “AI-geletterdheid” tegemoet te komen, is het sterk aangeraden een duidelijk “AI-beleid” op te stellen met basisinformatie inzake AI, afgestemd op jouw onderneming en rekening houdend met de context. In het AI-beleid staat dan o.m. een overzicht van welke AI-applicaties wel (of niet) toegelaten zijn, wie jouw medewerkers moeten contacteren wanneer ze nieuwe AI-applicaties willen gebruiken die (nog) niet op de lijst staan, welke (bedrijfs)informatie wel, en vooral niet, in AI-applicaties mag ingegeven worden etc.

Wanneer medewerkers zomaar gegevens van klanten of personeel, know-how of andere gevoelige informatie in AI-applicaties zouden ingeven zonder dat er enige controle van die applicatie gebeurd is, kunnen er behoorlijk wat zaken misgaan. Belangrijk daarbij is om het AI-beleid aan alle medewerkers te communiceren en aan te geven dat zij deze regels ook moeten naleven of mogelijk gesanctioneerd kunnen worden.

Tenslotte, en afhankelijk van de benodigdheden van de onderneming en de functies van de medewerkers, kunnen er “AI awareness trainingen” op maat worden uitgerold.

Enkele belangrijke deadlines voor de AI Act

De inwerkingtreding van de AI Act verloopt in verschillende fasen. De volgende termijn die voor ondernemingen belangrijk is, is de datum van 2 augustus 2025:

  • De regels rond het gebruik van “General Purpose AI” systemen (of generatieve AI, zoals ChatGPT) treden vanaf dan in werking. Aan deze generatieve AI zijn er zogenaamde transparantieverplichtingen verbonden. Dit houdt onder meer in dat de AI-toepassingen moeten vermelden dat de inhoud is gegenereerd door AI (zoals afbeeldingen gegenereerd door AI of deepfakes).
  • De lidstaten moeten ook uiterlijk op 2 augustus 2025 elk hun nationale toezichthouder aanwijzen die toezicht houdt op de naleving van de regels rond de AI Act. Met andere woorden wil dit zeggen dat het vanaf dan mogelijk is dat de autoriteiten controles uitvoeren en boetes uitdelen.
  • Hou er rekening mee dat zodra die toezichthouder aangeduid is je, net zoals dit bij de GDPR het geval is, bij het niet-naleven van de verplichtingen uit de AI Act als onderneming een boete riskeert die kan oplopen tot 35 miljoen euro of tot 7% van de totale wereldwijde jaarlijkse omzet van de onderneming.

Heb je vragen over de invulling van de AI Act binnen jouw onderneming?

Onze experts van PKF BOFIDI Legal kunnen jou ondersteunen met concrete actiepunten voor jouw onderneming. Neem gerust contact op met ons team via info@pkfbofidilegal.com.

Dit artikel werd geschreven door Jenny Cheung en Tim Fransen.

Meer weten over
Blog AILegal

Schrijf je in op onze nieuwsbrief

Ontvang inzichten in je mailbox

Inschrijven