De EU AI-wet biedt kansen. Maar creëert ook risico’s.

De vraag voor leiderschapsteams is niet langer simpelweg:

“Kunnen we AI gebruiken?”

De belangrijkere vraag wordt:

“Kunnen we aantonen dat we AI verantwoord, veilig en onder controle gebruiken?”

Dat is de context waarin de EU AI-wet relevant wordt.

De EU AI Act is het wettelijke kader van de Europese Unie voor kunstmatige intelligentie. Hij is in werking getreden op 1 augustus 2024 en wordt gefaseerd toegepast, waarbij het grootste deel van het kader van toepassing wordt vanaf 2 augustus 2026en verdere verplichtingen volgen later voor specifieke categorieën AI-systemen.

Voor veel organisaties betekent dit dat AI-governance niet langer een informeel onderwerp kan blijven dat alleen in handen is van IT, datateams of innovatieafdelingen. Het wordt een kwestie van risicobeheer, compliance, inkoop, informatiebeveiliging, operationele veerkracht en verantwoordelijkheid van het management.

Wat is de EU AI-wet?

De EU AI Act is een op risico’s gebaseerde regeling voor kunstmatige intelligentie.

Het doel is om ervoor te zorgen dat AI-systemen die in de Europese Unie worden gebruikt veilig, transparant, traceerbaar, niet-discriminerend en onder passend menselijk toezicht staan.

De verordening behandelt niet alle AI op dezelfde manier. In plaats daarvan worden AI-systemen ingedeeld op basis van risico. Hoe hoger het potentiële risico voor mensen, veiligheid, grondrechten of de samenleving, hoe zwaarder de verplichtingen.

Praktisch gezien vraagt de AI-wet organisaties om inzicht:

• welke AI-systemen ze gebruiken
• waar deze systemen voor worden gebruikt
• welke risico’s ze creëren
• wie is er verantwoordelijk voor
• welke controles zijn er
• of gebruikers goed geïnformeerd zijn
• of menselijk toezicht mogelijk is
• of beslissingen en resultaten kunnen worden verklaard, vastgelegd en herzien

Dit maakt de AI-wet veel meer dan een technologieregelgeving. Het is een bestuurlijke uitdaging.

De risicogebaseerde aanpak van de EU AI-wet

De EU AI Act hanteert verschillende brede risicocategorieën.

1. Verboden AI-praktijken

Sommige AI-praktijken worden als onaanvaardbaar beschouwd en zijn verboden. Hieronder vallen bepaalde toepassingen van manipulatieve AI, social scoring en andere praktijken die onaanvaardbare risico’s opleveren voor de rechten en veiligheid van mensen.

De verboden en AI-alfabetiseringsverplichtingen gelden sinds 2 februari 2025.

Voor organisaties betekent dit dat het gebruik van AI niet onbeheerd moet blijven. Zelfs voordat het volledige raamwerk van toepassing is, moeten bedrijven al weten of AI-tools of -processen onaanvaardbare risico’s met zich meebrengen.

2. AI-systemen met een hoog risico

AI-systemen met een hoog risico zijn de belangrijkste categorie voor veel organisaties.

Dit zijn AI-systemen die een aanzienlijke impact kunnen hebben op het leven, de rechten, de toegang tot diensten, werkgelegenheid, onderwijs, veiligheid of essentiële processen van mensen.

Voorbeelden zijn AI die wordt gebruikt voor:

• werving of screening van kandidaten
• personeelsbeoordeling of personeelsbeheer
• toegang tot onderwijs of opleiding
• kredietwaardigheidsbeoordelingen
• toegang tot essentiële particuliere of openbare diensten
• bepaalde veiligheidscomponenten
• kritieke infrastructuur
• rechtshandhaving, migratie of justitie

AI-systemen met een hoog risico zijn onderworpen aan strengere eisen. Deze kunnen betrekking hebben op risicobeheer, data governance, technische documentatie, logging, transparantie, menselijk toezicht, nauwkeurigheid, robuustheid en cyberbeveiliging.

Voor bedrijven betekent dit dat AI niet simpelweg kan worden geïmplementeerd omdat het efficiënt of commercieel aantrekkelijk is. Als een AI-systeem mensen of kritieke beslissingen beïnvloedt, moet het worden gecontroleerd.

3. AI-systemen met beperkt risico

Sommige AI-systemen zijn toegestaan, maar vereisen transparantie.

Het kan bijvoorbeeld nodig zijn om gebruikers te informeren wanneer ze interactie hebben met een chatbot. In bepaalde gevallen moet AI-gegenereerde of gemanipuleerde inhoud worden gelabeld.

Deze categorie is zeer relevant voor klantenservice, marketing, contentgeneratie en digitale communicatie.

De praktische vraag is eenvoudig:

Zou een klant, werknemer of burger redelijkerwijs verwachten te weten dat er AI wordt gebruikt?

Als het antwoord ja is, kunnen transparantieverplichtingen van toepassing zijn.

4. AI-systemen met minimaal risico

Veel AI-toepassingen vallen in een categorie met een lager risico. Voorbeelden hiervan zijn spamfilters, eenvoudige aanbevelingssystemen of interne productiviteitstools.

Maar een minimaal risico onder de AI-wet betekent niet dat er helemaal geen bestuur is.

Andere wetten en verplichtingen kunnen nog steeds van toepassing zijn, waaronder GDPR, cyberbeveiligingsvereisten, contractuele verplichtingen, sectorspecifieke regelgeving en intern risicobeleid.

Waarom de EU AI-wet van belang is voor bedrijfsleiders

Veel organisaties onderschatten de mate waarin AI al aanwezig is in hun bedrijf.

AI kan worden ingebed in:

• HR-systemen
• CRM-platforms
• marketingautomatiseringstools
• chatbots voor klantenservice
• systemen voor fraudedetectie
• cloudplatforms
• analysetools
• productiviteitssoftware
• systemen voor documentbeheer
• inkoopplatformen
• cyberbeveiligingstooling
• ERP-systemen
• low-code en automatiseringsplatforms

Dit betekent dat de AI-wet niet alleen relevant is voor bedrijven die AI-producten bouwen.

Het is ook relevant voor organisaties die gebruiken AI GEBRUIKEN.

Het onderscheid is belangrijk omdat de AI-wet verplichtingen schept voor verschillende rollen, waaronder aanbieders en implementeerders van AI-systemen. Een bedrijf dat een op AI gebaseerde oplossing koopt en gebruikt, kan nog steeds verantwoordelijkheden hebben, vooral als de AI wordt gebruikt in gevoelige of invloedrijke bedrijfsprocessen.

Voor uitvoerende teams is controle de kernkwestie.

• Weten we welke AI-systemen we gebruiken?
• Weten we welke bedrijfsprocessen worden beïnvloed?
• Begrijpen we de risico’s?
• Hebben we onze leveranciers beoordeeld?
• Hebben we het eigendom toegewezen?
• Kunnen we uitleggen hoe het systeem wordt gebruikt?
• Kunnen we bewijs leveren?

Als het antwoord op deze vragen onduidelijk is, heeft de organisatie een AI-governancekloof.

Het verband tussen de EU AI-wet, NIS2 en ISO 27001

De EU-AI Act moet niet worden behandeld als een geïsoleerd nalevingsproject.

Het sluit op natuurlijke wijze aan bij andere onderwerpen op het gebied van bestuur en veerkracht, met name NIS2 en ISO 27001.

NIS2 richt zich op cyberbeveiliging en digitale weerbaarheid. Het vereist van organisaties in essentiële en belangrijke sectoren dat ze cyberrisico’s beheren, kritieke diensten beschermen, incidenten afhandelen en de beveiliging van de toeleveringsketen verbeteren.

ISO 27001 biedt een managementsysteem voor informatiebeveiliging. Het helpt organisaties bij het structureren van risicomanagement, controles, eigenaarschap, bewijs, audits en voortdurende verbetering.

De EU AI Act voegt nog een laag toe: verantwoord AI-bestuur.

Deze onderwerpen overlappen elkaar op verschillende praktische gebieden:

• risicobeoordeling
• leveranciersmanagement
• toegangscontrole
• cyberbeveiliging
• incidentafhandeling
• registratie en bewaking
• bedrijfscontinuïteit
• gegevensbeheer
• bestuurlijke verantwoordelijkheid
• documentatie en bewijs
• voortdurende verbetering

Daarom mag de voorbereiding op de AI-wet geen aparte papieren exercitie worden.

Voor de meeste organisaties is het beter om AI-governance te integreren in het bestaande managementsysteem voor risico’s, beveiliging, compliance en transformatie.

Waarom ISO 27001 een sterke basis is voor AI-governance

ISO 27001 maakt een organisatie niet automatisch compliant met de EU AI Act.

Het biedt echter een zeer nuttige basis.

AI-governance vereist veel van dezelfde managementdisciplines die ISO 27001 al stimuleert:

• inventaris van activa
• risicobeoordeling
• besturingsselectie
• eigendom
• leveranciersbeoordeling
• toegangsbeheer
• incidentmanagement
• bewijsverzameling
• managementbeoordeling
• voortdurende verbetering

Dezelfde logica kan worden uitgebreid naar AI.

In plaats van alleen de vraag te stellen “Welke informatiemiddelen hebben we?”, zouden organisaties zich ook de vraag moeten stellen:

“Welke AI-systemen gebruiken we, waar worden ze gebruikt en welke risico’s brengen ze met zich mee?”

In plaats van alleen informatiebeveiligingscontroles te beheren, zouden organisaties ook AI-controles moeten beheren.

In plaats van leveranciers alleen te beoordelen vanuit een beveiligingsperspectief, moeten organisaties ook AI-gerelateerde leveranciersrisico’s beoordelen.

In plaats van zich alleen voor te bereiden op cyberincidenten, moeten organisaties zich ook voorbereiden op AI-gerelateerde fouten, misbruik, vooringenomenheid, onjuiste output of gebrek aan uitlegbaarheid.

Dit is waar ISO 27001 waardevoller wordt dan certificering. Het creëert een praktisch operationeel model voor controle, bewijs en verantwoording.

Praktische stappen om klaar te zijn voor de AI-wet

Organisaties hoeven niet te beginnen met een complex juridisch programma. Ze moeten beginnen met zichtbaarheid en controle.

Een praktische eerste stap is het maken van een AI-inventarisatie.

1. AI-gebruiksgevallen identificeren

Breng in kaart waar AI momenteel wordt gebruikt in de organisatie. Neem zowel intern ontwikkelde AI mee als AI die is ingebed in tools van derden.

Kijk naar gebieden als HR, verkoop, marketing, klantenservice, operations, financiën, juridisch, inkoop, IT en cyberbeveiliging.

Het doel is om een duidelijk overzicht te creëren van het werkelijke AI-gebruik, niet alleen van officiële AI-initiatieven.

2. AI-risico classificeren

Als AI-systemen eenmaal zijn geïdentificeerd, classificeer ze dan op risico.

Vraag:

• Is de use case verboden?
• Kan het een hoog risico zijn?
• Heeft het invloed op de rechten van mensen, werkgelegenheid, toegang tot diensten of kritieke processen?
• Is transparantie vereist?
• Is het alleen een productiviteitstool met een laag risico?

Deze classificatie bepaalt het vereiste bestuursniveau.

3. Je rol bepalen

Organisaties moeten hun rol onder de AI-wet begrijpen.

• Ontwikkelen ze AI-systemen?
• Gebruiken ze AI-systemen van een leverancier?
• Zijn ze AI aan het integreren in een product of dienst?
• Gebruiken ze AI-tools voor algemene doeleinden in bedrijfsprocessen?

Verschillende rollen creëren verschillende verantwoordelijkheden.

4. Leveranciers beoordelen

Veel AI-risico’s komen de organisatie binnen via leveranciers. Dat maakt inkoop en leveranciersbeheer cruciaal. Organisaties moeten begrijpen of leveranciers AI gebruiken, hoe AI wordt bestuurd, welke documentatie beschikbaar is, waar gegevens worden verwerkt, hoe de output wordt gecontroleerd en welke contractuele waarborgen er zijn.

Dit is vooral belangrijk wanneer AI is ingebed in HR-, klant-, financiële, operationele of compliance-processen.

5. Definieer eigendom en controle

Elk relevant AI-systeem moet een eigenaar hebben. Die eigenaar moet het doel van het systeem, de risicoclassificatie, de toepasbare controles, de afhankelijkheden van leveranciers, de vereiste documentatie en de reviewcyclus begrijpen.

Controles kunnen bestaan uit menselijk toezicht, toegangsbeperkingen, logboekregistratie, goedkeuringsworkflows, communicatie met gebruikers, uitvoerbeoordeling, bias testen, controles op gegevenskwaliteit en incidentprocedures.

6. Bewijs verzamelen

Net als NIS2 en ISO 27001 is AI-governance afhankelijk van bewijs…
Het is niet genoeg om te zeggen dat AI verantwoord wordt gebruikt. Organisaties moeten kunnen aantonen wat er is beoordeeld, besloten, geïmplementeerd en herzien.

Dit betekent het documenteren van AI-systemen, risico’s, eigenaren, controles, leveranciersbeoordelingen, incidenten, beslissingen en verbeteracties.

AI Governance gaat niet alleen over compliance

Compliance is belangrijk, maar niet de enige reden om AI-governance serieus te nemen.

Slecht bestuurde AI creëert bedrijfsrisico’s.

Het kan leiden tot:

• foute beslissingen
• reputatieschade
• blootstelling aan regelgeving
• bevooroordeelde resultaten
• privacyschendingen
• veiligheidszwakheden
• afhankelijkheid van leveranciers
• operationele storing
• verlies van vertrouwen bij de klant
• onduidelijke verantwoording

Goede AI-governance blokkeert innovatie niet. Het maakt innovatie veiliger en schaalbaarder.

Organisaties die in een vroeg stadium aan governance werken, zullen beter gepositioneerd zijn om AI met vertrouwen in te zetten. Ze zullen weten waar AI waarde toevoegt, waar het onaanvaardbare risico’s met zich meebrengt en waar aanvullende controles nodig zijn.

Dat is een concurrentievoordeel.

Van AI-experiment tot AI-besturing

Veel bedrijven bevinden zich momenteel in de experimenteerfase. Teams testen AI-tools. Medewerkers gebruiken copilots. Leveranciers voegen AI-functies toe. Bedrijfsonderdelen onderzoeken automatisering. Datateams bouwen modellen.

Dit is normaal.

Maar experimenteren zonder governance brengt risico’s met zich mee. De volgende fase is niet om AI te stoppen. De volgende fase is om het te professionaliseren.

Dat betekent dat we moeten overstappen van een verspreid gebruik van AI naar een gecontroleerde toepassing van AI:

• van informeel gebruik naar geregistreerde use cases
• van onduidelijk eigendom naar verantwoordelijke eigenaren
• van leveranciersbeloften naar leveranciersbeoordelingen
• van algemeen beleid naar praktische controles
• van geïsoleerde experimenten naar zichtbaarheid op portefeuilleniveau
• van onzekerheid naar bewijs

Dit is waar organisaties structuur nodig hebben.

Hoe Oosterwal Consultancy kan helpen

Oosterwal Consultancy helpt organisaties structuur, controle en momentum te brengen in complexe initiatieven rondom digitale transformatie, ISO-gereedheid, NIS2-gereedheid en AI-governance.

We ondersteunen organisaties met:

• EU-beoordeling van de gereedheid voor de AI-wet
• AI-inventarisatie en risicoclassificatie
• AI-besturingsmodellen
• ISO 27001 voorbereiding en implementatie
• NIS2-hiaatanalyse en verbeteringsplanning
• analyse van leveranciers- en technologieafhankelijkheid
• risico- en controleraamwerken
• portefeuille- en programmabeheer
• praktische beheersystemen voor auditgereedheid

Onze aanpak is pragmatisch.

Geen onnodige complexiteit. Geen papieren compliance-theater. Geen geïsoleerde governance documenten die niemand gebruikt.

Wij helpen organisaties om regeldruk te vertalen naar een praktisch systeem van risico’s, controles, eigenaren, acties, bewijs en meetbare vooruitgang.

Voor organisaties die al werken aan ISO 27001 of NIS2 kan AI-governance worden toegevoegd als een logische volgende laag. De onderliggende managementdiscipline is hetzelfde: begrijp de risico’s, wijs eigenaarschap toe, implementeer controles, verzamel bewijs en verbeter continu.

Conclusie

De EU AI-wet markeert een belangrijke verschuiving.

• AI is niet langer alleen een onderwerp voor innovatie. Het wordt een bestuursthema.
• Organisaties moeten weten waar AI wordt gebruikt, welke risico’s het met zich meebrengt, wie de eigenaar is, welke controles er zijn en of verantwoord gebruik kan worden aangetoond.

Voor directies, CIO’s, CFO’s, juridische teams, risicoteams en transformatieleiders vormt dit een duidelijke uitdaging:

Kunnen we laten zien dat onze organisatie AI verantwoord en beheerst gebruikt?

De organisaties die deze vraag vroegtijdig beantwoorden, zullen beter voorbereid zijn op regelgeving, veerkrachtiger zijn in de uitvoering en meer vertrouwen hebben in het verantwoord opschalen van AI.

De tijd om te beginnen is nu 🙂

 

FAQ

Wat is de EU AI-wet?

De EU AI Act is het wettelijke kader van de Europese Unie voor kunstmatige intelligentie. Het introduceert op risico gebaseerde regels voor de ontwikkeling, de inzet en het gebruik van AI-systemen in de EU.

Wanneer is de EU AI-wet van toepassing?

De Wet op de AI is op 1 augustus 2024 in werking getreden en wordt gefaseerd toegepast. Verboden AI-praktijken en AI-geletterdheidsverplichtingen zijn van toepassing vanaf 2 februari 2025. Governance-regels en verplichtingen voor AI-modellen voor algemene doeleinden zijn van toepassing vanaf 2 augustus 2025. Het grootste deel van het kader wordt van toepassing vanaf 2 augustus 2026, sommige specifieke verplichtingen worden later van kracht.

Is de EU AI Act alleen van toepassing op bedrijven die AI bouwen?

Nee. De AI-wet is ook relevant voor organisaties die AI-systemen gebruiken, vooral wanneer AI wordt gebruikt in processen met een grote impact, zoals werving, beoordeling van werknemers, kredietbeoordeling, toegang tot diensten, veiligheid, beveiliging of kritieke operaties.

Wat is een AI-systeem met een hoog risico?

Een AI-systeem met een hoog risico is een AI-systeem dat de rechten, veiligheid, kansen of toegang tot essentiële diensten van mensen aanzienlijk kan beïnvloeden. Voorbeelden hiervan zijn AI die wordt gebruikt bij werving, onderwijs, werkgelegenheid, kredietbeoordeling, kritieke infrastructuur of bepaalde gereguleerde producten.

Hoe verhoudt de AI-wet zich tot ISO 27001?

ISO 27001 zorgt niet automatisch voor naleving van de AI Act, maar biedt wel een sterke managementbasis. Het helpt organisaties bij het structureren van risicomanagement, controles, eigenaarschap, leveranciersmanagement, incidentafhandeling, bewijs en voortdurende verbetering. Deze zijn ook belangrijk voor verantwoord AI-beheer.

Hoe verhoudt de Wet AI zich tot NIS2?

NIS2 richt zich op cyberbeveiliging en digitale weerbaarheid. De AI-wet richt zich op verantwoorde AI. Ze overlappen elkaar op gebieden zoals risicobeheer, cyberbeveiliging, leverancierscontrole, incidentafhandeling, governance en bewijsvoering. Organisaties moeten ze waar mogelijk samen beheren.

Wat moeten organisaties eerst doen?

Begin met een AI-inventarisatie. Identificeer waar AI wordt gebruikt, welke leveranciers erbij betrokken zijn, welke bedrijfsprocessen erbij betrokken zijn en of de use cases een hoog risico vormen of transparantie vereisen. Definieer van daaruit eigenaarschap, controles en verbeteracties.