AI Act en Data Act: Hoe gaat uw bedrijf om met nieuwe AI-wetgeving?

De opkomst van kunstmatige intelligentie (AI) en data-analyse biedt enorme kansen voor bedrijven. Tegelijk ontstaan er nieuwe AI-wetgeving om AI veilig en verantwoord te laten verlopen. De Europese AI Act en Data Act zijn recente wetten die bedrijven in Nederland niet kunnen negeren. Deze regels vragen om AI compliance – het aantoonbaar voldoen aan wetgeving voor veilige AI en zorgvuldig datagebruik. Wat houden de AI Act en Data Act in, en hoe zorgt u dat AI voor bedrijven binnen de lijntjes kleurt? In dit artikel beantwoorden we die vragen en geven we praktische tips voor compliance en data governance.

Wat is de AI Act?

De EU AI Act is ’s werelds eerste uitgebreide wet voor kunstmatige intelligentie, die per 1 augustus 2024 in werking is getreden. Deze AI Act (officieel Verordening (EU) 2024/1689) stelt een risicogebaseerd kader op voor het gebruik en de ontwikkeling van AI-systemen Simpel gezegd deelt de wet AI-toepassingen in van onacceptabel risico (verboden) tot hoog, beperkt en minimaal risico. Voor elk niveau gelden specifieke verplichtingen:

• Hoog risico AI: AI-systemen die een groot effect kunnen hebben op iemands veiligheid of rechten (zoals AI in medische apparatuur, recruitment of kredietverstrekking) worden “high-risk” genoemd. Ontwikkelaars van zulke systemen moeten voldoen aan strenge eisen op het gebied van risicomanagement, data-kwaliteit, technische documentatie, transparantie en menselijk toezicht. Denk aan het uitvoeren van risico-analyses, bijhouden van logboeken en zorgen voor menselijke controle voordat de AI gebruikt wordt. Ook moeten deze AI-systemen een CE-markering/certificering krijgen vóór ze op de markt komen. 
• Verboden AI: Sommige AI-toepassingen worden geheel verboden omdat ze een onaanvaardbaar risico vormen, bijvoorbeeld AI voor manipulatie of sociale kredietscoring. 
• Beperkt risico AI: Dit betreft AI zoals chatbots of generatieve AI die interacteert met mensen. Hier schrijft de AI Act vooral transparantie voor: gebruikers moeten weten dat ze met een machine te maken hebben of dat content door AI is gegenereerd. Bijvoorbeeld, als uw bedrijf een AI-chatbot inzet op de website, moet duidelijk zijn dat dit geen mens is. 
  
  De AI Act richt zich zowel op “aanbieders” (ontwikkelaars/leveranciers van AI-systemen) als “gebruikers” (organisaties die AI implementeren). Dat betekent dat niet alleen tech-bedrijven, maar alle organisaties die AI toepassen, de regels moeten volgen. Vanaf februari 2025 gelden de eerste verplichtingen voor bepaalde AI-systemen. Zo moeten organisaties vanaf dan bijvoorbeeld stoppen met verboden AI en zorgen dat medewerkers voldoende AI-kennis hebben. De meeste andere eisen (bijv. voor hoog risico AI) volgen geleidelijk in 2025 en 2026. Kort gezegd: de wet is er, en de komende jaren gaan de regels stapsgewijs gelden – dus bedrijven hebben nu een overgangsperiode om zich voor te bereiden.

Wat is de Data Act?

De EU Data Act (officieel Verordening (EU) 2023/2854) is een nieuwe Europese wet die eerlijk gebruik van en toegang tot data regelt. Waar de AI Act zich richt op AI-systemen, draait de Data Act om data delen en datarechten. Deze wet wil data-uitwisseling tussen bedrijven, consumenten en overheden soepeler en eerlijker maken, met respect voor vertrouwelijkheid en concurrentie. Enkele kernpunten van de Data Act voor bedrijven:

• Toegang tot IoT- en apparaatdata: Bedrijven die “slimme” producten of diensten leveren (bijv. apparaten met sensoren, voertuigen, slimme machines) moeten gebruikers toegang geven tot de data die die apparaten genereren. Denk aan een fabrikant van slimme landbouwmachines die agrarische data moet delen met de boer die het apparaat gebruikt. Zo krijgen klanten meer controle over hun eigen data.
• Data delen op verzoek: Op verzoek van een gebruiker of derde partij moeten datahouders bepaalde data toegankelijk maken, onder redelijke voorwaarden. Dit moet innovatie stimuleren – bijvoorbeeld een autodealer kan data opvragen van een autofabrikant om betere onderhoudsdiensten te verlenen, mits de klant instemt. Contracten die data delen onnodig beperken worden ongeldig verklaard. 

• Cloud en switchen van dienst: De Data Act bevat ook regels om klanten makkelijker van de ene clouddienst naar de andere te laten overstappen (portabiliteit) zonder buitensporige kosten of technische barrières. Cloud- en dataserviceproviders zullen zich hierop moeten aanpassen zodat lock-in afneemt. 

Overheidsverzoeken bij nood: In uitzonderlijke situaties (zoals publieke noodtoestanden) kan de overheid toegang eisen tot bepaalde private data. Bedrijven moeten dan onder strikte voorwaarden data verstrekken om bijvoorbeeld rampen te beheersen. 

Voor Nederlandse bedrijven betekent de Data Act vooral dat ze hun data governance op orde moeten hebben. U moet weten welke data uw producten en systemen genereren, wie daar toegang toe heeft en hoe u die veilig kunt delen. De Data Act is op 13 december 2023 aangenomen en treedt eveneens gefaseerd in werking. Naar verwachting moeten bedrijven vanaf september 2025 aan de meeste bepalingen voldoen. Dit geeft enige tijd om datastromen en contracten aan te passen, maar het is belangrijk om nu alvast te inventariseren waar u moet bijsturen.

Waarom zijn de AI Act en Data Act belangrijk voor bedrijven?

Nieuwe verplichtingen en risico op boetes: Voor bedrijven markeren de AI Act en Data Act een grote verschuiving. Waar AI-ontwikkeling en datagebruik tot nu toe grotendeels ongereguleerd waren, ontstaat nu een helder kader met harde eisen. Niet voldoen betekent risico op forse sancties. De boetes onder de AI Act kunnen oplopen tot €30 miljoen of 6% van de wereldwijde jaaromzet – vergelijkbaar met de hoogste boetes onder de AVG (privacywetgeving). Ook de Data Act kent boetes (die per EU-land zullen worden vastgesteld) voor bedrijven die er de kantjes af lopen. Het financiële én reputatierisico van non-compliance is dus aanzienlijk.

Bescherming van rechten en vertrouwen: Tegelijk zijn deze wetten ingesteld om vertrouwen in AI en data te vergroten. Ze vullen de al bestaande privacyregels (AVG) aan. Waar de AVG persoonsgegevens beschermt, zorgt de AI Act ervoor dat AI-systemen veilig, transparant en mensgericht zijn, en de Data Act dat data eerlijk gedeeld wordt. Samen vormen ze een basis om innovatie mogelijk te maken zonder dat de rechten van burgers en klanten in het geding komen. Voor bedrijven kan naleving daarom ook een kans zijn: het toont dat u verantwoord met AI en data omgaat, wat klanten en partners vertrouwen geeft.

Impact op bedrijfsvoering: In de praktijk zullen veel afdelingen binnen uw organisatie hierbij betrokken zijn. Juridische teams, IT-afdelingen, data-analisten, HR – allen krijgen te maken met nieuwe procedures. Zo moet HR bijvoorbeeld letten op AI-tools bij werving (mag dat nog, voldoet het aan non-discriminatie-eisen?), en IT moet zorgen dat data uit uw producten exporteerbaar is voor klanten. Er komt waarschijnlijk extra administratie bij, zoals het opstellen van technische documentatie voor AI (bij hoog-risico systemen) en het bijhouden waar uw data opgeslagen is en met wie gedeeld. Dit vergt investering in kennis en mogelijk nieuwe rollen, zoals een AI compliance officer of data steward.

Nederland loopt vooruit: Het is goed om te beseffen dat Nederland voorop wil lopen met deze AI-wetgeving. De Nederlandse overheid heeft zelfs aangekondigd de essentie van de AI Act per direct toe te passen nog vóórdat de wet EU-breed volledig van kracht is. In een visie-document van januari 2024 stelde de regering dat de AI Act in Nederland nu al als geldende wet wordt gezien. Met andere woorden: toezichthouders en overheidsinstanties (zoals de Autoriteit Persoonsgegevens voor AI) zijn zich nú al aan het voorbereiden om te handhaven. Bedrijven doen er dus verstandig aan om niet te wachten, maar nu actie te ondernemen.

Hoe bereidt uw bedrijf zich voor op deze AI-wetgeving?

Omdat de AI Act en Data Act binnenkort van kracht worden, is het cruciaal om uw organisatie tijdig in gereedheid te brengen. Enkele stappen die u nu kunt nemen voor goede AI compliance en data-compliance:

Hoe zorgt Your Tech Club zelf voor veilige AI?

Bij Your Tech Club geloven we dat je het goede voorbeeld moet geven. Als tech-bedrijf zetten wij AI innovatief in, maar altijd met een nadruk op veiligheid en ethiek. Zo voeren we interne AI-audits uit op de tools en modellen die we ontwikkelen – we toetsen op biases, privacy en betrouwbaarheid voordat we iets bij klanten inzetten.

We hebben bovendien een duidelijk AI-gedragscode opgesteld: AI mag bij ons nooit beslissingen autonoom nemen die grote impact hebben zonder menselijk toezicht. Onze teams krijgen regelmatig trainingen over de nieuwste AI-richtlijnen en risico’s, zodat iedereen “AI-aware” is. Verder werken we volgens strikt gecertificeerde processen (zoals ISO 27001 voor informatiebeveiliging), wat naadloos aansluit op de AI compliance-eisen. Dit alles zorgt ervoor dat wij veilige AI toepassen én onze klanten kunnen helpen om hetzelfde te doen – van advies over AI-risico’s tot het bouwen van AI-oplossingen die voldoen aan de wet.