EU AI Act en ISO 42001
De Europese AI Act is de eerste uitgebreide AI-wetgeving ter wereld. ISO 42001 kan je helpen om eraan te voldoen, maar het is geen garantie voor volledige compliance. De Rijksoverheid biedt actuele informatie over de Nederlandse implementatie. Op deze pagina leggen we uit hoe de twee zich tot elkaar verhouden.
Wat is de EU AI Act?
De AI Act is een Europese verordening die eisen stelt aan AI-systemen. Het doel: AI betrouwbaar en veilig maken, mensenrechten beschermen, innovatie mogelijk houden. Het Europese AI Office coördineert de implementatie.
De wet is op 1 augustus 2024 in werking getreden. De verschillende onderdelen worden gefaseerd van toepassing. Niet alles geldt meteen. Organisaties krijgen tijd om zich voor te bereiden.
De AI Act hanteert een risicogebaseerde aanpak. Hoe groter het risico van een AI-systeem, hoe strenger de eisen.
De risicocategorieën van de EU AI Act
Verboden AI
Sommige AI-toepassingen zijn simpelweg verboden. Dit zijn toepassingen die onaanvaardbare risico’s opleveren voor fundamentele rechten.
Sinds 2 februari 2025 verboden:
- Social scoring door overheden (mensen beoordelen en classificeren op basis van sociaal gedrag)
- Manipulatieve AI die mensen misleidt of uitbuit
- Biometrische categorisatiesystemen op basis van gevoelige kenmerken
- Real-time biometrische identificatie in publieke ruimtes door rechtshandhaving (met uitzonderingen)
- Emotieherkenning op de werkplek en in onderwijs
- Databases voor gezichtsherkenning op basis van scraping
Hoog-risico AI
AI-systemen met significant risico voor gezondheid, veiligheid of fundamentele rechten. Deze krijgen de strengste eisen.
Voorbeelden van hoog-risico AI:
- AI in medische hulpmiddelen
- AI voor toegang tot onderwijs en beroepsopleiding
- AI voor werving en selectie
- AI voor kredietbeoordeling
- AI in kritieke infrastructuur
- AI voor rechtshandhaving
- AI in migratiemanagement
Wat moeten aanbieders van hoog-risico AI?
- Risicomanagementsysteem opzetten
- Data governance en -kwaliteit waarborgen
- Technische documentatie bijhouden
- Logging en traceerbaarheid inbouwen
- Transparantie naar gebruikers
- Menselijk toezicht mogelijk maken
- Robuustheid, nauwkeurigheid en cybersecurity
- Conformiteitsbeoordeling doen
- CE-markering aanbrengen
- Registreren in de EU-database
AI met beperkt risico
AI-systemen met specifieke transparantieverplichtingen. Gebruikers moeten weten dat ze met AI te maken hebben.
Voorbeelden:
- Chatbots (moeten onthullen dat ze AI zijn)
- Emotieherkenning (gebruikers informeren)
- Deepfakes (labelen als kunstmatig)
- AI-gegenereerde content (kenbaar maken)
AI met minimaal risico
Alle overige AI. Geen specifieke verplichtingen, maar vrijwillige gedragscodes worden aangemoedigd.
Is mijn AI hoog-risico? (snelle zelfcheck)
De zwaarte van je verplichtingen hangt af van de risicocategorie van je AI. Hieronder een beslistabel om snel te bepalen waar jouw systeem onder valt. Begin bovenaan: de eerste rij die past, bepaalt je categorie.
| Past dit op jouw AI? | Categorie | Wat het betekent |
|---|---|---|
| Social scoring, manipulatie, gezichtsherkenning via scraping, emotieherkenning op werk/onderwijs | Verboden | Stop ermee, dit mag niet sinds 2 februari 2025 |
| Beslist mee over werving, krediet, onderwijs, zorg, kritieke infrastructuur of rechtshandhaving | Hoog-risico | Strengste eisen, conformiteitsbeoordeling nodig |
| Chatbot, deepfake of AI-content waarmee mensen direct te maken hebben | Beperkt risico | Transparantieplicht: maak kenbaar dat het AI is |
| Geen van bovenstaande, geen directe impact op mensen | Minimaal risico | Geen specifieke eisen, gedragscodes aangeraden |
Twijfel je tussen beperkt en hoog-risico? Check Annex III van de AI Act voor de exacte lijst hoog-risico toepassingen. Een AI impact assessment helpt je de impact op mensen scherp te krijgen.
De tijdlijn van de EU AI Act
De AI Act wordt gefaseerd van toepassing. De data voor hoog-risico AI zijn naar verwachting uitgesteld via het Digital Omnibus-pakket . Op het politieke akkoord van 7 mei 2026 moet nog formele goedkeuring door Raad en Parlement volgen.
| Datum | Wat gaat gelden | Status |
|---|---|---|
| 2 februari 2025 | Verboden AI-toepassingen, AI-geletterdheidseis | Van kracht |
| 2 augustus 2025 | Eisen voor AI-modellen voor algemene doeleinden (GPAI) | Van kracht |
| 2 augustus 2026 | Handhaving door nationale toezichthouders begint | Van kracht |
| 2 december 2027 | Eisen voor hoog-risico AI (Annex III) | Voorgenomen uitstel |
| 2 augustus 2028 | Eisen voor hoog-risico AI in gereguleerde producten | Voorgenomen uitstel |
De AI-geletterdheidseis geldt al sinds 2 februari 2025 en is niet uitgesteld. Nationale toezichthouders krijgen vanaf augustus 2026 formele handhavingsbevoegdheden. Lees meer over de AI-geletterdheidseis.
De oorspronkelijke deadline voor hoog-risico AI was augustus 2026. Het uitstel naar december 2027 is een voorgenomen wijziging , nog niet definitief vastgelegd. Reken niet op het uitstel als planning. Bouw je AI-governance nu op.
Hoe helpt ISO 42001?
ISO 42001 en de AI Act overlappen significant. De norm biedt een raamwerk voor veel van de eisen uit de wet.
Wat ISO 42001 wel dekt
Risicomanagementsysteem. De AI Act eist een risicomanagementsysteem voor hoog-risico AI. ISO 42001 beschrijft precies hoe je dat opzet: risico’s identificeren, beoordelen, behandelen.
Governance en verantwoordelijkheden. De wet eist duidelijke verantwoordelijkheid. ISO 42001 vraagt om gedefinieerde rollen, bevoegdheden en aansprakelijkheden.
Documentatie. Beide vragen om gedocumenteerde processen, risicoanalyses en beheersmaatregelen.
Impactanalyse. De AI impact assessment uit ISO 42001 sluit aan bij de eis om de impact op fundamentele rechten te beoordelen.
Data governance. ISO 42001 Annex A bevat maatregelen voor datakwaliteit en databeheer.
Levenscyclusbeheer. De norm vraagt aandacht voor de hele levenscyclus, net als de AI Act.
Monitoring en logging. Beide vragen om logging en monitoring van AI-systemen.
Training en bewustzijn. De AI-geletterdheidseis sluit aan bij de competentie- en bewustzijnseisen van ISO 42001.
Wat ISO 42001 niet dekt
Conformiteitsbeoordeling. De AI Act eist voor hoog-risico AI een formele conformiteitsbeoordeling. ISO 42001 certificering is niet hetzelfde. Je moet een aparte AI Act-conformiteitsprocedure doorlopen.
CE-markering. Als je AI in producten zit, moet je CE-markering aanbrengen. Dit is een apart traject.
EU-database registratie. Hoog-risico AI moet geregistreerd worden in een Europese database. Dit staat los van ISO 42001.
EU Declaration of Conformity. Je moet een ondertekende EU-conformiteitsverklaring kunnen overleggen.
Specifieke technische eisen. De AI Act bevat gedetailleerde technische eisen die specifieker zijn dan ISO 42001. Denk aan eisen voor datasets, bias-detectie, menselijk toezicht.
Samenwerking met autoriteiten. De AI Act bevat specifieke eisen voor samenwerking met toezichthouders, incidentmelding en markttoezicht.
ISO 42001 is geen geharmoniseerde norm onder de AI Act. Certificering geeft geen “vermoeden van conformiteit” aan de wet. Maar het legt wel een sterke basis voor compliance.
De praktische aanpak
Als je nog niets hebt
Begin met ISO 42001. Het geeft je een systematische aanpak voor AI-governance. Je bouwt de structuren op die je ook voor de AI Act nodig hebt. Risicomanagement, documentatie, governance, monitoring.
Tegelijkertijd: volg de AI Act-ontwikkelingen. Welke van je AI-systemen zijn hoog-risico? Wanneer gelden de eisen?
Als je ISO 42001 hebt of bezig bent
Je hebt een voorsprong. Gebruik je AIMS als basis voor AI Act-compliance.
Gap-analyse. Vergelijk je systeem met de AI Act-eisen. Wat mist er nog? Typisch: de formele conformiteitsprocedure, CE-markering, database-registratie.
Uitbreiden waar nodig. Voeg de ontbrekende elementen toe. Dit zijn vaak procedurele zaken, geen volledige herbouw.
Als je ISO 27001 hebt
De combinatie van ISO 27001 en ISO 42001 is krachtig. ISO 27001 dekt de informatiebeveiligingskant, ISO 42001 de AI-governance-kant. Samen vormen ze een stevige basis voor AI Act-compliance.
EU AI Act sancties en boetes
De AI Act heeft tanden. De boetes zijn substantieel:
| Overtreding | Maximale boete |
|---|---|
| Verboden AI-praktijken | €35 miljoen of 7% wereldwijde omzet |
| Niet voldoen aan hoog-risico eisen | €15 miljoen of 3% wereldwijde omzet |
| Onjuiste informatie verstrekken | €7,5 miljoen of 1% wereldwijde omzet |
Voor mkb en startups gelden lagere maxima (het laagste van de twee bedragen).
De EU AI Act in Nederland
In Nederland wordt de AI Act gehandhaafd door verschillende toezichthouders, afhankelijk van de sector. De Autoriteit Persoonsgegevens speelt een rol waar AI en privacy raken. Sectorspecifieke toezichthouders (DNB voor financieel, IGJ voor zorg) kijken naar hun domein. Meer informatie over de Nederlandse implementatie vind je bij de Rijksoverheid .
Er komt een coördinerend mechanisme om versnippering te voorkomen.
Voor organisaties betekent dit: weet wie je toezichthouder is. Bereid je voor op toezicht en mogelijke handhaving.
Wat moeten bedrijven die AI gebruiken nu doen?
De verleiding is om te wachten tot alles definitief is. Maar de basisstappen gelden nu al, los van het uitstel voor hoog-risico AI. Hieronder per fase wat je doet, en tegen welke deadline.
| Wanneer | Wat je doet | Deadline |
|---|---|---|
| Nu | AI-systemen inventariseren en classificeren naar risico | Lopend |
| Nu | Verboden toepassingen stoppen | Al van kracht (feb 2025) |
| Nu | AI-geletterdheid van medewerkers regelen | Al van kracht (feb 2025) |
| Nu | Starten met ISO 42001 als basis voor je governance | Vrijwillig, wel aangeraden |
| 2026-2027 | AIMS opbouwen, risico- en impactanalyses uitvoeren | Vóór de hoog-risico-eisen |
| Vóór dec 2027 | Conformiteitsbeoordeling en EU-databaseregistratie voor hoog-risico AI | Naar verwachting 2 december 2027 |
De handhaving door nationale toezichthouders begint in augustus 2026. Zelfs als de hoog-risico-eisen naar december 2027 schuiven, bouw je nu al de juiste structuren op met ISO 42001. De kernprincipes veranderen niet meer.
Meer lezen
- Wat is ISO 42001? - Introductie tot de norm
- Hoog-risico AI classificatie - Is jouw AI hoog-risico? Categorieën, Bijlage III en een zelfcheck
- AI-inventarisatie - Eerste stap: al je AI-systemen in kaart brengen
- ISO 42001 vs EU AI Act - Wet versus norm, en hoe ze samenwerken
- AI-geletterdheid - De vergeten verplichting sinds februari 2025
- Eisen van ISO 42001 - De inhoud van de norm
- AI impact assessment - De impactanalyse uitgelegd
- AI-ethiek principes - De principes achter de norm
- Rijksoverheid over AI Act - Officiële Nederlandse informatie
- EU AI Act bij de EC - Europese bron