DOSSIER #073
AI in Nederland
Wat Betekent de EU AI Act voor Jou?
De EU AI Act is de eerste uitgebreide AI-regelgeving ter wereld. Wat mag er nog, wat is verboden, en wat betekent dit voor Nederlandse burgers, bedrijven en de overheid? Van gezichtsherkenning tot ChatGPT — het complete overzicht.
Wat is de EU AI Act?
De EU AI Act is aangenomen in augustus 2024 en wordt gefaseerd ingevoerd tot 2027. Het is de eerste uitgebreide wetgeving ter wereld die AI-systemen reguleert op basis van risiconiveau. Hoe hoger het risico, hoe strenger de regels.
De wet geldt voor alle AI-systemen die op de EU-markt worden gebruikt, ongeacht waar ze zijn ontwikkeld. Dit betekent dat ook Amerikaanse en Chinese bedrijven zich aan de regels moeten houden als ze EU-burgers bedienen.
Nederland speelt een actieve rol in de uitvoering via de AI & Data Autoriteit (AIDA), die in 2025 is opgericht als toezichthouder.
De Vier Risiconiveaus
Onaanvaardbaar risico
AI-systemen die fundamentele rechten schenden zijn volledig verboden:
- Sociale scoring door overheden (zoals in China)
- Real-time biometrische identificatie in openbare ruimte (gezichtsherkenning op straat)
- Manipulatie die mensen onderbewust beïnvloedt
- AI die kwetsbare groepen (kinderen, ouderen) uitbuitt
Uitzondering: politie mag real-time gezichtsherkenning gebruiken bij zeer ernstige misdrijven (terrorisme), maar alleen met rechterlijke machtiging.
Hoog risico
AI-systemen die grote impact hebben op mensenlevens vallen onder strenge eisen:
- AI in medische diagnose en zorg
- AI in recruitment en sollicitatieprocedures
- AI in kredietverlening en verzekeringen
- AI in justitie en wetshandhaving
- AI in kritieke infrastructuur (energie, water, verkeer)
- AI in onderwijs (toetsing, toelating)
Deze systemen moeten: transparant zijn, menselijke controle mogelijk maken, getraind zijn op kwaliteitsdata, geregistreerd worden in een EU-database, en onderworpen worden aan conformiteitsbeoordeling.
Beperkt risico
AI-systemen die transparantieplicht hebben:
- Chatbots en generatieve AI (ChatGPT, DALL-E, etc.)
- Deepfakes en synthetische media
- Emotieherkenning
- Biometrische categorisatie (niet-identificatie)
Gebruikers moeten weten dat ze met AI interageren. Deepfakes moeten gelabeld zijn. Generatieve AI moet voldoen aan copyright-regels en trainingsdata openbaar maken.
Minimaal risico
De meeste AI-toepassingen vallen hieronder en zijn vrij van extra regels:
- Spam-filters
- Aanbevelingsalgoritmes (Netflix, Spotify)
- Vertaalsoftware
- Spel-AI
Bedrijven worden aangemoedigd om vrijwillig gedragscodes te volgen, maar het is niet verplicht.
De Nederlandse Situatie
Toezichthouder: AI & Data Autoriteit (AIDA)
Nederland heeft AIDA opgericht als nationale toezichthouder voor de EU AI Act. AIDA valt onder het Ministerie van EZK en houdt toezicht op naleving, onderzoekt overtredingen en kan boetes opleggen tot €35 miljoen of 7% van de wereldwijde omzet.
NCTV en AI-surveillance
De NCTV (Nationale Counter Terrorism en Veiligheid) gebruikt al jaren AI voor het monitoren van sociale media en het detecteren van extremisme. Het CTIVD-rapport uit de corona-enquête toonde aan dat deze surveillance "structureel onrechtmatig" was. De EU AI Act stelt nu strengere eisen aan dergelijk gebruik.
Belastingdienst en toeslagenaffaire
De Belastingdienst gebruikte een algoritme voor risico-indicatie bij toeslagenaangiften. Dit leidde tot de toeslagenaffaire: tienduizenden onterecht beschuldigd, duizenden kinderen uit huis geplaatst. De EU AI Act had dit kunnen voorkomen — het systeem valt onder "hoog risico" en had getest moeten worden op bias.
Politie en gezichtsherkenning
De Nederlandse politie experimenteert al jaren met gezichtsherkenning. Onder de EU AI Act is real-time gezichtsherkenning in de openbare ruimte verboden, met uitzondering voor zeer ernstige zaken. De politie moet nu aantonen dat gebruik proportioneel en noodzakelijk is.
Wat Betekent Dit voor Bedrijven?
- Transparantieplicht: Bedrijven die generatieve AI gebruiken (ChatGPT, etc.) moeten klanten vertellen dat content AI-gegenereerd is.
- Conformiteitsbeoordeling: Bedrijven met "hoog risico" AI moeten een conformiteitsbeoordeling ondergaan voordat ze het systeem op de markt brengen.
- Registratie: Hoog-risico AI-systemen moeten worden geregistreerd in een EU-database.
- Documentatie: Technische documentatie, logbestanden en kwaliteitsdata moeten worden bijgehouden.
- Menselijke controle: AI-systemen moeten menselijke controle mogelijk maken. Een mens moet altijd kunnen ingrijpen.
- Boetes: Overtredingen kunnen leiden tot boetes tot €35 miljoen of 7% van de wereldwijde omzet — hoger dan GDPR-boetes.
Wat Betekent Dit voor Jou als Burger?
- Recht op uitleg: Als een AI-systeem een beslissing over je neemt (bijv. kredietafwijzing), heb je recht op uitleg over hoe de beslissing tot stand kwam.
- Recht op menselijke controle: Je kunt een menselijke herbeoordeling vragen van een AI-beslissing.
- Bescherming tegen bias: AI-systemen mogen niet discrimineren op basis van ras, geslacht, leeftijd of andere kenmerken.
- Weten wanneer je met AI spreekt: Chatbots en AI-assistenten moeten zich identificeren als AI.
- Deepfake-labeling: AI-gegenereerde video's en audio moeten als zodanig worden gemarkeerd.
- Geen sociale scoring: De overheid mag je niet beoordelen op basis van gedrag of "sociale score."
Bronnen
- EU — Artificial Intelligence Act (Verordening 2024/1689)
- AI & Data Autoriteit (AIDA) — Nationale toezichthouder
- European AI Office — Coördinatie en uitvoering
- CTIVD — Toezichtrapport NCTV-surveillance (2026)
- Autoriteit Persoonsgegevens — AI en privacy
- Ministerie van EZK — Nationale AI-strategie