Waar ben je naar opzoek?

De AI Act: Hoe Overreactie te Voorkomen De AI Act: Hoe Overreactie te Voorkomen
DoorRonald van der Meer+
2 februari 2025

De AI Act: Hoe Overreactie te Voorkomen

De aankomende AI Act binnen de EU roept bekende zorgen op. Net als bij de invoering van de GDPR horen we doemscenario’s over torenhoge boetes, een bureaucratische rompslomp en complexe nalevingsprocessen. Maar als de geschiedenis ons iets leert, dan is het dat de realiteit vaak minder dramatisch is. Voor bedrijven zoals KPN en andere IT-dienstverleners ligt de sleutel niet in het heruitvinden van compliance, maar in slimme integratie zonder onnodige complexiteit.

Wat is de Werkelijke Impact van de AI Act?

De AI Act introduceert een risicogebaseerd classificatiesysteem dat AI-toepassingen indeelt van minimaal risico (zoals spamfilters) tot hoog risico (zoals AI in de gezondheidszorg, recruitment of kritieke infrastructuur). Sommige toepassingen—denk aan realtime gezichtsherkenning in openbare ruimtes of AI-gestuurde sociale scores—worden zelfs volledig verboden.

De AI Act is de eerste uitgebreide wetgeving van de EU die het gebruik van kunstmatige intelligentie reguleert. Het legt strengere regels op voor hoogrisico-AI-systemen en verbiedt bepaalde toepassingen, zoals massasurveillance en sociale scoring. De wet richt zich op transparantie, ethiek en veiligheid, terwijl innovatie binnen verantwoorde grenzen wordt gestimuleerd.
De AI Act is de eerste uitgebreide wetgeving van de EU die het gebruik van kunstmatige intelligentie reguleert. Het legt strengere regels op voor hoogrisico-AI-systemen en verbiedt bepaalde toepassingen, zoals massasurveillance en sociale scoring. De wet richt zich op transparantie, ethiek en veiligheid, terwijl innovatie binnen verantwoorde grenzen wordt gestimuleerd.

Voor de meeste bedrijven is de uitdaging niet of hun AI-oplossingen legaal zijn, maar hoe ze het gebruik ervan op een gestructureerde manier kunnen documenteren en beheren. Dit betekent in kaart brengen welke software en diensten AI gebruiken en ervoor zorgen dat toepassingen met een hoog risico voldoen aan vereisten op het gebied van transparantie, risicobeoordeling en menselijke controle.

De GDPR-Parallellen—En Hoe het Simpel te Houden

Toen de GDPR werd geïntroduceerd, vreesden bedrijven ingrijpende veranderingen. In de praktijk kwam compliance vaak neer op het opstellen van verwerkersovereenkomsten (DPA’s) en het aanstellen van een Functionaris voor Gegevensbescherming (DPO) in specifieke gevallen. De AI Act zal waarschijnlijk een vergelijkbaar pad volgen.

Voor IT-dienstverleners betekent dit geen radicale koerswijziging, maar het slim integreren van AI-governance in bestaande compliance-structuren. Dit houdt in:

  • AI-gebruik in kaart brengen binnen producten en diensten
  • Samenwerken met leveranciers om AI-systemen te classificeren
  • AI-compliance toevoegen aan contracten, vergelijkbaar met GDPR-verwerkersovereenkomsten
  • Transparantie en risicobeheer borgen voor AI-toepassingen met een hoog risico

Door de AI Act te benaderen als een uitbreiding van bestaande processen, blijft compliance beheersbaar zonder onnodige complexiteit.

Val Niet in de Valkuil van Overreactie

De grootste fout die bedrijven kunnen maken, is de AI Act te behandelen als een volledig nieuw regelgevend monster dat een complete herziening van hun compliance-structuur vereist. Dit leidt vaak tot dure en inefficiënte bureaucratieën die weinig waarde toevoegen.

Er is bijvoorbeeld zelden een noodzaak om een speciale “AI Compliance Officer” aan te stellen, tenzij AI een kernonderdeel van de bedrijfsvoering vormt. In plaats daarvan ligt de focus op:

  • Praktische risicobeoordeling
  • Heldere documentatie
  • Beheersing van AI-systemen binnen bestaande governance- en securityprocessen

Bedrijven zouden de verleiding moeten weerstaan om nieuwe afdelingen of complexe controlesystemen te creëren die vooral papierwerk opleveren zonder echte impact op de veiligheid of compliance.

Een Nuchtere Benadering van AI Compliance

Voor bedrijven zoals KPN zal de naleving van de AI Act waarschijnlijk sterk lijken op de manier waarop de GDPR destijds werd geïntegreerd in bestaande processen. Waar destijds angst bestond voor complexe veranderingen, bleek in de praktijk dat veel bedrijven hun bestaande structuren eenvoudig konden uitbreiden. Dat is precies de benadering die hier opnieuw relevant is.

Voor bedrijven zoals KPN zal de naleving van de AI Act waarschijnlijk sterk lijken op de manier waarop de GDPR destijds werd geïntegreerd in bestaande processen.
KPN hoofdkantoor Rotterdam

Het begint met het begrijpen van waar en hoe AI wordt ingezet binnen de organisatie. Dit vraagt geen revolutionaire aanpak, maar simpelweg bewustwording. Welke systemen maken gebruik van AI? Welke toepassingen zijn intern ontwikkeld, en waar is AI onderdeel van ingekochte diensten? Dit overzicht vormt de basis om te bepalen welke risico’s aanwezig zijn en waar aanvullende maatregelen nodig zijn.

In plaats van nieuwe, ingewikkelde complianceprocessen op te tuigen, is het verstandiger AI-toezicht te integreren in de al bestaande governance- en risicomanagementstructuren. Organisaties hebben vaak al processen voor risicobeoordeling, beveiligingsbeleid en leveranciersbeheer. De kunst is om AI daarin te verweven, niet door nieuwe lagen bureaucratie te creëren, maar door de bestaande kaders uit te breiden met aandacht voor AI-specifieke risico’s.

Dit betekent ook dat het bijwerken van contracten met leveranciers geen juridische nachtmerrie hoeft te zijn. Net zoals bij de invoering van de GDPR vaak eenvoudigweg een verwerkersovereenkomst werd toegevoegd, kan nu een annex voor AI-compliance volstaan. Transparantie en duidelijke afspraken over hoe AI wordt gebruikt en welke verantwoordelijkheden daarbij horen, zijn vaak voldoende.

Het belangrijkste is misschien wel de mindset. De AI Act is geen ‘game changer’ die vraagt om paniek of rigoureuze veranderingen. Het is een logische volgende stap in de evolutie van technologie en regelgeving. Door met gezond verstand te kijken naar waar AI een rol speelt en hoe dat past binnen de bestaande structuren, kunnen bedrijven de AI Act niet alleen naleven, maar zelfs benutten als kans om hun governance verder te versterken—zonder overbodige complexiteit.

Disclaimer

Ronald van der Meer is werkzaam bij KPN als lead cybersecurity & compliance binnen een team dat IT-diensten levert aan zakelijke klanten en overheden. De inzichten en meningen in deze blog zijn op persoonlijke titel en vertegenwoordigen niet noodzakelijkerwijs het standpunt van KPN.

DoorRonald van der Meer+
Gepubliceerd op

Lees ook

Geef een reactie

Welkom bij BitLens – Waar Technologie en Perspectief Samenkomen. Ontdek diepgaande inzichten over AI, beveiliging en de digitale wereld. We kijken verder dan de oppervlakte om het grotere geheel te onthullen. Denk dieper. Zie helderder.
©️ 2025 — BitLens. Alle rechten voorbehouden | Meldingsbeleid voor kwetsbaarheden (VDP) | Privacyverklaring