AI Act: wat zijn de risico’s als jouw organisatie niet op tijd voorbereid is?

Artificial Intelligence wordt inmiddels dagelijks gebruikt binnen organisaties. Medewerkers werken met AI-tools zoals ChatGPT, Copilot, slimme chatbots en automatische analyses om sneller en efficiënter te werken.

Maar terwijl het gebruik van AI snel groeit, realiseren veel organisaties zich nog onvoldoende welke risico’s daarbij horen. Met de komst van de Europese AI Act worden bedrijven namelijk verantwoordelijk voor veilig, transparant en verantwoord gebruik van AI.

En dat geldt niet alleen voor grote techbedrijven.

Ook MKB-bedrijven, onderwijsinstellingen, zorgorganisaties, gemeenten en andere organisaties krijgen ermee te maken.

Wat is de AI Act?

De AI Act is nieuwe Europese wetgeving die regels stelt aan het ontwikkelen en gebruiken van AI-systemen binnen de Europese Unie.

Het doel van de wet is om AI veiliger en betrouwbaarder te maken. Daarbij wordt gekeken naar risico’s voor mensen, privacy, veiligheid en eerlijke besluitvorming.

Sommige AI-toepassingen worden gezien als “hoog risico”. Denk bijvoorbeeld aan AI die gebruikt wordt voor:

• personeelsselectie;
• beoordelingen;
• kredietcontroles;
• beveiliging;
• medische toepassingen;
• of geautomatiseerde besluitvorming.

Maar ook organisaties die standaard AI-tools gebruiken krijgen verantwoordelijkheden rondom:

• privacy;
• transparantie;
• beveiliging;
• menselijk toezicht;
• en AI-geletterdheid van medewerkers.

De AI Act speelt nu al

Veel organisaties denken dat de AI Act nog toekomstmuziek is. Dat is een misverstand.

De wet wordt namelijk stap voor stap ingevoerd en organisaties moeten zich nu al voorbereiden.

Belangrijke momenten van de AI Act

• 2024
  De AI Act is officieel aangenomen door de Europese Unie.
• Vanaf 2025
  Eerste verplichtingen en verboden AI-toepassingen gaan gelden.
• 2025 – 2026
  Organisaties moeten steeds meer voldoen aan regels rondom:
  • AI-gebruik;
  • documentatie;
  • transparantie;
  • risicobeheersing;
  • en training van medewerkers.
• Vanaf 2026
  Grote delen van de AI Act worden actief gehandhaafd.
• 2027
  De AI Act is grotendeels volledig van toepassing binnen de Europese Unie.

Dat lijkt misschien nog ver weg, maar organisaties die nu geen inzicht hebben in hun AI-gebruik lopen straks achter de feiten aan.

Veel bedrijven gebruiken AI zonder duidelijke afspraken

In de praktijk gebruiken medewerkers vaak al AI zonder dat organisaties daar goed beleid voor hebben.

Bijvoorbeeld:

• medewerkers plakken vertrouwelijke informatie in AI-chatbots;
• AI schrijft offertes of rapporten zonder controle;
• HR gebruikt AI tijdens sollicitatieprocedures;
• klantgegevens worden verwerkt via externe AI-tools;
• medewerkers gebruiken gratis AI-tools zonder toestemming van IT.

Vaak gebeurt dit onbewust en zonder slechte bedoelingen. Toch kunnen de risico’s groot zijn.

De grootste risico’s van niet voldoen aan de AI Act

1. Juridische problemen en hoge boetes

De AI Act kent stevige sancties. Bij ernstige overtredingen kunnen boetes oplopen tot miljoenen euro’s of een percentage van de wereldwijde omzet.

Daarnaast kunnen organisaties aansprakelijk worden gesteld wanneer AI leidt tot:

• discriminatie;
• privacyproblemen;
• verkeerde beslissingen;
• of schade voor klanten of medewerkers.

2. Reputatieschade

Klanten en medewerkers verwachten dat organisaties zorgvuldig omgaan met technologie en persoonsgegevens.

Wanneer blijkt dat AI onveilig of onverantwoord wordt gebruikt, kan dat direct leiden tot:

• verlies van vertrouwen;
• negatieve publiciteit;
• klachten;
• of imagoschade.

Vooral in sectoren zoals zorg, onderwijs, overheid en HR is dit extra belangrijk.

3. Datalekken en beveiligingsrisico’s

Veel AI-tools verwerken gegevens via externe systemen. Medewerkers realiseren zich vaak niet dat zij mogelijk:

• persoonsgegevens;
• klantinformatie;
• contracten;
• interne documenten;
• of bedrijfsgevoelige informatie delen.

Zonder duidelijke richtlijnen ontstaan snel beveiligings- en privacyrisico’s.

4. Onbetrouwbare AI-uitkomsten

AI kan overtuigend klinken en tóch fouten maken.

Denk aan:

• foutieve analyses;
• verzonnen informatie;
• verkeerde samenvattingen;
• of discriminerende antwoorden.

Wanneer medewerkers AI-uitkomsten blind vertrouwen, kunnen fouten grote gevolgen hebben.

5. Geen overzicht over AI binnen de organisatie

Veel organisaties weten niet:

• welke AI-tools gebruikt worden;
• welke data daarin terechtkomt;
• welke processen afhankelijk zijn van AI;
• of welke risico’s aanwezig zijn.

Zonder inzicht is het vrijwel onmogelijk om compliant te worden.

Waarom organisaties nu moeten beginnen

De AI Act vraagt meer dan alleen een document of een checklist.

Organisaties moeten nadenken over:

• AI-beleid;
• risicobeheersing;
• beveiliging;
• training van medewerkers;
• en verantwoord gebruik van AI.

Dat kost tijd.

Bedrijven die nu beginnen hebben straks:

• meer controle;
• minder risico;
• betere beveiliging;
• en meer vertrouwen van klanten en medewerkers.

Wat kun je nu al doen?

Een goede eerste stap is inzicht krijgen in het huidige AI-gebruik binnen de organisatie.

Begin bijvoorbeeld met:

• inventariseren welke AI-tools worden gebruikt;
• bepalen welke risico’s aanwezig zijn;
• afspraken maken over veilig AI-gebruik;
• medewerkers trainen;
• controleren welke gegevens gedeeld worden;
• en risico’s periodiek beoordelen.

AI gebruiken is niet het probleem — onbewust risico lopen wel

AI biedt enorme kansen. Organisaties die AI slim inzetten kunnen efficiënter, innovatiever en productiever werken.

Maar verantwoord gebruik wordt steeds belangrijker.

De vraag is straks niet meer:

“Gebruiken jullie AI?”

Maar:

“Hebben jullie de risico’s goed onder controle?”