terug naar blog
AI & Regulation10 min read

EU AI Act Compliance voor Startups: Praktische Implementatiegids

#ai-act#compliance#startups#ai

In mijn vorige post over de AI Act besprak ik wat de regelgeving inhoudt en wanneer verschillende onderdelen van kracht worden. Nu gaan we het praktisch maken. Als je AI-producten bouwt of een AI-startup runt, wat moet je dan concreet doen?

Dit is geen juridisch advies. Schakel een advocaat in als je iets serieus van plan bent. Maar deze richtlijnen zouden je moeten helpen om te bepalen waar je moet beginnen.

Stap 1: Bepaal je rol

De AI Act definieert verschillende verplichtingen afhankelijk van je rol in de AI-waardeketen.

Aanbieder (Provider): jij ontwikkelt of laat een AI-systeem ontwikkelen en brengt het onder jouw naam op de markt. Dit is het zwaarste niveau van verplichting.

Implementeerder (Deployer): jij gebruikt een AI-systeem in een professionele hoedanigheid. Lichtere verplichtingen, maar nog steeds enkele vereisten.

Importeur/Distributeur: jij brengt AI-systemen op de EU-markt of stelt ze beschikbaar. Moeten vooral verifiëren of de provider zijn werk heeft gedaan.

De meeste startups zijn aanbieders (providers). Als je het AI-systeem zelf bouwt, ben je een provider, zelfs als je een foundation model van iemand anders gebruikt.

Gebruik je de OpenAI API om een chatbot te bouwen? Dan ben jij de provider van die chatbot-applicatie. OpenAI is de provider van het onderliggende model. Jullie hebben allebei verplichtingen, maar verschillende.

Stap 2: Classificeer je risiconiveau

Dit bepaalt al het andere. Doorloop deze vragen:

Is het verboden?

Controleer of je systeem een van deze dingen doet:

  • Sociale scoring voor overheidsinstanties
  • Realtime biometrische identificatie in openbare ruimtes (met strikte uitzonderingen)
  • Emotieherkenning op het werk of op school
  • Ongedifferentieerd scrapen van gezichtsafbeeldingen
  • Manipulatie via subliminale technieken
  • Misbruik maken van kwetsbaarheden van specifieke groepen

Zo ja, stop dan met bouwen. Deze zijn verboden in de EU.

Is het een hoog risico?

Je systeem is een hoog risico als het in een van deze categorieën valt:

Bijlage III-systemen (standalone hoog risico):

  • Biometrische identificatie en categorisatie
  • Beheer van kritieke infrastructuur (water, gas, elektriciteit, verkeer)
  • Onderwijs en beroepsopleiding (toelatingen, beoordelingen, leren)
  • Werkgelegenheid (werving, taaktoewijzing, prestatiemonitoring, beëindiging)
  • Toegang tot essentiële diensten (kredietbeoordeling, hulpdiensten, verzekeringen)
  • Rechtshandhaving (risicobeoordeling, leugendetectoren, bewijsanalyse)
  • Migratie- en grensbeheer
  • Rechtspleging

Veiligheidscomponenten in gereguleerde producten:

  • Medische hulpmiddelen
  • Machines
  • Speelgoed
  • Voertuigen
  • Luchtvaartsystemen
  • Scheepsuitrusting

Als je systeem beslissingen neemt of input levert voor beslissingen in deze gebieden, is het waarschijnlijk een hoog risico.

Is het een beperkt risico?

Systemen die interacteren met mensen of inhoud genereren:

  • Chatbots en conversationele AI
  • Emotiedetectiesystemen (buiten verboden contexten)
  • Inhoudsgeneratie (afbeeldingen, audio, video, tekst)
  • Deepfakes en synthetische media

Deze vereisen transparantie, maar niet het volledige compliancepakket.

Is het een minimaal risico?

Al het andere. AI-gestuurde spamfilters, aanbevelingssystemen voor niet-essentiële inhoud, interne tools die de rechten van mensen niet beïnvloeden. Geen specifieke vereisten.

Stap 3: Complianceroutekaart per risiconiveau

Als je een minimaal risico bent

Je zit meestal goed. Geen verplichte vereisten. Overweeg echter wel vrijwillige compliance:

  • Documenteer hoe je systeem werkt
  • Zorg voor een proces voor het afhandelen van klachten
  • Monitor op problemen

Dit beschermt je als de classificatie verandert en bouwt goede gewoonten op.

Als je een beperkt risico bent

Richt je op transparantie. Je gebruikers moeten weten dat ze met AI interacteren.

Voor chatbots en conversationele AI:

  • Duidelijke openbaarmaking dat ze met een AI praten
  • Doe niet alsof je menselijk bent
  • Maak het duidelijk in de interface

Voor inhoudsgeneratie:

  • Label AI-gegenereerde inhoud als zodanig
  • Specifiek voor deepfakes moet de openbaarmaking duidelijk en zichtbaar zijn
  • Implementeer technische oplossingen waar mogelijk (watermerken, metadata)

Voor emotiedetectie:

  • Informeer mensen dat emotieherkenning plaatsvindt
  • Verkrijg toestemming waar vereist door de GDPR

Tijdlijn: transparantieverplichtingen worden volledig afdwingbaar vanaf augustus 2026.

Als je een hoog risico bent

Dit is waar het serieus wordt. Je hebt een uitgebreid complianceprogramma nodig.

Deadline nadert

De meeste vereisten voor hoogrisicosystemen worden afdwingbaar vanaf 2 augustus 2026. Als je hoogrisico-AI bouwt, begin dan nu. Dit is niet iets wat je in de laatste maand kunt overhaasten.

Dit is wat je moet bouwen:

Checklist voor hoogrisico-compliance

1. Risicobeheersysteem

Je hebt een doorlopend proces nodig om risico's te identificeren, analyseren en beperken gedurende de hele levenscyclus van de AI.

Praktisch betekent dit:

  • Documenteer bekende risico's vóór implementatie
  • Definieer aanvaardbare risicodrempels
  • Plan hoe je die risico's gaat testen
  • Zorg voor procedures voor wanneer risico's zich voordoen
  • Herzien en bijwerken naarmate je meer leert

Creëer een risicoregister. Werk het regelmatig bij. Wijs iemand aan die er verantwoordelijk voor is.

2. Datagovernance

Je trainings-, validatie- en testgegevens vereisen goed beheer.

Vereisten:

  • Documenteer databronnen en selectiecriteria
  • Controleer de datakwaliteit en relevantie
  • Identificeer en adresseer potentiële vooroordelen (biases)
  • Overweeg implicaties voor gegevensbescherming
  • Bewaar archieven van gegevensverwerking

Als je foundation models fine-tuned, dan geldt dit voor je fine-tuning data. Als je helemaal opnieuw bouwt, geldt het voor alles.

3. Technische documentatie

Voordat je je systeem op de markt brengt, heb je uitgebreide technische documenten nodig.

Wat te vermelden:

  • Algemene beschrijving van het systeem en het doel ervan
  • Ontwerpspecificaties en architectuur
  • Trainingsmethodologieën en -technieken
  • Gebruikte computational resources
  • Prestatiestatistieken en benchmarks
  • Bekende beperkingen en resterende risico's
  • Vereisten voor menselijk toezicht
  • Verwachte levensduur en onderhoudsbehoeften

Dit is geen gebruikersdocumentatie. Het zijn gedetailleerde technische specificaties die een toezichthouder kan beoordelen om te begrijpen hoe je systeem werkt.

4. Registratie en logging

Je systeem moet automatisch gebeurtenissen loggen tijdens de werking.

Vereisten:

  • Logs moeten traceerbaar zijn naar specifieke outputs
  • De bewaartermijn moet overeenkomen met het beoogde doel van het systeem
  • Logs moeten toegankelijk zijn voor inspectie

Bouw dit vanaf het begin in je architectuur. Achteraf logging inbouwen is pijnlijk.

5. Transparantie en instructies

Deployers hebben duidelijke informatie over je systeem nodig.

Verstrek:

  • Identiteit en contactgegevens
  • Systeemkenmerken, mogelijkheden en beperkingen
  • Prestatiestatistieken voor het beoogde doel
  • Bekende voorzienbare misbruikrisico's
  • Maatregelen voor menselijk toezicht en hoe deze te implementeren
  • Verwachte levensduur en onderhoudsvereisten

Zie dit als een gedetailleerde producthandleiding voor professionele gebruikers.

6. Menselijk toezicht

Je systeem moet betekenisvol menselijk toezicht mogelijk maken.

Dit betekent:

  • Mensen kunnen systeemoutputs begrijpen
  • Mensen kunnen ingrijpen of overschrijven
  • Mensen kunnen het systeem stoppen
  • Systeemgedrag is interpreteerbaar

Je kunt niet zomaar een mens beslissingen laten afstempelen. Het toezicht moet betekenisvol zijn en de mens heeft de tools en informatie nodig om het daadwerkelijk uit te oefenen.

7. Nauwkeurigheid, robuustheid en cybersecurity

Je systeem moet zijn:

  • Nauwkeurig voor het beoogde doel
  • Veerkrachtig tegen fouten en inconsistenties
  • Robuust tegen pogingen om het te manipuleren
  • Veilig tegen ongeautoriseerde toegang

Documenteer hoe je elk van deze bereikt. Laat dit ondersteunen door tests.

8. Kwaliteitsmanagementsysteem

Je hebt gedocumenteerde processen nodig om doorlopende compliance te waarborgen.

Dit omvat:

  • Procedures voor ontwerp en ontwikkeling
  • Datamanagementprocedures
  • Post-market monitoring
  • Incidentrapportage
  • Communicatie met autoriteiten
  • Archieven bijhouden
  • Resourcebeheer
  • Verantwoordelijkheidsraamwerk

Voor startups kan dit als overdreven aanvoelen. Maar je moet iets op papier hebben staan, zelfs als het eenvoudiger is dan wat een groot bedrijf zou hebben.

9. Conformiteitsbeoordeling

Vóór marktintroductie moet je de compliance verifiëren.

Voor de meeste hoogrisicosystemen kun je een zelfbeoordeling uitvoeren. Sommige categorieën vereisen een beoordeling door derden (notified bodies). Controleer welke van toepassing is op jouw specifieke geval.

Na de beoordeling:

  • Stel je een EU-conformiteitsverklaring op
  • Breng je de CE-markering aan
  • Registreer je in de EU-database

10. Post-market monitoring

Compliance eindigt niet bij de lancering.

Je hebt doorlopende monitoring nodig om:

  • Gegevens over systeemprestaties te verzamelen
  • Problemen te identificeren die zich voordoen in productie
  • Risicobeoordelingen bij te werken op basis van praktijkgebruik
  • Ernstige incidenten te rapporteren aan autoriteiten

Zet hiervoor processen op voordat je lanceert.

Praktische tips voor startups

Begin nu met documenteren

Zelfs als je niet zeker bent van je risicoclassificatie, begin dan met documenteren. Elk AI-project zou moeten hebben:

  • Een duidelijke beschrijving van wat het systeem doet
  • Documentatie van trainingsdatabronnen
  • Prestatiestatistieken
  • Bekende beperkingen

Dit kost minuten per week als je het gaandeweg doet. Het kost weken als je het later probeert te reconstrueren.

Bouw logging in je architectuur

Behandel logging niet als een bijzaak. Elk AI-systeem zou moeten loggen:

  • Ontvangen inputs
  • Gegenereerde outputs
  • Gebruikte modelversie
  • Tijdstempels
  • Elke relevante context

Structureer je logs zo dat ze daadwerkelijk nuttig zijn voor debugging en compliance review.

Ontwerp voor menselijk toezicht

Denk vanaf het begin na over hoe mensen met je systeem zullen interacteren:

  • Kan iemand begrijpen waarom het systeem een beslissing nam?
  • Kan iemand outputs overschrijven of corrigeren?
  • Is er een noodstop (kill switch)?
  • Zijn er betrouwbaarheidsindicatoren?

Deze later inbouwen is veel moeilijker dan ze vooraf te plannen.

Maak gebruik van regulatory sandboxes

Lidstaten moeten tegen augustus 2026 AI regulatory sandboxes hebben. Deze stellen je in staat om:

  • Innovatieve AI te testen in een gecontroleerde omgeving
  • Regulerende begeleiding te krijgen vóór volledige markttoegang
  • Mogelijk beperkte aansprakelijkheidsbescherming te krijgen tijdens het testen

Als je iets nieuws bouwt, onderzoek dan deelname aan een sandbox. Het is gratis advies van toezichthouders.

Schakel vroegtijdig juridische hulp in

De AI Act is complex. Als je iets bouwt wat een hoog risico kan zijn, schakel dan vroegtijdig een advocaat in die hierin gespecialiseerd is. De kosten van het verkeerd doen zijn veel hoger dan de kosten van juridisch advies.

Over-classificeer niet

Sommige bedrijven panikeren en gaan ervan uit dat alles een hoog risico is. Dat is niet waar en het verspilt resources.

Een aanbevelingssysteem voor blogposts is geen hoog risico alleen omdat het AI gebruikt. Een interne tool die je team helpt, is waarschijnlijk geen hoog risico. Wees eerlijk over wat je systeem daadwerkelijk doet en wie het beïnvloedt.

Tijdlijn overzicht

Nu: begin met documentatie en classificatiewerk

Augustus 2026: hoogrisicosystemen en transparantieverplichtingen volledig afdwingbaar

Augustus 2027: hoogrisico-AI in gereguleerde producten (medische hulpmiddelen, machines) wordt afdwingbaar

Wacht niet tot 2026 om te beginnen. Compliance kost tijd om goed op te bouwen.

Bronnen

Officiële bronnen die het waard zijn om te bookmarken:

  • EU AI Act tekst (EUR-Lex)
  • Europese Commissie AI Act pagina
  • AI Act Service Desk voor begeleiding en tijdlijnen
  • Je nationale bevoegde autoriteit voor lokale interpretatie

Het Europees AI-Bureau publiceert ook leidraden. Controleer op updates, aangezien zij de implementatiedetails verduidelijken.

Slotgedachten

Compliance gaat niet alleen over het vermijden van boetes. Het bouwen van AI-systemen met de juiste documentatie, toezicht en risicobeheer maakt ze betere producten. Je spoort problemen eerder op. Je kunt problemen sneller debuggen. Je bouwt vertrouwen op bij gebruikers.

De startups die compliance als een concurrentievoordeel zien in plaats van als een last, zullen voorop lopen. Klanten geven steeds meer om betrouwbare AI. Het kunnen aantonen van compliance is een verkoopargument.

Begin klein. Documenteer terwijl je bouwt. Zorg dat de basis goed is. De regelgeving is complex, maar de kernideeën zijn solide technische praktijken die je waarschijnlijk toch al zou moeten toepassen.

delen:
Yari Bouwman

Geschreven door

Data Engineer en Solution Designer gespecialiseerd in schaalbare data platforms en moderne cloud oplossingen. Meer over mij

gerelateerde artikelen