De Europese AI-verordening (Verordening (EU) 2024/1689) is een dik pak wettekst, maar het idee erachter past op een bierviltje: hoe groter het risico van een AI-toepassing voor mensen, hoe strenger de regels. De wet regelt dus niet “AI” als technologie, maar wat je ermee dóet.

Dat levert een ladder op met vier treden. Hieronder lopen we ze langs, van boven (verboden) naar beneden (vrijwel geen regels) — en bij elke trede kijken we wat het betekent voor iemand die gewoon op kantoor, in de zorg of in de klas met AI werkt.

Trede 1: verboden praktijken

Bovenaan de ladder staan AI-toepassingen die de EU zó schadelijk vindt dat ze simpelweg niet mogen. Deze verbodsbepalingen (artikel 5 van de verordening) gelden sinds 2 februari 2025. Voorbeelden van wat verboden is:

Wat betekent dit voor jou als gebruiker? Waarschijnlijk kom je deze systemen niet tegen in je dagelijks werk — en dat is precies de bedoeling. Het praktische punt: als een leverancier iets aanbiedt dat in deze buurt komt (bijvoorbeeld software die de “stemming” van medewerkers monitort), is dat een rode vlag om direct intern te melden. Ook goedbedoelde tools kunnen in de verboden categorie vallen.

Trede 2: hoog risico

De tweede trede is waar het grootste deel van de wettekst over gaat. Hoog-risico-AI-systemen zijn toegestaan, maar onder strenge voorwaarden. Het gaat om AI in domeinen waar een fout iemands leven serieus kan raken. De verordening noemt onder meer:

Voor deze systemen gelden eisen als risicobeheer, kwaliteit van trainingsdata, logging, documentatie, menselijk toezicht en nauwkeurigheid. De meeste van die plichten liggen bij de aanbieder (de partij die het systeem bouwt of onder eigen naam op de markt brengt), maar ook de gebruiksverantwoordelijke — de organisatie die het systeem inzet — heeft plichten: het systeem gebruiken volgens de instructies, menselijk toezicht organiseren en relevante input controleren.

Wat betekent dit voor jou als gebruiker? Als jij op je werk met zo’n systeem werkt — bijvoorbeeld als recruiter met AI-ondersteunde cv-selectie — dan ben jij vaak degene die dat menselijk toezicht in de praktijk vormgeeft. Dat is geen formaliteit: het betekent dat je moet kunnen beoordelen wanneer het systeem ernaast zit, en dat je de uitkomst mag en moet overrulen als dat nodig is. Precies daarom eist artikel 4 van de verordening AI-geletterdheid die past bij je rol. Hoe je dat aantoonbaar maakt, lees je in Aantoonbaar AI-geletterd.

Trede 3: transparantieverplichtingen

De derde trede bevat AI die niet hoog-risico is, maar waar mensen wel recht hebben om te wéten dat er AI in het spel is. De kernregels:

Wat betekent dit voor jou als gebruiker? Dit is de trede die het vaakst je eigen werk raakt. Zet je een chatbot op de website van je organisatie? Dan moet bezoekers duidelijk zijn dat ze niet met een mens praten. Publiceer je AI-gegenereerde beelden of video’s in een context waarin mensen ze voor echt kunnen houden? Dan hoort daar openheid bij. De vuistregel is simpel en eigenlijk gewoon fatsoen: laat mensen niet in de waan dat iets menselijk of echt is als het dat niet is.

Trede 4: minimaal risico

Onderaan de ladder staat verreweg de grootste categorie: AI-toepassingen met minimaal risico. Denk aan spamfilters, tekstsuggesties, vertaalhulpen, AI in games, aanbevelingen in een muziekapp. Hiervoor legt de verordening geen specifieke verplichtingen op; vrijwillige gedragscodes worden aangemoedigd.

Wat betekent dit voor jou als gebruiker? “Minimaal risico volgens de AI-verordening” betekent niet “risicoloos voor jou”. Een taalmodel dat je gebruikt om een klantmail op te stellen valt qua verordening laag op de ladder, maar kan nog steeds feiten verzinnen of — als jij er persoonsgegevens in plakt — een AVG-probleem veroorzaken. De ladder meet het risico van het systeem; jouw gebruik bepaalt het risico van de situatie. Hoe je verzonnen output herkent, lees je in ons artikel over AI-hallucinaties.

Onthoud de ladder zo: verboden = mag niet, punt. Hoog risico = mag, maar met strenge eisen en menselijk toezicht. Transparantie = mag, maar wees eerlijk dat het AI is. Minimaal risico = geen specifieke AI-Act-regels, maar gezond verstand en de AVG gelden altijd.

En generatieve AI zoals ChatGPT dan?

Modellen voor algemene doeleinden (GPAI, waaronder de grote taalmodellen) hebben in de verordening een eigen spoor gekregen, met verplichtingen voor de modelaanbieders — zoals technische documentatie en transparantie over trainingsdata. Voor jou als gebruiker verandert dat weinig aan het dagelijkse werk: relevant blijft vooral op welke trede de toepassing staat waarin zo’n model wordt gebruikt. Dezelfde chatfunctie kan minimaal risico zijn als brainstormhulp en onderdeel van een hoog-risicosysteem als hij sollicitanten beoordeelt.

Wat moet je hier nu concreet mee?

  1. Weet welke AI-systemen jouw organisatie gebruikt en op welke trede ze staan. Vaak weet niemand dit precies — dat is meteen de eerste actie.
  2. Werk je met een hoog-risicosysteem? Vraag dan naar de gebruiksinstructies en de afspraken over menselijk toezicht.
  3. Wees transparant over chatbots en AI-gegenereerde content, ook als niemand erom vraagt.
  4. Behandel “minimaal risico” niet als “geen risico”: check output en houd persoonsgegevens buiten publieke tools.

Voor werkgevers geldt daarbovenop de AI-geletterdheidsplicht uit artikel 4 — op onze pagina voor werkgevers staat hoe je die praktisch invult, en in dit artikel wat training kost.

Wil je zelf toetsen hoe goed je de risicoladder en de rest van de basis beheerst? Doe de gratis quiz, of duik dieper in de materie met onze cursus AI-geletterdheid.