De Europese AI-verordening (Verordening (EU) 2024/1689) is een dik pak wettekst, maar het idee erachter past op een bierviltje: hoe groter het risico van een AI-toepassing voor mensen, hoe strenger de regels. De wet regelt dus niet “AI” als technologie, maar wat je ermee dóet.
Dat levert een ladder op met vier treden. Hieronder lopen we ze langs, van boven (verboden) naar beneden (vrijwel geen regels) — en bij elke trede kijken we wat het betekent voor iemand die gewoon op kantoor, in de zorg of in de klas met AI werkt.
Trede 1: verboden praktijken
Bovenaan de ladder staan AI-toepassingen die de EU zó schadelijk vindt dat ze simpelweg niet mogen. Deze verbodsbepalingen (artikel 5 van de verordening) gelden sinds 2 februari 2025. Voorbeelden van wat verboden is:
- Manipulatieve AI die mensen buiten hun bewustzijn om zodanig beïnvloedt dat ze schade oplopen, of die kwetsbaarheden van bijvoorbeeld kinderen of mensen met een beperking uitbuit.
- Social scoring door of namens overheden en bedrijven: mensen een algemene score geven op basis van gedrag of persoonskenmerken, met nadelige gevolgen in een andere context.
- Emotieherkenning op de werkvloer en in het onderwijs, behalve om medische of veiligheidsredenen.
- Ongericht schrapen van gezichtsbeelden van internet of camerabeelden om gezichtsherkenningsdatabases op te bouwen.
- Risicoprofilering van individuen voor strafbare feiten puur op basis van profilering of persoonskenmerken.
Wat betekent dit voor jou als gebruiker? Waarschijnlijk kom je deze systemen niet tegen in je dagelijks werk — en dat is precies de bedoeling. Het praktische punt: als een leverancier iets aanbiedt dat in deze buurt komt (bijvoorbeeld software die de “stemming” van medewerkers monitort), is dat een rode vlag om direct intern te melden. Ook goedbedoelde tools kunnen in de verboden categorie vallen.
Trede 2: hoog risico
De tweede trede is waar het grootste deel van de wettekst over gaat. Hoog-risico-AI-systemen zijn toegestaan, maar onder strenge voorwaarden. Het gaat om AI in domeinen waar een fout iemands leven serieus kan raken. De verordening noemt onder meer:
- AI in werving en selectie: cv’s screenen, sollicitanten rangschikken, beslissingen over promotie of ontslag ondersteunen.
- AI in het onderwijs: toelating, beoordeling van leerlingen, fraudedetectie bij toetsen.
- AI bij essentiële diensten: kredietwaardigheid beoordelen, risico-inschatting bij verzekeringen.
- AI in rechtshandhaving, migratie en rechtspraak.
- AI als veiligheidscomponent in producten en kritieke infrastructuur.
Voor deze systemen gelden eisen als risicobeheer, kwaliteit van trainingsdata, logging, documentatie, menselijk toezicht en nauwkeurigheid. De meeste van die plichten liggen bij de aanbieder (de partij die het systeem bouwt of onder eigen naam op de markt brengt), maar ook de gebruiksverantwoordelijke — de organisatie die het systeem inzet — heeft plichten: het systeem gebruiken volgens de instructies, menselijk toezicht organiseren en relevante input controleren.
Wat betekent dit voor jou als gebruiker? Als jij op je werk met zo’n systeem werkt — bijvoorbeeld als recruiter met AI-ondersteunde cv-selectie — dan ben jij vaak degene die dat menselijk toezicht in de praktijk vormgeeft. Dat is geen formaliteit: het betekent dat je moet kunnen beoordelen wanneer het systeem ernaast zit, en dat je de uitkomst mag en moet overrulen als dat nodig is. Precies daarom eist artikel 4 van de verordening AI-geletterdheid die past bij je rol. Hoe je dat aantoonbaar maakt, lees je in Aantoonbaar AI-geletterd.
Trede 3: transparantieverplichtingen
De derde trede bevat AI die niet hoog-risico is, maar waar mensen wel recht hebben om te wéten dat er AI in het spel is. De kernregels:
- Chatbots: als je met een AI-systeem communiceert, moet dat duidelijk zijn — tenzij het al evident is uit de context.
- AI-gegenereerde content: synthetische audio, beeld en video moeten als zodanig herkenbaar (machineleesbaar) gemarkeerd worden.
- Deepfakes: wie beeld, geluid of video genereert of manipuleert dat echt lijkt, moet dat bekendmaken.
- Emotieherkenning en biometrische categorisering (waar toegestaan): de betrokken personen moeten geïnformeerd worden.
Wat betekent dit voor jou als gebruiker? Dit is de trede die het vaakst je eigen werk raakt. Zet je een chatbot op de website van je organisatie? Dan moet bezoekers duidelijk zijn dat ze niet met een mens praten. Publiceer je AI-gegenereerde beelden of video’s in een context waarin mensen ze voor echt kunnen houden? Dan hoort daar openheid bij. De vuistregel is simpel en eigenlijk gewoon fatsoen: laat mensen niet in de waan dat iets menselijk of echt is als het dat niet is.
Trede 4: minimaal risico
Onderaan de ladder staat verreweg de grootste categorie: AI-toepassingen met minimaal risico. Denk aan spamfilters, tekstsuggesties, vertaalhulpen, AI in games, aanbevelingen in een muziekapp. Hiervoor legt de verordening geen specifieke verplichtingen op; vrijwillige gedragscodes worden aangemoedigd.
Wat betekent dit voor jou als gebruiker? “Minimaal risico volgens de AI-verordening” betekent niet “risicoloos voor jou”. Een taalmodel dat je gebruikt om een klantmail op te stellen valt qua verordening laag op de ladder, maar kan nog steeds feiten verzinnen of — als jij er persoonsgegevens in plakt — een AVG-probleem veroorzaken. De ladder meet het risico van het systeem; jouw gebruik bepaalt het risico van de situatie. Hoe je verzonnen output herkent, lees je in ons artikel over AI-hallucinaties.
Onthoud de ladder zo: verboden = mag niet, punt. Hoog risico = mag, maar met strenge eisen en menselijk toezicht. Transparantie = mag, maar wees eerlijk dat het AI is. Minimaal risico = geen specifieke AI-Act-regels, maar gezond verstand en de AVG gelden altijd.
En generatieve AI zoals ChatGPT dan?
Modellen voor algemene doeleinden (GPAI, waaronder de grote taalmodellen) hebben in de verordening een eigen spoor gekregen, met verplichtingen voor de modelaanbieders — zoals technische documentatie en transparantie over trainingsdata. Voor jou als gebruiker verandert dat weinig aan het dagelijkse werk: relevant blijft vooral op welke trede de toepassing staat waarin zo’n model wordt gebruikt. Dezelfde chatfunctie kan minimaal risico zijn als brainstormhulp en onderdeel van een hoog-risicosysteem als hij sollicitanten beoordeelt.
Wat moet je hier nu concreet mee?
- Weet welke AI-systemen jouw organisatie gebruikt en op welke trede ze staan. Vaak weet niemand dit precies — dat is meteen de eerste actie.
- Werk je met een hoog-risicosysteem? Vraag dan naar de gebruiksinstructies en de afspraken over menselijk toezicht.
- Wees transparant over chatbots en AI-gegenereerde content, ook als niemand erom vraagt.
- Behandel “minimaal risico” niet als “geen risico”: check output en houd persoonsgegevens buiten publieke tools.
Voor werkgevers geldt daarbovenop de AI-geletterdheidsplicht uit artikel 4 — op onze pagina voor werkgevers staat hoe je die praktisch invult, en in dit artikel wat training kost.
Wil je zelf toetsen hoe goed je de risicoladder en de rest van de basis beheerst? Doe de gratis quiz, of duik dieper in de materie met onze cursus AI-geletterdheid.