Stel, je runt een online boekingsplatform voor vakantiehuisjes. Je systeem bepaalt automatisch welke huisjes bovenaan verschijnen in de zoekresultaten, berekent dynamische prijzen op basis van vraag en aanbod, en stuurt gepersonaliseerde aanbevelingen naar klanten. Voor jou voelt dit als handige software die je bedrijf efficiënter maakt. Maar juridisch gezien gebruik je mogelijk AI-systemen die onder strenge Europese wetgeving vallen.
Die slimme software die je cv’s sorteert? Mogelijk valt die onder de AI-wetgeving. Het systeem dat automatisch je kredietlimieten bepaalt? Dat ook. En die chatbot die je klanten helpt? Wellicht eveneens. Terwijl veel ondernemers nog denken dat AI iets is voor techbedrijven, zijn ze er vaak al jaren mee bezig zonder het te beseffen. Wat je misschien nog niet weet, is dat er een heel web van wet- en regelgeving ontstaat rondom deze technologieën.
Het probleem is dat veel ondernemers niet precies weten waar ze aan toe zijn. Wanneer heb je te maken met AI, en wanneer is het ‘gewoon’ een algoritme? Wat is het verschil tussen een simpel automatisch systeem en echte kunstmatige intelligentie? En vooral: welke regels gelden er nu eigenlijk voor jouw bedrijf?
De verwarring is begrijpelijk. Termen als AI, algoritmes en geautomatiseerde besluitvorming worden vaak door elkaar gebruikt, terwijl ze in juridische zin heel verschillende betekenissen hebben. Voor ondernemers die praktische zekerheid willen over hun verplichtingen, is het essentieel om deze verschillen te begrijpen. Zeker nu de Europese AI-verordening van kracht is geworden en er steeds meer toezicht komt op hoe bedrijven deze technologieën inzetten.
De praktische verschillen uitgelegd
Laten we beginnen met de basis. Een algoritme is eigenlijk niets meer dan een set instructies die een computer stap voor stap uitvoert. Het is vergelijkbaar met een recept: je geeft duidelijke aanwijzingen, en de computer volgt deze precies op. Denk aan een spreadsheet die automatisch je BTW berekent, een systeem dat facturen sorteert op datum, of software die je voorraad bijhoudt. Je hebt alle regels vooraf bedacht en ingeprogrammeerd.
Kunstmatige intelligentie werkt fundamenteel anders. Volgens de AI-verordening spreken we van AI wanneer een systeem zelfstandig kan afleiden welke regels het moet volgen en wat de juiste uitvoer is, gegeven een bepaalde invoer. Deze systemen leren patronen herkennen zonder dat je alle mogelijke scenario’s vooraf hebt geprogrammeerd. Een AI-systeem voor het beoordelen van kredietaanvragen bijvoorbeeld, leert zelf welke factoren belangrijk zijn door duizenden eerdere aanvragen te analyseren.
Geautomatiseerde besluitvorming gaat over de gevolgen: het betekent dat een computer of systeem zelfstandig beslissingen neemt die directe gevolgen hebben voor mensen. Dit kan gebeuren met een eenvoudig algoritme of met geavanceerde AI. Het maakt niet uit hoe ingewikkeld de technologie is – als het systeem zelfstandig beslist of iemand een lening krijgt, een baan aangeboden krijgt, of toegang heeft tot een dienst, dan is er sprake van geautomatiseerde besluitvorming.
Het wettelijke kader dat nu geldt
Voor Nederlandse ondernemers zijn er twee hoofdwetten die je moet kennen. De eerste is de Europese AI-verordening, die op 1 augustus 2024 officieel in werking is getreden. Deze wet regelt specifiek hoe je met AI-systemen om moet gaan. Belangrijk om te weten is dat deze verordening niet in één keer volledig van toepassing is. De Europese wetgever heeft gekozen voor een gefaseerde invoering, waarbij de meest urgente onderdelen eerst worden gehandhaafd.
Vanaf 2 februari 2025 zijn bepaalde AI-toepassingen volledig verboden in de hele Europese Unie. Dit zijn systemen die de wetgever als onaanvaardbaar risicovol beschouwt. Tegen augustus 2026 moeten alle bedrijven volledig voldoen aan de verordening, en vanaf 2030 gelden er nog aanvullende eisen voor systemen met een hoog risico.
Daarnaast blijft de AVG, de Algemene Verordening Gegevensbescherming, van toepassing. Omdat algoritmes en AI-systemen vrijwel altijd persoonsgegevens verwerken, moet je bedrijf ook voldoen aan alle AVG-regels voor gegevensbescherming. Dit betekent dat je niet alleen moet letten op hoe je AI-systeem werkt, maar ook op hoe het omgaat met de privacy van je klanten en medewerkers.
Waar het vaak misgaat in de praktijk
De Autoriteit Persoonsgegevens waarschuwt dat “er meer en beter zicht en grip moet komen op de risico’s van artificiële intelligentie (AI) en algoritmes” omdat organisaties vaak onderschatten wat ze eigenlijk aan het doen zijn. Het grootste probleem is dat veel ondernemers niet doorhebben dat hun ‘gewone’ bedrijfssoftware al onder de nieuwe regelgeving kan vallen.
Een veelvoorkomende misvatting is dat alleen hypermoderne robots of geavanceerde machine learning onder AI-wetgeving vallen. In werkelijkheid kan ook relatief eenvoudige software die patronen herkent of zelf leert uit data, kwalificeren als kunstmatige intelligentie. Denk aan een webshop die producten aanbeveelt op basis van koopgedrag, of een klantenservice-systeem dat automatisch tickets categoriseert en prioriteert.
Wat dit concreet betekent voor jouw bedrijfspraktijk
Sinds februari 2025 mag je als ondernemer bepaalde AI-toepassingen simpelweg niet meer gebruiken. Deze verboden AI-systemen zijn:
- Manipulatieve systemen: AI die mensen misleidt of manipuleert om beslissingen te nemen die schadelijk voor hen zijn
- Biometrische identificatie: Systemen die gezichtsherkenning of andere biometrische kenmerken gebruiken in openbare ruimtes
- Sociale scoring: AI die mensen een algemene score geeft op basis van hun gedrag of persoonlijke eigenschappen
- Emotieherkenning: Systemen die emoties herkennen op werkplekken of onderwijsinstellingen (met enkele uitzonderingen)
Voor de meeste gewone bedrijven zullen deze verboden geen direct probleem vormen, maar het is goed om te weten dat de handhaving hiervan nu echt begonnen is.
Veel interessanter voor ondernemers is hoe de AI-verordening onderscheid maakt tussen verschillende risiconiveaus. Systemen met een minimaal risico, zoals een eenvoudige chatbot die alleen veelgestelde vragen beantwoordt, hebben nauwelijks verplichtingen. Maar zodra je systemen gebruikt die belangrijke beslissingen nemen over mensen – denk aan personeelsselectie, kredietbeoordeling, of prijsstelling voor klanten – dan val je mogelijk onder de categorie hoog-risico systemen.
Voor hoog-risico AI-systemen gelden strenge eisen. Je moet kunnen aantonen dat je systeem accuraat werkt, dat er altijd menselijk toezicht mogelijk is, en dat je alle beslissingen kunt uitleggen. Ook moet je documenteren hoe het systeem werkt en regelmatig controleren of het nog doet wat het moet doen. Dit zijn geen lichte verplichtingen, en de boetes voor overtreding kunnen oplopen tot miljoenen euro’s.
Een praktische aanpak voor je bedrijf
Het eerste wat je als ondernemer moet doen, is een eerlijke inventarisatie maken van alle systemen in je bedrijf die automatisch beslissingen nemen of voorspellingen doen. Dit kunnen zijn:
- HR-systemen: Software die cv’s sorteert, sollicitanten beoordeelt, of prestaties van medewerkers evalueert
- Marketingtools: Systemen die klanten indelen in categorieën, prijzen bepalen, of gepersonaliseerde aanbiedingen maken
- Financiële software: Programma’s die creditscores berekenen, fraudedetectie uitvoeren, of investeringsbeslissingen ondersteunen
- Klantenservice: Chatbots die complexe vragen beantwoorden of klanten doorverwijzen naar specifieke afdelingen
- Operationele systemen: Software voor voorraadplanning, routeoptimalisatie, of kwaliteitscontrole
Maak een lijst en vraag je bij elk systeem af: neemt dit zelfstandig beslissingen die gevolgen hebben voor mensen?
Vervolgens moet je bepalen of je systemen vallen onder de AI-verordening. Dit is niet altijd eenvoudig, omdat de grens tussen een algoritme en AI soms dun is. Als je systeem alleen vooraf geprogrammeerde regels volgt, dan is het waarschijnlijk ‘gewoon’ een algoritme. Maar als het zelf patronen herkent en daarop handelt, dan heb je mogelijk te maken met AI.
Voor elk systeem dat je hebt geïdentificeerd als AI, moet je het risiconiveau bepalen. Systemen die gebruikt worden voor personeelsselectie, kredietbeoordeling, of andere belangrijke beslissingen over mensen, hebben een hoog risico. Voor deze systemen moet je adequate documentatie bijhouden, procedures opstellen voor menselijk toezicht, en zorgen dat je kunt uitleggen hoe beslissingen tot stand komen.
Tegelijkertijd moet je controleren of al je systemen voldoen aan de AVG. Dit betekent dat je een rechtsgrond moet hebben voor het verwerken van persoonsgegevens, dat mensen weten wat er met hun gegevens gebeurt, en dat ze rechten hebben zoals inzage en correctie.
De weg vooruit
De komende periode is cruciaal voor ondernemers. Tot augustus 2026 heb je nog tijd om je systemen op orde te brengen, maar het is verstandig om nu al te beginnen. De wetgeving rondom AI en algoritmes evolueert snel, en toezichthouders zoals de Autoriteit Persoonsgegevens bereiden zich voor op actieve handhaving.
Begin klein en praktisch. Maak die inventarisatie, krijg inzicht in je systemen, en zorg voor goede documentatie. Bij twijfel over de classificatie van je systemen is het verstandig om juridische expertise in te schakelen. Het is beter om nu de tijd te investeren in het goed regelen van je AI en algoritmes, dan later geconfronteerd te worden met boetes of problemen met toezichthouders.
Houd ook regelmatig de officiële bronnen in de gaten, zoals de websites van de Autoriteit Persoonsgegevens en de Rijksoverheid. De praktische uitwerking van deze wetten wordt nog steeds verder ingevuld, en als ondernemer wil je op de hoogte blijven van nieuwe ontwikkelingen die relevant zijn voor jouw bedrijf.
