Agnes bekijkt een lijst van AI-tools in het licht van de verboden praktijken uit de AI Act

EU AI Act Handhaving 2026: Verboden AI-Praktijken Nu Afdwingbaar

AI, Compliance

De EU AI Act is geen toekomstmuziek meer. De EU AI Act handhaving is begonnen: de eerste categorie regels, verboden AI-praktijken, trad op 2 februari 2025 in werking, met het volledige boetestelsel geactiveerd in augustus 2025. Bedrijven die verboden AI-systemen EU-breed inzetten riskeren boetes tot 35 miljoen euro of 7% van de wereldwijde jaaromzet.

De meeste mkb-bedrijven bouwen niet bewust verboden AI-systemen. Het echte risico is subtieler: veel SaaS-platforms hebben stilletjes AI-functies toegevoegd die leveranciers zelf nooit als potentieel verboden hebben aangemerkt. Heb je je tools nog niet getoetst aan de lijst van verboden praktijken? Dan is nu het moment.

Wat veranderde op 2 februari 2025

De AI Act gebruikt een gefaseerde invoering. De eerste regels die van toepassing werden, zijn meteen de strengste: een volledig verbod op AI-systemen die een onaanvaardbaar risico vormen voor mensenrechten. Deze regels traden op 2 februari 2025 in werking; het boetestelsel volgde in augustus 2025.

Dat betekent dat elk bedrijf dat actief is in de EU, of diensten aanbiedt aan mensen in de EU, moet garanderen dat het geen van de verboden AI-praktijken gebruikt, inzet of aanbiedt.

De handhaving ligt bij nationale autoriteiten in elke EU-lidstaat, gecoördineerd op EU-niveau via het AI Office.

Welke AI-praktijken zijn verboden

De AI Act verbiedt de volgende typen AI-systemen. Voor achtergrond over hoe het risicogebaseerde kader van de AI Act werkt, lees onze introductie.

1. Sociale scoring

AI-systemen die mensen evalueren of classificeren op basis van sociaal gedrag of persoonlijke kenmerken, wat leidt tot nadelige behandeling. Denk aan: medewerkers beoordelen op basis van social media-activiteit, of klanten scoren op persoonlijke eigenschappen die niets met de dienst te maken hebben.

2. Manipulatieve of misleidende AI

AI-systemen die subliminale technieken, manipulatieve methoden of misleidende praktijken gebruiken om iemands gedrag te beïnvloeden op een manier die schade veroorzaakt, of waarschijnlijk veroorzaakt. Dit omvat ook AI-gestuurde dark patterns die mensen richting beslissingen duwen die ze anders niet zouden nemen.

3. Misbruik van kwetsbaarheden

AI die specifieke groepen target, op basis van leeftijd, handicap of sociaaleconomische situatie, om hun gedrag op schadelijke wijze te beïnvloeden. Een duidelijk voorbeeld: AI-gestuurde marketing die specifiek ouderen benadert met misleidende financiële producten.

4. Realtime biometrische identificatie in openbare ruimtes

Het gebruik van AI voor realtime gezichtsherkenning of biometrische identificatie in publiek toegankelijke ruimtes voor wetshandhaving, met zeer beperkte uitzonderingen. Dit raakt vooral overheden, maar bedrijven die dergelijke technologie leveren vallen er evengoed onder.

5. Emotieherkenning op de werkvloer en in het onderwijs

AI-systemen die emoties afleiden van werknemers op de werkvloer of leerlingen in onderwijsinstellingen. Gebruik je tools die beweren betrokkenheid, stressniveaus of aandacht te detecteren via gezichtsanalyse of stempatronen? Dan zijn die nu verboden.

6. Biometrische categorisering op basis van gevoelige kenmerken

AI-systemen die mensen categoriseren op basis van biometrische gegevens om gevoelige eigenschappen af te leiden: zoals ras, politieke opvattingen, religieuze overtuigingen of seksuele oriëntatie.

7. Ongericht scrapen van gezichtsbeelden

AI-systemen die gezichtsherkennigsdatabases opbouwen door beelden te scrapen van het internet of camerabeelden, zonder toestemming.

Waarom dit ertoe doet voor het mkb

Je denkt misschien: "Wij bouwen geen sociale scoringssystemen. Dit geldt niet voor ons."

Voor de hand liggende gevallen klopt dat waarschijnlijk. Maar het risico voor mkb-bedrijven sluipt vaak via een achterdeur naar binnen:

Leverancierstools met verborgen AI-functies. Veel SaaS-platforms hebben in recente updates AI-functies toegevoegd zonder daar veel ruchtbaarheid aan te geven. Sommige HR-tools bevatten inmiddels "engagement-analyse" of "sentimentdetectie" die mogelijk als emotieherkenning kwalificeert. Sommige marketingplatforms gebruiken gedragsprofilering die richting manipulatie kan gaan.

Integraties met derden. Als je tools integreert die AI gebruiken om gebruikersgedrag te beïnvloeden, kun je onbewust een verboden systeem inzetten, en de wet maakt geen onderscheid tussen bouwer en gebruiker.

Werving en HR-tools. AI-gestuurde kandidaatselectie, persoonlijkheidstests of video-interviewanalyse verdienen zorgvuldige aandacht. Sommige functies zitten ongemakkelijk dicht tegen verboden of hoog-risico categorieën aan. Werk je tegelijkertijd aan je AVG-compliancechecklist? Je AI-toolreview overlapt sterk, doe ze samen.

De kernvraag is niet of jij de AI hebt gebouwd. Het gaat erom of je die gebruikt of inzet.

Hoe je je AI-tools auditeert

Je hebt geen groot project nodig. Een gerichte, methodische review is genoeg om te beginnen.

Stap 1: Inventariseer alle tools die AI gebruiken

Loop je software-inventaris door en markeer elke tool die AI, machine learning of geautomatiseerde besluitvorming noemt in functies of documentatie. Let extra op:

  • HR- en wervingsplatforms
  • Klantbetrokkenheid- en marketingtools
  • Analytics en gedragstracingsoftware
  • Communicatiemonitoringtools

Stap 2: Toets elke tool aan de verbodenlijst

Stel per gemarkeerde tool de volgende vragen:

  • Analyseert het emoties, sentiment of betrokkenheid van medewerkers of gebruikers?
  • Scoort of classificeert het mensen op basis van persoonlijke of sociale kenmerken?
  • Gebruikt het technieken om gedrag op niet-transparante wijze te beïnvloeden?
  • Verwerkt het biometrische gegevens om gevoelige persoonseigenschappen af te leiden?

Is het antwoord op een van deze vragen ja, of oprecht onduidelijk? Escaleer voor nadere review.

Stap 3: Neem contact op met je leveranciers

Vraag leveranciers rechtstreeks of hun AI-functies voldoen aan de verboden praktijken uit de EU AI Act. Vraag om schriftelijke bevestiging. Een verantwoorde leverancier heeft een helder antwoord paraat. Heeft die dat niet, dan is dat een rode vlag die je serieus moet nemen.

Stap 4: Documenteer je bevindingen

Leg het vast. Zelfs als al je tools compliant blijken, versterkt gedocumenteerd bewijs van een proactieve audit je positie wanneer toezichthouders, klanten of partners vragen komen stellen.

Wat komt er nog aan in de AI Act-tijdlijn

De verboden praktijken zijn slechts de eerste fase. Er volgen meer verplichtingen:

  • Augustus 2025: Regels voor general-purpose AI-modellen werden van kracht, met transparantie- en auteursrechtverplichtingen voor foundation models.
  • Augustus 2026: De volledige eisen voor hoog-risico AI-systemen worden afdwingbaar. Dit omvat verplichte risicobeoordelingen, menselijk toezicht en technische documentatie voor AI in gebieden als werving, kredietbeoordeling, onderwijs en wetshandhaving.

Begin je nu met je AI-audit, dan sta je er goed voor als de hoog-risico regels in augustus landen.

Stappen voor AI Act compliance in 2026

  1. Voer de audit uit. Gebruik bovenstaande stappen om je huidige AI-tools te toetsen aan de verboden praktijken. Reken op een tot twee uur voor de eerste doorloop.
  2. Werk je AI-inventaris bij. Heb je onze AI-governance gids gevolgd? Voeg per tool een AI Act-compliancestatus toe.
  3. Praat met je leveranciers. Vraag om AI Act-complianceverklaringen en bouw dit in als vast onderdeel van je leveranciersbeoordeling.
  4. Wijs eigenaarschap toe. Bepaal wie in je organisatie verantwoordelijk is voor doorlopende AI Act-compliance. Het hoeft geen fulltime rol te zijn, maar er moet een naam aan hangen.
  5. Plan voor augustus 2026. Begin met het beoordelen of je AI-tools in de hoog-risico categorie vallen. Vroege voorbereiding is veel goedkoper dan last-minute remediatie.

Hoe ComplianceHive helpt

ComplianceHive geeft je een gestructureerde manier om AI-tools, leverancierscompliance en regelgevingseisen op één plek bij te houden. Je kunt:

  • Je AI-toolinventaris bijhouden met risicoclassificaties
  • DPA's en AI Act-complianceverklaringen van leveranciers tracken
  • Reviewtaken en eigenaarschap binnen je team toewijzen
  • Auditklaar bewijs opbouwen voor toezichthouders en klanten

De AI Act hoeft niet overweldigend te zijn. Met de juiste structuur is het beheersbaar.

Dit artikel is algemene informatie en geen juridisch advies. Raadpleeg een gekwalificeerde jurist voor juridische interpretatie.

Start vandaag nog met grip op je leveranciers en software

Laat ComplianceHive je helpen met ISO 27001, AVG, leveranciersbeheer en meer. Geen gedoe, geen spreadsheets, gewoon overzicht. Begin nu met een gratis proefperiode van 1 maand. Geen creditcard nodig, geen verborgen kosten. Ontdek het Busy Hive-plan en beheer tot wel 25 tools en leveranciers in één overzicht.

Probeer 1 maand gratis