Agnes kijkt bezorgd naar een rij AI-systemen waarvan sommige met een rood kruis zijn gemarkeerd als verboden onder de EU AI Act

Verboden AI toepassingen: wat mag niet meer onder de EU AI Act?

AI Act, Compliance

Sinds 2 februari 2025 zijn bepaalde AI-toepassingen in de Europese Unie verboden. Niet "binnenkort verboden" of "waarschijnlijk verboden". Verboden. Nu.

Artikel 5 van de EU AI Act (Verordening (EU) 2024/1689) bevat een lijst van AI-praktijken die als onaanvaardbaar worden beschouwd. De wetgever vindt het risico van deze systemen zo groot dat geen enkele maatregel ze veilig genoeg kan maken.

Dit artikel geeft je een helder overzicht van die verboden toepassingen, met praktische voorbeelden. En misschien het belangrijkste: wat dit betekent als jouw bedrijf AI-tools van leveranciers gebruikt.

De AI Act-verboden gelden al - vanaf februari 2025

De EU AI Act is gefaseerd ingevoerd. De verboden uit Artikel 5 waren de eerste regels die van kracht werden, op 2 februari 2025. Dat is geen toekomstige datum. Het is het heden.

Bedrijven die nu nog een verboden AI-systeem inzetten, lopen risico op boetes tot 35 miljoen euro of 7% van de wereldwijde jaaromzet (afhankelijk van welk bedrag hoger is). Dat geldt voor de aanbieder van het systeem, maar ook voor de gebruiker die het inzet.

Welke AI-toepassingen zijn verboden?

Artikel 5 van de EU AI Act beschrijft zeven categorieen AI-systemen die niet mogen worden gebruikt. Hier zijn ze, met voorbeelden die het concreet maken.

1. Manipulatieve of misleidende AI

AI-systemen die onbewuste technieken gebruiken om mensen te manipuleren. Denk aan een webshop die met AI het bestelproces zo ontwerpt dat je ongemerkt duurder uitkomt. Of een app die stemming en taalgebruik analyseert om je te verleiden tot aankopen die je eigenlijk niet wilt doen.

2. Exploitatie van kwetsbaarheden

AI die specifiek misbruik maakt van kwetsbaarheden van mensen vanwege hun leeftijd, beperking of sociaaleconomische situatie. Voorbeeld: een leenplatform dat AI gebruikt om mensen met lage geletterdheid duurdere contracten aan te bieden, wetend dat ze de voorwaarden niet volledig begrijpen.

3. Sociale scoring door publieke autoriteiten

Overheden mogen geen AI inzetten voor het opbouwen van sociale scores op basis van gedrag of persoonlijke kenmerken. Dit is het verbod op een Europese variant van het Chinese social credit systeem. Concrete situatie: een gemeente die bewoners scoort op basis van hun social media-activiteit, betaalgedrag en buurtmeldingen, en die score gebruikt bij het toewijzen van vergunningen.

4. Risicoprofilering voor crimineel gedrag

AI-systemen die voorspellen of iemand een misdrijf zal plegen, puur op basis van persoonlijkheidskenmerken of profilering, zijn verboden. Een systeem dat je "criminele risico" berekent op basis van je postcode, inkomen en opleiding mag niet. AI die beelden van beveiligingscamera's analyseert op daadwerkelijk verdacht gedrag is een ander verhaal.

5. Biometrische categorisatie van gevoelige kenmerken

Het classificeren van mensen op basis van biometrische data om hun ras, politieke overtuiging, religie, seksuele orientatie of vakbondslidmaatschap af te leiden is verboden. Stel dat een cameranetwerk gezichten scant en automatisch mensen categoriseert naar vermoedelijke etniciteit of religie. Dat mag niet, ongeacht het doel.

6. Emotieherkenning op de werkvloer of in onderwijs

AI die emoties herkent bij werknemers of studenten is verboden, behalve in zeer beperkte uitzonderingen voor veiligheid (bijvoorbeeld het detecteren van vermoeidheid bij een machinist). Voorbeeld: callcentersoftware die in realtime de emoties van medewerkers analyseert om hun "betrokkenheid" te meten. Of schoolsoftware die via de webcam controleert of leerlingen opletten.

7. Realtime biometrische identificatie op afstand in openbare ruimten

Gezichtsherkenning in realtime op publieke plekken is verboden, met zeer beperkte uitzonderingen voor rechtshandhaving (en alleen met rechterlijke toestemming). Een winkelcentrum dat bij de ingang gezichten scant en koppelt aan een database valt onder dit verbod.

Wat betekent dit voor jouw mkb-bedrijf?

De kans is klein dat jouw bedrijf zelf een van deze systemen bouwt. De meeste mkb-bedrijven zijn geen AI-ontwikkelaars.

Maar dat betekent niet dat je veilig zit.

De AI-tools die jouw HR-afdeling, beveiligingsteam of marketingafdeling dagelijks gebruikt, kunnen functies bevatten die onder deze verboden vallen. Drie voorbeelden uit de praktijk:

Callcentersoftware die "sentiment analysis van medewerkers" aanbiedt, kan neer komen op emotieherkenning van werknemers (verbod 6). Een biometrisch kloksysteem voor aanwezigheidsregistratie is op zichzelf niet verboden, maar als het systeem tegelijk werknemers categoriseert op basis van etniciteit of andere gevoelige kenmerken, is dat deel wel verboden (verbod 5). En een AI-tool voor kredietbeoordeling die profileert op basis van postcode, etniciteit of sociale kenmerken kan onder verbod 2 of 4 vallen.

Neem AI-tools mee in je leveranciersbeoordelingen. Vraag leveranciers expliciet naar biometrische en emotionele herkenningsfuncties. En registreer welke AI-systemen je gebruikt, ook als die van een leverancier komen.

Dit is een zelfevaluatie-hulpmiddel, geen juridisch advies.

Hoe controleer je of een AI-leverancier verboden technieken gebruikt?

Je hoeft geen AI-expert te zijn om dit te controleren. Begin met deze vijf stappen:

  1. Vraag het de leverancier direct. Gebruikt het product biometrische identificatie, emotieherkenning of sociale scoring? Een goede leverancier kan deze vraag helder beantwoorden.
  2. Controleer de EU AI Act-documentatie van de leverancier. Serieuze aanbieders publiceren inmiddels hun AI Act compliance status. Ontbreekt die documentatie? Dat is een signaal.
  3. Bekijk de verwerkersovereenkomst. Staan er verwijzingen naar biometrische verwerking, emotionele analyse of gedragsscoringen in? Lees ze kritisch.
  4. Registreer de tool in je AI-inventaris. Noteer de compliance status van de leverancier en welke AI-categorie het systeem heeft. Met AI-systemen registreren en beoordelen houd je dit gestructureerd bij.
  5. Twijfel je? Markeer voor juridische review. Liever een keer te veel gevraagd dan een verboden systeem in productie.

Je kunt leveranciersdocumentatie bijhouden om dit proces overzichtelijk te houden. En met onze AI Act compliance software kun je de risicoklasse van je AI bepalen en direct zien of een systeem onder een verbod valt.

ComplianceHive waarschuwing voor verboden realtime biometrische identificatie EU AI Act Art 5 ComplianceHive toont een expliciete waarschuwing als je realtime biometrische identificatie in openbare ruimtes registreert - dit valt onder het verbod van Art. 5(1)(d).

Veelgestelde vragen

Valt gezichtsherkenning bij de toegangscontrole onder de verboden AI?

Niet automatisch. Gezichtsherkenning voor toegang tot een kantoorgebouw (een afgesloten ruimte, geen openbare plek) valt niet onder het verbod op realtime biometrische identificatie in openbare ruimten (Art. 5(1)(d)). Maar als het systeem ook gevoelige kenmerken categoriseert (zoals etniciteit), kan het alsnog verboden zijn onder Art. 5(1)(g). De context en het gebruik bepalen of het mag.

Mag ik een AI-tool gebruiken die emoties herkent bij klantenservice?

Emotieherkenning van klanten door bedrijven valt niet onder het specifieke verbod voor werkplek en onderwijs (Art. 5(1)(f)). Maar je hebt wel te maken met GDPR-vereisten rond transparantie en toestemming. En als dezelfde tool ook emoties van je medewerkers analyseert, is dat deel wel verboden.

Wat zijn de boetes voor het gebruik van verboden AI?

De maximale boete voor het inzetten van een verboden AI-systeem is 35 miljoen euro of 7% van de totale wereldwijde jaaromzet, afhankelijk van welk bedrag hoger uitvalt (Art. 99, Verordening (EU) 2024/1689). Voor mkb-bedrijven en startups gelden in sommige gevallen proportioneel lagere maxima.

Hoe weet ik of een leverancier verboden AI-technieken gebruikt?

Vraag de leverancier om een AI Act compliance verklaring. Controleer of hun systeem biometrische identificatie, emotieherkenning of scoring bevat. Bekijk de verwerkersovereenkomst op verwijzingen naar deze functies. Registreer je bevindingen in een AI-systeem register. Bij twijfel: laat het juridisch toetsen voordat je het systeem inzet.

Is een aanbevelingssysteem zoals die van Spotify of Netflix verboden?

Nee. Aanbevelingssystemen die content, muziek of producten voorstellen op basis van je voorkeuren vallen niet onder de verboden van Artikel 5. Ze worden niet beschouwd als manipulatieve AI, zolang ze geen onbewuste technieken gebruiken die je schaden. Aanbevelingsalgoritmen vallen mogelijk wel onder andere AI Act-categorieen (zoals beperkt of hoog risico), afhankelijk van hun toepassing.

Start vandaag nog met grip op je leveranciers en software

Laat ComplianceHive je helpen met ISO 27001, AVG, leveranciersbeheer en meer. Geen gedoe, geen spreadsheets, gewoon overzicht. Begin nu met een gratis proefperiode van 1 maand. Geen creditcard nodig, geen verborgen kosten. Ontdek het Busy Hive-plan en beheer tot wel 25 tools en leveranciers in één overzicht.

Probeer 1 maand gratis