Je kent het moment. Iemand stuurt een artikel door in de groepsapp. "EU AI Act: dit moet je weten." Je opent het. Je leest drie alinea's juridisch proza. Je sluit het weer.
Begrijpelijk. Maar het gaat je raken.
De kern in drie zinnen
De EU AI Act classificeert AI-toepassingen op basis van risico. Hoe hoger het risico, hoe strenger de eisen. De meeste bedrijfstoepassingen vallen in de categorie "beperkt risico" en vereisen transparantie: je moet kunnen uitleggen dat AI wordt gebruikt en wat het doet.
Dat is het. Geen juridisch raamwerk van honderd pagina's nodig. Drie vragen dekken negentig procent van wat je moet weten.
Drie vragen
Neem je met dit systeem beslissingen die mensen direct raken? Denk aan: sollicitaties beoordelen, kredietwaardigheid inschatten, toegang verlenen tot essentiële diensten. Als het antwoord ja is, val je onder hoog risico. Dan heb je menselijk toezicht nodig, documentatie, en transparantie als wettelijke verplichting.
Weten je klanten en medewerkers dat ze met AI te maken hebben? De Act vereist dat je dit communiceert. Geen kleine lettertjes. Duidelijke communicatie. Als iemand interactie heeft met een AI-systeem, moet dat zichtbaar zijn.
Kun je uitleggen waarom het systeem doet wat het doet? Niet technisch. In gewone taal. "Het systeem classificeert klachten op urgentie op basis van trefwoorden en historische patronen" is genoeg. "Het werkt met AI" is niet genoeg.
Als je deze drie vragen kunt beantwoorden, ben je voor het overgrote deel compliant. De details zijn belangrijk, maar de basis is eenvoudiger dan de meeste juristen het presenteren.
Waarom het ertoe doet (ook als je geen jurist bent)
De AI Act is wetgeving. Maar de impact zit niet in de boetes. De impact zit in het vertrouwen.
Organisaties die kunnen uitleggen hoe hun AI werkt, waarom bepaalde keuzes zijn gemaakt, en waar de grenzen zitten, bouwen vertrouwen bij klanten, medewerkers en partners. Organisaties die dat niet kunnen, bouwen risico op.
De interessante verschuiving: de AI Act dwingt gesprekken af die organisaties sowieso zouden moeten voeren. Wie is verantwoordelijk voor de output? Waar stopt de autonomie van het systeem? Hoe weet je of het nog goed werkt? Dat zijn geen compliance-vragen. Dat zijn governance-vragen die elk AI-project beter maken.
Wat je nu kunt doen
Vier stappen die je deze maand kunt zetten.
Inventariseer. Welke AI-systemen draaien er in je organisatie? Inclusief de onofficiële, de Shadow AI die medewerkers op eigen initiatief gebruiken. Je kunt niet compliant zijn met systemen waarvan je het bestaan niet kent.
Classificeer. Per systeem: hoog risico (beslissingen die mensen direct raken) of beperkt risico (de meeste bedrijfstoepassingen)? De classificatie bepaalt welke eisen gelden.
Documenteer. Per systeem een korte beschrijving: wat doet het, welke data gebruikt het, wie is verantwoordelijk, en waar zitten de grenzen. Geen rapport van dertig pagina's. Een pagina per systeem is genoeg.
Bouw het in. De meest effectieve compliance is compliance die in het product zit, niet erop geplakt. Elke automatisering die je bouwt heeft drie lagen: wat het doet, waar het stopt, waarom het doet wat het doet. Als je dat vanaf het begin meeneemt, is compliance een bijproduct van goed ontwerp.
De meeste organisaties wachten tot de handhaving begint en regelen het dan onder druk. De slimme regelen het nu, als onderdeel van hoe ze AI ontwerpen. Het kost minder, het levert betere systemen op, en het bouwt het vertrouwen dat je nodig hebt als de toezichthouder belt.