AI, AI, AI…wat nu?

Met de inwerkingtreding van deze Europese AI-verordening, officieel getiteld Verordening (EU) 2024/1689 van het Europees Parlement en de Raad van 13 juni 2024 tot vaststelling van geharmoniseerde regels betreffende artificiële intelligentie (AI Act), geldt sinds 1 augustus 2024 het eerste allesomvattende regelgevend kader voor AI, met als doel enerzijds innovatie en concurrentiekracht te stimuleren, en anderzijds de fundamentele rechten, (digitale) gezondheid en veiligheid van EU-burgers te beschermen. Er is dus nood aan mensgerichte en betrouwbare AI. Voor werkgevers en ondernemingen is dit van groot belang, omdat de regels zowel impact hebben op het gebruik van AI binnen interne processen, bv. rekrutering, als op de ontwikkeling en levering van AI-systemen.

Zoals je reeds kon lezen in Maarten’s bijdrage over de juridische aandachtspunten van de AI Act, worden de verplichtingen gefaseerd ingevoerd, met een onderscheid tussen fase 1 vanaf februari 2025, en fase 2 vanaf augustus 2025. Een derde fase volgt tenslotte in augustus 2026.

FASE 1 | De risico-gebaseerde categorieën: waar hoort jouw AI-systeem thuis?

De AI Act kiest voor een heldere, risico-gebaseerde aanpak, waarbij niet alle AI-systemen over dezelfde kam worden geschoren. In de praktijk betekent dit dat:

1. Sommige onaanvaardbare praktijken verboden zijn, zoals sociale scoring of gezichts- en emotieherkenning op de werkvloer. Denk hierbij aan systemen die de gemoedstoestand of betrouwbaarheid van medewerkers proberen te “lezen”.
2. Vele andere toepassingen, vooral in HR-processen zoals screeningtools en geautomatiseerde selectie en prestatiebeoordeling, de stempel “hoog risico” krijgen. Hiervoor geldt een streng pakket van eisen, variërend van risicomanagement en kwaliteitszorg tot technische documentatie en menselijk toezicht.
3. Voor algoritmes met een beperkt risico, zoals een chatbot of vertaaltool, vooral transparantieverplichtingen gelden: de gebruiker moet weten dat hij met een AI-systeem communiceert.
4. Er geen specifieke verplichtingen zijn voor toepassingen met een minimaal risico, zoals bijvoorbeeld spraakassistenten.

Wie AI gebruikt, moet vandaag al kunnen duiden in welke risicoklasse iedere tool valt. Dat geldt voor software die eigenhandig gebouwd is, maar evengoed voor aangekochte producten of cloudsystemen waar de onderneming dagelijks beroep op doet.

Nieuwe plichten vanaf februari 2025: inventarisatie, opleidingsplicht en het eerste verbod

Sinds februari 2025 is het ondernemingen verboden om AI-systemen met een onaanvaardbaar risico te gebruiken. Voor veel bedrijven was dat de eerste concrete horde: tijdig in kaart brengen welke interne processen geraakt worden door dit verbod en waar eventueel processen of tools moeten worden aangepast of uitgefaseerd.

Daar stopt het echter niet. Vanaf datzelfde moment rust er een expliciete verplichting tot AI-geletterdheid op de schouders van iedere werkgever. Niet alleen IT’ers, maar iedereen die met AI-tools in het bedrijf werkt, moet over gepaste kennis, inzicht en alertheid beschikken. De exacte invulling is vaag, maar een gebrek aan opleiding kan bij incidenten nadelig uitpakken. Wie deze verantwoordelijkheid onderschat, dreigt straks niet enkel ethische maar ook juridische risico’s te lopen: boetes tot 35 miljoen of 7% van de wereldwijde omzet zijn geen symbolisch pressiemiddel meer; ze zijn realiteit.

Fase 2 | Handhaving, sancties, algemene AI-modellen en toezicht vanaf augustus 2025

Sinds 2 augustus 2025 zijn de teugels verder aangehaald. Nu zijn het niet alleen verbodsbepalingen, maar vooral ook actieve handhaving en sancties die centraal staan. De EU geeft nationale toezichthouders verregaande bevoegdheden, waaronder forse administratieve sancties en corrigerende maatregelen. Het nieuwe boeteregime, tot miljoenen euro’s afhankelijk van de aard van de inbreuk, geldt meteen, zonder dat extra Belgische regelgeving vereist is. Bij het bepalen van de sancties worden o.a. de ernst van de inbreuk, het aantal getroffen personen, en het marktaandeel van de onderneming in overweging genomen.

Nieuw is sinds augustus 2025 de aandacht voor algemene AI-modellen (General Purpose AI of GPAI, zoals ChatGPT en Copilot). Aanbieders van zulke AI-bouwstenen moeten nu transparant zijn over hun data, technische documentatie publiek maken en zorg dragen voor cyberveiligheid en regelmatige auditing. Gebruikers van GPAI-modellen profiteren van deze transparantie, maar moeten desalniettemin goed blijven nagaan wat de mogelijkheden en beperkingen van zulke tools zijn.

Ook het toezicht is nu formeel geregeld: Europese instanties als het AI-Bureau en de AI-Board nemen leiding in de coördinatie, maar iedere lidstaat – ook België – moet een nationale markttoezichthouder en een aanmeldende autoriteit aanstellen. België heeft deze stap vooralsnog niet gezet, wat de toepassing in de praktijk bemoeilijkt.

Pijnpunten en specifieke uitdagingen in de bouwsector

Voor veel bedrijven – en dus ook voor bouwbedrijven – brengt de AI Act een aantal concrete uitdagingen mee:

1. Hoogrisico-AI in HR-processen vereist zware documentatie, audits, toezicht en up-to-date informatiebeheer. Vooral kleinere bouwbedrijven worden hierdoor zwaar belast, terwijl grote marktspelers meer middelen hebben om snel te schakelen.
2. De verboden systemen van emotiedetectie en social scoring worden (voorlopig) niet ingezet in de bouwsector, waar digitalisering zich focust op aanwezigheidsregistratie, procesoptimalisatie en klassieke veiligheid. Feitelijke aanwezigheidsregistratie blijft toegestaan.
3. De opleidingsplicht inzake AI-geletterdheid op elk niveau geldt breed voor alle betrokkenen, waaronder elke IT’er, ploegbaas of administratieve medewerker. Dat maakt de verantwoordingslast extra zwaar, zeker bij vage richtlijnen over het vereiste opleidingsniveau.
4. De tijdrovende continue inventarisatie en risicoclassificatie van alle AI-tools, ook als het externe of ingebouwde AI in standaardsoftware betreft, levert bijkomende administratieve druk op.
5. De documentatie- en het beleidsplicht vereisen een uitgewerkt AI-beleid. Een actuele AI-policy is onmisbaar en moet duidelijk maken wie wat mag en onder welke voorwaarden.
6. Het risico op boetes en reputatieschade kunnen een impact hebben op de gehele bouwsector. Boetes kunnen oplopen tot miljoenen; in bouwprojecten stralen fouten van één partij negatief af op de hele keten.
7. Door de onzekerheid over Belgische implementatie en toekomstige eisen blijft voorspellen wat precies vereist zal zijn lastig, zeker m.b.t. toekomstige aanbestedingen, projecten en audits. Verwacht wordt dat AI-compliance en transparantie steeds zwaarder zullen doorwegen bij selectiecriteria.

Van beleid tot praktijk

De eerder beschreven verplichtingen vertalen zich in de praktijk in vijf kernacties: inventariseren, classificeren, opleiden, documenteren en opvolgen. Stel een inventaris en een beleidsplan op voor alle gebruikte en geplande AI-systemen. Bepaal voor ieder systeem de risicocategorie en eigen rol van gebruiker of aanbieder. Zorg voor technische en beleidsmatige compliance in de vorm van logging, toezicht, datakwaliteit en opleidingen bij hoog-risico AI. Geef werknemers inzicht in de risico’s, rechten en plichten via opleiding en communicatie. Werk samen met softwareleveranciers en ondersteun partners zodat ook zij voldoende compliant zijn. En misschien wel het belangrijkste: herzie dit beleid regelmatig, want technologie en wetgeving evolueren razendsnel.

Conclusie

Het juridische en maatschappelijke kader rond AI is geen toekomstmuziek meer, maar moet een vast onderdeel zijn van jouw bedrijfsvoering. De AI Act dwingt bedrijven tot alertheid en transparantie maar creëert tegelijk een unieke kans om vertrouwen en innovatie hand in hand te laten gaan. Wie nu snel schakelt, is niet alleen compliant, maar bouwt ook meteen een streepje voorsprong uit.

May the AI-Force be with you.