De AI Act: het tijdpad en wat hij oplegt

Verordening (EU) 2024/1689, de zogenaamde “AI Act”, is op 1 augustus 2024 in werking getreden. De verplichtingen gelden niet in één keer: ze worden gefaseerd uitgerold, en hun intensiteit hangt af van het risiconiveau van het betrokken systeem.

Het tijdpad

Op 2 februari 2025 werden twee reeksen bepalingen van toepassing: het verbod op praktijken met onaanvaardbaar risico, en de verplichting inzake AI-geletterdheid (de personen opleiden die deze systemen ontwerpen of gebruiken).

Op 2 augustus 2025 traden de verplichtingen voor AI-modellen voor algemene doeleinden (GPAI) in werking.

2 augustus 2026 vormt de voornaamste mijlpaal: het merendeel van de verplichtingen voor de AI-systemen met een hoog risico uit bijlage III wordt bindend.

Op 2 augustus 2027, ten slotte, gelden de verplichtingen voor AI-systemen met een hoog risico die zijn ingebouwd in producten die al onder een sectorale regelgeving vallen.

De risiconiveaus

De verordening gradeert de verplichtingen over vier niveaus. Het onaanvaardbare risico is verboden (sociale scoring, manipulatie, bepaalde biometrische bewaking). Het hoge risico is toegestaan maar streng omkaderd: risicobeheer, technische documentatie, menselijk toezicht, transparantie. Het beperkte risico brengt alleen transparantieverplichtingen mee — bijvoorbeeld melden dat men met een AI interageert of dat inhoud gegenereerd is. Het minimale risico blijft vrij.

Aanbieder of gebruiksverantwoordelijke

De verplichtingen verschillen naargelang de rol: aanbieder (die het systeem ontwikkelt en op de markt brengt) of gebruiksverantwoordelijke (die het onder zijn verantwoordelijkheid gebruikt). Het bepalen van die rol is bepalend voor al de rest.

De AI-systemen die daadwerkelijk in gebruik zijn in kaart brengen, ze indelen naar risiconiveau, en daaruit de toepasselijke verplichtingen afleiden: dat is het vertrekpunt van elke conformiteitsoefening.