Het boetekader van de EU AI Act: welke boetes je organisatie echt kunnen raken
Zahed Ashkara16 april 202611 min leestijd
De meeste organisaties focussen op compliance. Weinig begrijpen wat er gebeurt als het misgaat.
De EU AI Act is het gesprek van de dag in bestuurskamers door heel Europa sinds de inwerkingtreding in augustus 2024. Complianceteams haasten zich om hun AI-systemen te classificeren, juridische afdelingen ontleden de 180+ pagina's van de verordening en consultants beleven hun beste jaar sinds de AVG. Maar in al dit lawaai krijgt een cruciaal onderwerp verrassend weinig aandacht: wat gebeurt er eigenlijk als je de regels overtreedt?
Het antwoord is niet abstract. De EU AI Act bevat een van de meest gedetailleerde boetekaders in de Europese regelgevingsgeschiedenis. Drie niveaus van boetes, elk gekoppeld aan specifieke categorieën overtredingen, met bedragen waardoor AVG-boetes bescheiden lijken. Dit kader begrijpen gaat niet over angst. Het gaat om precies weten waar de hoogste risico's liggen, zodat je je compliancemiddelen kunt inzetten waar ze het meest nodig zijn.
De drie niveaus van sancties
De EU AI Act organiseert zijn boetes in drie niveaus, elk gekoppeld aan de ernst van de overtreding. Dit is niet willekeurig. De structuur weerspiegelt de risicogebaseerde aanpak van de verordening, waarbij overtredingen met hoger risico proportioneel hogere sancties krijgen.
Niveau 1: €35 miljoen of 7% van de wereldwijde jaaromzet geldt voor overtredingen van de verboden AI-praktijken in Artikel 5. Dit zijn de absolute rode lijnen: AI-systemen die subliminale technieken gebruiken om gedrag te manipuleren, kwetsbaarheden van specifieke groepen uitbuiten, sociale scoring door overheidsinstanties toepassen, of realtime biometrische identificatie op afstand in openbare ruimtes gebruiken (met beperkte uitzonderingen voor rechtshandhaving). Als je organisatie een van deze inzet, val je in de zwaarste boetecategorie.
Voor context: 7% van de wereldwijde omzet voor een bedrijf als Siemens zou meer dan €4,7 miljard bedragen. Voor een middelgroot bedrijf met €100 miljoen omzet is het €7 miljoen. Dit zijn geen theoretische getallen. De verordening stelt expliciet dat het hogere van de twee bedragen van toepassing is.
Niveau 2: €15 miljoen of 3% van de wereldwijde jaaromzet dekt de meeste andere overtredingen van de verordening. Dit omvat het niet voldoen aan de vereisten voor hoog-risico AI-systemen onder Artikelen 8 tot en met 15, het niet uitvoeren van vereiste conformiteitsbeoordelingen, het niet registreren van hoog-risico systemen in de EU-database, of het niet voldoen aan transparantieverplichtingen. Als je een hoog-risico AI-systeem inzet bij werving, kredietscore of gezondheidszorg zonder goede documentatie, risicobeheer en menselijk toezicht, is dit je boetecategorie.
Gerelateerde artikelen
Klaar om te beginnen met leren?
Sluit je aan bij duizenden professionals die AI-vaardigheden leren met interactieve cursussen.
Niveau 3: €7,5 miljoen of 1% van de wereldwijde jaaromzet richt zich op een specifieke maar belangrijke overtreding: het verstrekken van onjuiste, onvolledige of misleidende informatie aan aangemelde instanties of nationale autoriteiten. Dit klinkt misschien klein, maar het is ontworpen om te voorkomen dat bedrijven het complianceproces manipuleren.
Wie wordt beboet: aanbieders vs. gebruikers
Een van de belangrijkste onderscheidingen in het boetekader van de EU AI Act is wie de verantwoordelijkheid draagt. De verordening onderscheidt aanbieders (degenen die AI-systemen ontwikkelen of op de markt brengen) en gebruikers/deployers (degenen die AI-systemen inzetten in hun bedrijfsvoering).
Aanbieders dragen de volle last van het boetekader. Als je een AI-systeem bouwt dat als hoog-risico wordt geclassificeerd, ben je verantwoordelijk voor het voldoen aan alle technische eisen: nauwkeurigheid, robuustheid, cybersecurity, datagovernance, transparantie en menselijk toezicht. Tekortschieten op een van deze fronten stelt je bloot aan Niveau 2 boetes.
Gebruikers, wat de meeste organisaties zijn, hebben een enigszins andere set verplichtingen. Onder Artikelen 26 en 27 moeten gebruikers hoog-risico AI-systemen gebruiken volgens de instructies van de aanbieder, menselijk toezicht waarborgen, de werking van het systeem monitoren, en een grondrechteneffectbeoordeling (FRIA) uitvoeren voordat ze hoog-risico systemen in bepaalde contexten inzetten.
Hier wordt het praktisch. Als je een HR-afdeling bent die een AI-wervingstool gebruikt, ben je een gebruiker. Als die tool als hoog-risico wordt geclassificeerd (wat recruitment-AI is, onder Bijlage III), moet je zorgen dat je het correct gebruikt, de output monitort, menselijk toezicht houdt over wervingsbeslissingen en alles documenteert. De aanbieder heeft het systeem gebouwd. Jij bent verantwoordelijk voor hoe je het gebruikt.
Het AVG-multipliereffect
Wat veel complianceteams over het hoofd zien is dat EU AI Act-overtredingen zelden op zichzelf staan. Een AI-systeem dat de EU AI Act overtreedt, overtreedt zeer waarschijnlijk tegelijkertijd de AVG. Neem een AI-kredietscoresysteem dat onvoldoende transparantie biedt. Onder de EU AI Act is dat een Niveau 2 overtreding (tot €15 miljoen of 3% van de omzet). Onder AVG Artikel 22 vereist geautomatiseerde besluitvorming die personen aanzienlijk raakt, betekenisvolle informatie over de betrokken logica. Dat is een aparte overtreding met een eigen boetekader (tot €20 miljoen of 4% van de omzet onder de AVG).
De toezichthouders zijn zich bewust van deze overlap. De EU AI Act stelt in Artikel 99(5) expliciet dat autoriteiten bij het bepalen van boetes rekening moeten houden met sancties die al zijn opgelegd onder andere EU- of nationale wetgeving voor dezelfde overtreding. Maar "rekening houden met" betekent niet "aftrekken." Organisaties kunnen cumulatieve boetes krijgen vanuit meerdere regelgevingskaders voor een enkel AI-systeem dat tekortschiet.
Nationale handhaving: de variabele factor
De EU AI Act stelt het kader vast, maar handhaving vindt plaats op nationaal niveau. Elke EU-lidstaat moet een nationale toezichthoudende autoriteit aanwijzen die verantwoordelijk is voor AI Act-handhaving, vergelijkbaar met hoe gegevensbeschermingsautoriteiten de AVG handhaven.
Dit creëert een bekend patroon van handhavingsvariabiliteit. Sommige nationale autoriteiten zullen agressief en goed uitgerust zijn. Andere zullen voorzichtig en onderbezet zijn. Nederland, met zijn bestaande Algoritmetoezichthouder (onderdeel van de Autoriteit Persoonsgegevens), zal waarschijnlijk tot de actievere handhavers behoren.
Voor organisaties die in meerdere EU-lidstaten opereren, betekent dit dat je effectieve handhavingsrisico deels afhangt van waar je opereert en welke autoriteit het voortouw neemt. Maar anders dan bij vroege AVG-handhaving biedt het EU AI Office, opgericht onder Artikel 64, een centraal coordinatiemechanisme dat de inconsistenties die we in de eerste jaren van de AVG zagen, zou moeten verminderen.
De tijdlijn die ertoe doet
Niet alle bepalingen van de EU AI Act brengen tegelijkertijd handhavingsrisico met zich mee. De verordening volgt een gefaseerde implementatie:
Al van kracht (sinds februari 2025): verboden op onaanvaardbaar-risico AI-praktijken (Artikel 5). Dit betekent dat Niveau 1 boetes, de categorie van €35 miljoen, al afdwingbaar zijn.
Augustus 2025: verplichtingen voor general-purpose AI-modellen (Hoofdstuk V) en het governancekader (Hoofdstuk VII) worden afdwingbaar.
Augustus 2026: de volledige set eisen voor hoog-risico AI-systemen treedt in werking. Dit is wanneer Niveau 2 boetes voor niet-conforme hoog-risicosystemen actief worden.
Deze tijdlijn betekent dat organisaties een krimpend venster hebben om hun zaken op orde te krijgen. De verboden praktijken zijn al afdwingbaar. Eisen voor hoog-risicosystemen zijn minder dan 18 maanden verwijderd. Afwachten is geen strategie.
Wat slimme organisaties nu doen
De organisaties die dit boetekader succesvol zullen navigeren zijn niet degenen met de dikste compliancehandleidingen. Het zijn degenen die vier praktische stappen nemen.
Ten eerste voeren ze een AI-inventarisatie uit om precies te weten welke AI-systemen ze gebruiken, of ze aanbieder of gebruiker zijn, en hoe elk systeem zich verhoudt tot het risicoclassificatiekader.
Ten tweede geven ze prioriteit aan de gebieden met het hoogste boeterisico. Verboden praktijken (Niveau 1) verdienen onmiddellijke aandacht. Hoog-risicosystemen in HR, financien, gezondheidszorg en overheid (Niveau 2) komen daarna.
Ten derde investeren ze in AI-geletterdheid door hun hele organisatie. Artikel 4 vereist dat alle medewerkers die betrokken zijn bij de werking en het gebruik van AI-systemen voldoende begrip hebben van deze systemen. Dit is geen luxe. Het is een wettelijk verplichte competentie die, indien ontbrekend, kan bijdragen aan overtredingen die boetes triggeren.
Ten vierde bouwen ze documentatie en audittrails nu, voordat handhaving begint. De organisaties die goede-trouw compliance-inspanningen kunnen aantonen, zelfs als ze onvolmaakt zijn, zullen het beter doen dan degenen die nog niet begonnen zijn.
Het boetekader van de EU AI Act is ontworpen om serieus genomen te worden. Met maximale boetes die die van de AVG overtreffen, stuurt de verordening een duidelijke boodschap: verantwoorde AI is niet optioneel, en de kosten van fouten gaan ver voorbij reputatieschade.