AI Act, de blinde vlek van Europese leiders

Twee teksten, twee reikwijdten

Vooraf twee verduidelijkingen van vocabulaire die verwarring voorkomen.

De AI Act is de Europese Verordening (EU) 2024/1689 inzake artificiële intelligentie. Hij rangschikt AI-systemen in vier risiconiveaus en legt per niveau gedifferentieerde verplichtingen op. Dat is de basistekst.

De Digital Omnibus is een Europees wetgevingspakket dat de Europese Commissie in november 2025 heeft voorgesteld om het toepassingsschema van de AI Act aan te passen. Op 7 mei 2026 werd een voorlopig politiek akkoord over dit pakket bereikt tussen het Parlement en de Raad. Het stelt bepaalde termijnen uit en breidt de bescherming uit naar Small Mid Caps. Geen deregulering, wel een herkalibratie.

Het centrale principe, het gebruik telt zwaarder dan de technologie

De AI Act rangschikt een AI-systeem niet op basis van de technologie die het bevat. Hij rangschikt het op basis van de gebruikscontext. Eenzelfde tool kan van de ene regelgevende categorie naar de andere overgaan afhankelijk van wat u ermee doet.

Een generieke conversatie-chatbot valt onder beperkt risico. Diezelfde chatbot, geïntegreerd in een platform voor de voorselectie van sollicitanten, schuift door naar hoog risico.

Het is deze nuance die de blinde vlek creëert. Veel bedrijfsleiders denken in minimaal risico te zitten, terwijl ze al systemen exploiteren die structureel zijn voor besluitvorming, geclassificeerd als hoog risico, zonder het te weten en zonder ook maar iets te hebben gedocumenteerd.

De Mestiza Lab™-test in 3 vragen

Vraag 1, de finaliteit.

Wat is het concrete doel van het systeem ?

Sorteren, scoren, aanbevelen, beslissen, monitoren, genereren.

Vraag 2, het publiek.

Op welke groep heeft het invloed ?

Sollicitanten, werknemers, klanten, burgers, patiënten, leerlingen.

Vraag 3, het effect.

Welk type beslissing produceert of beïnvloedt het ?

Aanwerving, krediet, zorg, sanctie, toegang tot een dienst.

Drie antwoorden, één categorie. En de categorie kan verschuiven bij elk nieuw gebruik dat op een bestaande tool wordt geënt.

De vier risiconiveaus van de AI Act

Klik op een niveau om direct naar de bijbehorende sectie te gaan :

Niveau 1 Onaanvaardbaar risico Niveau 2 Hoog risico Niveau 3 Beperkt risico Niveau 4 Minimaal risico

Niveau 1 Onaanvaardbaar risico

De verboden praktijken opgesomd in Artikel 5 zijn van toepassing sinds 2 februari 2025. Geen onderhandeling, geen conformiteitstraject mogelijk.

Verboden op de Europese markt :

Sociale scoring
Subliminale of cognitieve manipulatie
Uitbuiting van kwetsbaarheden gekoppeld aan leeftijd, handicap of sociaaleconomische situatie
Realtime biometrische identificatie op afstand in de openbare ruimte door rechtshandhavers
Gevoelige biometrische categorisering (ras, opvattingen, religie, seksuele oriëntatie)
Emotieherkenning op het werk en op school
Individuele predictieve politie
Massale scraping van gezichtsfoto's

De Digital Omnibus heeft twee nieuwe verboden toegevoegd, van toepassing op 2 december 2026 :

Het door AI genereren van CSAM-inhoud (Child Sexual Abuse Material, materiaal van seksueel misbruik van kinderen)
Nudificatietools (het genereren van niet-consensuele intieme beelden)

Sanctie Niveau 1

Tot 35 miljoen euro of 7 % van de wereldwijde jaarlijkse omzet. Het hoogste van de twee.

Niveau 2 Hoog risico

Hier schuilt de blinde vlek. De meerderheid van de AI-projecten die structureel zijn voor besluitvorming en in Europa worden uitgerold, valt onder hoog risico zonder dat de bedrijfsleiders zich daar altijd bewust van zijn.

Bijlage III van de verordening somt 8 grote categorieën van gebruiksgevallen op die als hoog risico worden geclassificeerd :

Human resources (cv-sortering, gesprekscoring, algoritmische monitoring van medewerkers)
Krediet en financiële diensten (kredietscoring, geautomatiseerde bankonboarding)
Verzekeringen (geautomatiseerde tarifering in leven en gezondheid)
Rechtspraak en democratische processen (ondersteuning van rechterlijke beslissingen, AI in verkiezingsprocessen)
Kritieke infrastructuur (verkeersbeheer, water- en energienetten)
Onderwijs (toelating, geautomatiseerde beoordeling, algoritmische fraudedetectie)
Gezondheid (diagnostische ondersteuning, triage in spoedgevallen, medische AI-hulpmiddelen)
Migratie, asiel en grenscontrole, en rechtshandhaving (beoordeling van recidiverisico, profilering)

Sanctie Niveau 2

Tot 15 miljoen euro of 3 % van de wereldwijde jaarlijkse omzet.

Termijn Niveau 2

2 december 2027 voor autonome systemen onder Bijlage III. 2 augustus 2028 voor systemen die zijn geïntegreerd in gereglementeerde producten onder Bijlage I (liften, speelgoed, machines, medische hulpmiddelen). Deze data komen voort uit het uitstel via de Digital Omnibus.

Niveau 3 Beperkt risico

Eén enkele verplichting, transparantie (Artikel 50), van toepassing op 2 augustus 2026. De persoon moet ondubbelzinnig weten dat hij of zij met een AI in interactie is of dat een inhoud door AI is geproduceerd.

Betroffen :

Chatbots en conversatie-assistenten
Deepfakes (beelden, video's, audio die zijn gegenereerd of gemanipuleerd)
Generatieve inhoud die wordt gepubliceerd over onderwerpen van algemeen belang
Emotieherkenningssystemen buiten werk en school
Wettelijke biometrische categorisering

Sanctie bij niet-naleving

Tier 2 van Artikel 99. Tot 15 miljoen euro of 3 % van de wereldwijde jaarlijkse omzet.

Een bedrijfsleider die niet aankondigt dat een chatbot, een deepfake of generatieve inhoud door AI is geproduceerd, loopt hetzelfde sanctieplafond op als bij een tekortkoming aan de hoog-risicoverplichtingen van Niveau 2.

Niveau 4 Minimaal risico

Geen enkele specifieke AI Act-verplichting in deze categorie.

Antispamfilters
Generieke copiloten voor tekstondersteuning
Spellingcorrectoren
Basisaanbevelingen in e-commerce

Het gemeen recht blijft van toepassing :

AVG (Algemene Verordening Gegevensbescherming) tot 20 miljoen euro of 4 % van de wereldwijde jaarlijkse omzet
Arbeidsrecht, consumentenrecht, intellectuele eigendom

De transversale verplichting die alle bedrijfsleiders vergeten

Artikel 4 van de AI Act verplicht elke aanbieder en gebruiker tot het waarborgen van een voldoende niveau van AI-geletterdheid bij zijn medewerkers en bij elke persoon die voor zijn rekening optreedt. Deze verplichting is van toepassing sinds 2 februari 2025.

Ze valt op 2 augustus 2026 onder het actieve toezicht van de nationale autoriteiten.

Concreet moet een bedrijfsleider vanaf die datum kunnen aantonen dat hij een AI-geletterdheidsplan heeft gestructureerd. Wie leidt wie op. Waarover. Met welke frequentie. Met welke traceerbaarheid.

Voor Belgische organisaties met 20 werknemers of meer maakt dit plan deel uit van het verplichte jaarlijkse opleidingsplan uit de wet van 3 oktober 2022.

Het is de minst dure verplichting om uit te voeren en de eerste die zal worden gecontroleerd. Met het uitstel van de hoog-risicoverplichtingen tot eind 2027 is het zeer waarschijnlijk via de geletterdheid dat de eerste interpellaties van de nationale autoriteiten in de praktijk zullen plaatsvinden.

Drie termijnen structureren de komende 18 maanden

2 augustus 2026

Geletterdheid, transparantie voor chatbots en deepfakes, afdwingbare sancties voor GPAI (General Purpose AI, AI-modellen voor algemeen gebruik).

2 december 2026

Nieuwe verboden onder Artikel 5 (CSAM, Child Sexual Abuse Material, en nudificatie), conformiteit inzake watermarking voor generatieve systemen die al op de markt zijn.

2 december 2027

Autonoom hoog risico onder Bijlage III van toepassing.

De verplichtingen die in augustus 2026 ingaan, zijn niet in enkele weken in te halen.

Hoe positioneert u zich tussen KMO, middelgrote onderneming en Small Mid Cap

Drie categorieën van ondernemingen, drie plafonds, één enkele inzet, weten welk verlichtingsregime op u van toepassing is.

KMO, Kleine en Middelgrote Onderneming

Minder dan 250 werknemers, omzet lager dan 50 miljoen euro of balanstotaal lager dan 43 miljoen euro. Europese referentiedefinitie (aanbeveling Commissie 2003/361/EG).

Middelgrote ondernemingen (ETI)

Tussen 250 en 4 999 werknemers, omzet lager dan 1,5 miljard euro of balanstotaal lager dan 2 miljard euro. Franse definitie in de zin van de wet op de modernisering van de economie van 2008.

Small Mid Cap, SMC

Tot 750 werknemers, omzet lager dan 150 miljoen euro of balanstotaal lager dan 129 miljoen euro. Categorie ingevoerd door het akkoord van 7 mei 2026.

Praktische schakeling :

Een KMO is altijd SMC (onder de 250 werknemers, dus onder de 750)
Een middelgrote onderneming met minder dan 750 werknemers en onder de omzetdrempels is SMC
Een middelgrote onderneming met meer dan 750 werknemers of boven de omzetdrempels is geen SMC

Het is deze SMC-drempel die een nieuw operationeel venster opent voor heel wat Belgische, Franse en Europese middelgrote ondernemingen die dachten buiten het KMO-perimeter te vallen.

Een nieuw venster voor Small Mid Caps

Het akkoord van 7 mei 2026 heeft de verlichtingen die voorheen voorbehouden waren aan KMO's, uitgebreid naar Small Mid Caps.

Vereenvoudigde technische documentatie
Modulering van de sancties op het laagste plafond
Voorrang tot de nationale regulatory sandboxes

Een groot deel van de Europese middelgrote ondernemingen die dachten buiten de KMO-perimeter te vallen, komt nu onder dit verlicht regime.

Het plan in vier werkstromen

Vier werkstromen die in de komende 90 dagen parallel moeten worden uitgevoerd.

Inventarisatie van gebruiksvormen

Weken 1 tot 4

Alle ingezette AI-systemen in kaart brengen, intern en extern. Elk systeem classificeren volgens de test in 3 vragen. Op te leveren : een register van AI-systemen met voorlopige classificatie.

AI-geletterdheidsplan

Weken 2 tot 6

De perimeter bepalen (werknemers, dienstverleners, leveranciers), de inhoud per niveau aanpassen (bedrijfsleiders, managers, operationele medewerkers, supportfuncties), de traceerbaarheid invoeren, deelnameattesten afleveren. Op te leveren : een geletterdheidsplan met versiebeheer.

Transparantie en watermarking

Weken 4 tot 10

De niet-aangekondigde contactpunten auditeren, de vermeldingen voorbereiden, de watermarking-conformiteit plannen tegen 2 december 2026. De AV (Algemene Voorwaarden), servicevermeldingen en leverancierscontracten bijwerken. Op te leveren : een matrix met contactpunten, status en datum van conformiteit.

Governance en hoog-risico documentatie

Weken 6 tot 12

Een AI Act-verantwoordelijke aanduiden, de documentatie van Artikelen 9, 10 en 11 structureren. Op te leveren : governance-charter, technisch dossier in versie 0 voor elk hoog-risicosysteem.

Het hybride deliverymodel van Mestiza Lab™

Mestiza Lab™ stuurt het volledige AI Act-conformiteitsprogramma aan. Voor afdwingbare juridische akten (opstellen van AV, leverancierscontracten, contractuele addenda en delegatieclausules) coördineert Mestiza Lab™ een partneradvocaat gespecialiseerd in de AI Act. De klant behoudt één enkel aanspreekpunt. De juridische conformiteit wordt gedragen door de partneradvocaat onder coördinatie van Mestiza Lab™.

Deze schakeling garandeert :

Eén enkele strategische aansturing aan de zijde van Mestiza Lab™
Een afdwingbare juridische dekking aan de zijde van de partneradvocaat
Een vermindering van het aantal te coördineren dienstverleners voor de bedrijfsleider

Tot slot

De AI Act zal de innovatie van Europese ondernemingen niet stilleggen.
De Digital Omnibus is geen deregulering, maar een herkalibratie.
Hij zal de meeste organisaties dwingen te structureren wat ze nu al ongeordend doen.

Voor bedrijfsleiders die er nu mee starten, is dat een concurrentievoordeel. Voor de anderen wordt het een verborgen kost die op het slechtst denkbare moment opduikt :

Een controle van de nationale autoriteiten
Een B2B (business to business) aanbesteding waarbij conformiteit wordt geëist
Een klantincident
Een due diligence-audit vóór een kapitaalsoperatie

De echte vraag is niet « val ik onder de AI Act ». Ze luidt : in welke context wordt elk van mijn systemen gebruikt, en wat heb ik daarover gedocumenteerd.

AI versterkt wat al bestaat. De regelgeving evengoed.