De AI-verordening geldt gefaseerd. De AI-geletterdheidsplicht loopt al sinds februari 2025 en vanaf 2 augustus 2026 gelden de verplichtingen voor hoog-risico-systemen en de transparantieplicht. Kantyra bevat een AI-register en een risicoclassificatie, met het normenkader van de AI-verordening naast je bestaande informatiebeveiliging, zodat je AI beheerst inzet en dat kunt aantonen.
De AI-verordening kiest voor een risicogebaseerde aanpak: niet elk AI-systeem is even zwaar gereguleerd, maar de zwaarte hangt af van wat het systeem doet en wie het raakt. Drie verplichtingen bepalen waar je begint.
Elk AI-systeem valt in een categorie: verboden praktijk, hoog risico, beperkt risico met een transparantieplicht, of minimaal risico. De categorie bepaalt welke verplichtingen gelden.
Sinds 2 februari 2025 zorg je dat medewerkers die met AI werken begrijpen wat het systeem doet, wat de risico's zijn en hoe zij het verantwoord gebruiken. Deze plicht geldt voor elke organisatie die AI inzet.
Als aanbieder of als gebruiksverantwoordelijke gelden verschillende plichten, van menselijk toezicht en transparantie tot documentatie. Voor hoog-risico-systemen zijn die eisen het zwaarst en gelden zij vanaf 2 augustus 2026.
Kantyra heeft een AI-module die naast je risicomanagement, je verwerkingsregister en je maatregelen draait. Je houdt AI dus niet in een losse spreadsheet bij, maar op hetzelfde platform waar de rest van je informatiebeveiliging staat.
Elk AI-systeem staat in het register met zijn doel, de leverancier, de rol van je organisatie (aanbieder of gebruiksverantwoordelijke) en zijn risicocategorie. Je koppelt het systeem aan de eigenaar, het bedrijfsmiddel en de verwerkingsactiviteit waarop het draait.
Met een classificatie bepaal je per systeem in welke categorie het valt en leg je vast of er menselijk toezicht is. Zo zie je meteen welke systemen hoog risico zijn en dus de zwaarste eisen kennen, en welke je licht kunt houden.
De AI-verordening en ISO/IEC 42001 staan als toetsbaar kader in het compliance-register, gekoppeld aan je bestaande maatregelen. Wat je voor de AVG of de Cbw al geregeld hebt, telt daar waar het kan meteen mee.
De AI-module volgt dezelfde vier fasen als de rest van Kantyra. Elke fase levert iets op dat je aan de directie, een auditor of een klant kunt laten zien.
Je brengt je AI-systemen in kaart in het AI-register, ook de hulpmiddelen die via leveranciers of losse tools binnenkomen.
Je classificeert elk systeem en bepaalt welke verplichtingen en welke rol voor jouw organisatie gelden.
Maatregelen als menselijk toezicht, transparantie en documentatie krijgen een eigenaar en een einddatum; de voortgang is zichtbaar in hetzelfde overzicht.
Het bewijs hangt aan het systeem en de maatregelen. Een toets of vraag van een klant wordt daarmee een export in plaats van een zoektocht.
De Europese wet (Verordening (EU) 2024/1689) die het gebruik van AI reguleert. Zij deelt systemen in naar risico: verboden, hoog, beperkt met een transparantieplicht, en minimaal. Hoe hoger het risico, hoe zwaarder de eisen.
Gefaseerd: de verboden praktijken en de AI-geletterdheidsplicht sinds 2 februari 2025, de regels voor AI voor algemene doeleinden sinds 2 augustus 2025, en de eisen voor hoog-risico-systemen en de transparantieplicht vanaf 2 augustus 2026.
Voor aanbieders die AI ontwikkelen of leveren en voor gebruiksverantwoordelijken die AI inzetten. De meeste organisaties zijn gebruiksverantwoordelijke en dragen dus verantwoordelijkheid voor de AI die zij gebruiken.
Artikel 4 verplicht je te zorgen dat medewerkers die met AI werken voldoende weten van wat het systeem doet en welke risico's eraan zitten. Deze plicht geldt sinds februari 2025 en staat los van de risicocategorie.
Een systeem op een gebied uit bijlage III, zoals werving, kredietbeoordeling of toegang tot onderwijs. Daarvoor gelden de zwaarste eisen: risicobeheer, datakwaliteit, menselijk toezicht, logging en documentatie.
Boetes tot 35 miljoen euro of 7 procent van de wereldwijde jaaromzet voor verboden praktijken, en tot 15 miljoen euro of 3 procent voor overige overtredingen, naast het reputatierisico.
Meer lezen? Wat vraagt de AI-verordening van jouw organisatie? · NIS2 en de Cyberbeveiligingswet
In een demo van 30 minuten lopen we de AI-module door aan de hand van jouw situatie: welke AI-systemen je in kaart brengt, hoe je ze classificeert en wat er vóór 2 augustus 2026 nog moet gebeuren.
Plan een demo van 30 minuten