Verslag van webinar EU AI Act: wat moet je ermee en waar moet je letten?

EU AI Act?
In het Hibin-webinar van woensdagmiddag 17 december 2025 – georganiseerd door Ad Blokkker, PM Maatschappelijke Opgaven bij Hibin – draaide het om één praktische vraag: wat vraagt de EU AI Act straks van organisaties en wat kun je – of moet je – nu doen om AI verantwoord te gebruiken? Spreker Stefani Lubbers (STARC) benaderde het onderwerp nadrukkelijk als organisatievraagstuk: niet alleen juridisch of technisch, maar vooral iets dat je moet inbedden in beleid, processen en gedrag op de werkvloer.

Wat is ‘AI’ volgens de EU AI Act
Een belangrijk startpunt was: wanneer valt iets onder de EU AI Act? Kort gezegd gaat het om systemen die met enige autonomie ‘inferenties’ doen: output genereren, voorspellen, aanbevelen of conclusies trekken op basis van data en patroonherkenning. Eenvoudige automatisering met vaste regels (klassieke als-dan-logica) is doorgaans iets anders waar deze Act voor in het leven is geroepen. Duidelijkheid over dit verschil helpt om intern het gesprek te voeren: waar gebruiken we echt AI (moet je iets mee) en waar gebruiken we vooral slimme automatisering (niet relevant voor deze Act)?

Rollen en verantwoordelijkheid
De EU AI Act maakt onderscheid tussen aanbieders (ontwikkelen/marktintroductie) en gebruikersverantwoordelijken (toepassen in de eigen organisatie). Veel bedrijven zitten vooral aan de gebruikerskant, maar je kunt ongemerkt richting aanbiedersrol schuiven als je een AI-systeem onder eigen naam aanbiedt, het substantieel aanpast of het inzet voor een ander (zwaarder) doel dan bedoeld. Juist bij herinrichting van tools of het automatiseren van beslissingen over mensen kan dat relevant worden – voorbeeld: CV-beoordelingen door middel van AI-tools.

Risiconiveaus in het kort
De EU AI Act kent risiconiveaus: hoe hoger het risico, hoe zwaarder de verplichtingen. In het webinar kwam dit overzicht langs:

• verboden AI: toepassingen die niet mogen (zoals social scoring, emotieherkenning op het werk/onderwijs en bepaalde vormen van biometrische categorisering);
• hoog risico: toegestaan, maar alleen onder strenge eisen (zoals risicomanagement, documentatie, kwaliteit van data, menselijk toezicht en aantoonbare robuustheid);
• beperkt risico: veelvoorkomende toepassingen zoals generatieve AI en chatbots, met vooral transparantie- en organisatie-eisen;
• minimaal risico: weinig extra eisen bovenop bestaande wetgeving.

Wat betekent dit in de praktijk voor veel organisaties
Het meeste waarmee organisaties vandaag de dag mee werken zit bij beperkt risico. Daaronder vallen veel dagelijkse toepassingen: generatieve AI (zoals ChatGPT/Copilot), klantcontact via chatbots en AI-functionaliteit die ‘meedraait’ in bestaande software. Stefani benadrukte drie terugkerende aandachtspunten.

Ten eerste transparantie: maak duidelijk wanneer iemand met AI te maken heeft en wek niet de indruk dat het een mens is. Ten tweede menselijk toezicht: neem AI-output niet blind over, zeker niet als het invloed heeft op klanten, medewerkers of beslissingen met impact. Ten derde dataverantwoordelijkheid: wat je in een tool stopt, blijft jouw (eind)verantwoordelijkheid. De AVG blijft ook dus gewoon gelden en het is verstandig om intern heldere afspraken te maken over wat wel en niet in AI-tools mag worden ingevoerd. Hibin heeft op dit gebied ook een waardevol document opgesteld voor intern gebruik, zie ‘voorbeeldset voorwaarden voor gebruik van gen- AI-tools’.

AI-geletterdheid kwam in het webinar nadrukkelijk terug als basisvoorwaarde: medewerkers moeten snappen wat AI kan, waar het mis kan gaan en hoe je signalen herkent dat output onbetrouwbaar of bevooroordeeld kan zijn. Ook het melden en opvolgen van incidenten hoort daarbij: als er risico’s of fouten ontstaan, moet je kunnen escaleren, het gebruik kunnen bijsturen en waar nodig de leverancier op de hoogte stellen.

Waar zit AI in de bouwmaterialenhandel
Een nuttig inzicht uit het webinar was dat AI vaak al in systemen zit zonder dat het zo voelt. Denk aan ERP (voorspellen, signaleren), CRM (patronen herkennen), marketingtools (content genereren), klantenservice (digitale assistenten) en HR-toepassingen (ondersteuning bij selectie). Dit maakt inventariseren belangrijk: je kunt pas sturen als je weet waar AI in jouw werkprocessen en systemen zit.

Aanpak: zo begin je zonder het te groot te maken
Stefani deelde een simpel handvat die organisaties helpt om de EU AI Act beheersbaar te vertalen naar actie. De rode draad: organiseer eigenaarschap, breng toepassingen in kaart, bepaal risico’s en leg basisafspraken vast. Concreet kun je denken aan:

• organiseer verantwoordelijkheid (klein kernteam met IT, proceseigenaar, legal/AVG en MT)
• inventariseer waar AI zit (ook in bestaande software; vraag het leveranciers expliciet)
• classificeer en prioriteer (start bij toepassingen met impact op mensen of met klant-/personeelsdata)
• regel basismaatregelen (transparantie, human-in-the-loop, training/AI-geletterdheid, interne spelregels en eenvoudige documentatie)
• evalueer periodiek (nieuw gebruik, nieuwe tools, veranderende risico’s)

Tot slot
De EU AI Act is vooral bedoeld als fundament om AI veilig en verantwoord in te zetten, niet om innovatie stil te zetten. Wil je alles terugkijken of delen met collega’s?

Kijk het webinar terug

Bekijk presentatie