Welke AI-praktijken zijn sinds februari 2025 verboden?

Sinds 2 februari 2025 zijn onder artikel 5 van de EU AI Act onder meer sociale-kredietsystemen, manipulatieve of uitbuitende AI, emotie-AI op school en werk, en grootschalige realtime biometrie verboden. De Europese Commissie publiceerde richtsnoeren met concrete voorbeelden.

Wat houdt de AI-geletterdheidsplicht in?

Elke organisatie die AI bouwt of gebruikt moet aantonen dat het personeel voldoende AI-kennis heeft. Dit is een doorlopende verplichting: je moet niet alleen trainen, maar ook bijscholing en toetsresultaten documenteren.

Wanneer worden de GPAI-verplichtingen van kracht?

De verplichtingen voor General-Purpose AI-modellen gelden sinds 2 augustus 2025. Aanbieders moeten onder meer een samenvatting van trainingsdata publiceren en voldoen aan disclosure-plichten.

Wie houdt in Nederland toezicht op de AI Act?

De Autoriteit Persoonsgegevens (AP) en de Rijksinspectie Digitale Infrastructuur (RDI) hebben voorgesteld om een hub-en-spoke-model te hanteren, met de AP als centrale markttoezichthouder en sectorale toezichthouders voor specifieke domeinen.

Wat is de 'stop-the-clock'-discussie?

Er zijn signalen dat de Europese Commissie overweegt bepaalde deadlines op te schuiven, met name omdat technische normen nog niet gereed zijn en er onvoldoende keuringsinstellingen operationeel zijn. Het Omnibus-pakket dat in maart 2026 door het EP is aangenomen bevat inderdaad uitstel voor de hoog-risicoverplichtingen.

Hoe kan ik mijn organisatie nu al voorbereiden?

Begin met een inventarisatie van al je AI-toepassingen via een risicoclassificatie. Documenteer AI-geletterdheid, check contracten met leveranciers op GPAI-disclosure-plichten en reserveer budget voor conformiteitsbeoordelingen.

De AI Act is echt begonnen: wat is er sindsdien gebeurd?

Update maart 2026: Inmiddels zijn we negen maanden verder dan de stand van zaken in dit artikel. De GPAI-verplichtingen zijn per 2 augustus 2025 van kracht geworden. Het Europees Parlement heeft in maart 2026 gestemd over het Omnibus-pakket dat onder meer de hoog-risicodeadline verschuift. Lees ook ons overzicht van 2025 en de vooruitblik op 2026 voor de meest actuele stand.

Toen de EU AI Act op 1 augustus 2024 in het Publicatieblad verscheen, voelde het nog abstract. Elf maanden later is dat voorbij: de eerste verboden gelden al, werknemers moeten aantoonbaar AI-geletterd zijn en in Brussel vliegen de consultaties je om de oren. In deze blog neem ik je mee langs de belangrijkste bewegingen sinds de inwerkingtreding - praktisch, juridisch en politiek. Geen herhaling van de wetstekst; wel een blik op wat er na 1 augustus gebeurde en waarom jij dat vandaag moet weten.

1. Februari 2025: de eerste harde klap

2 februari 2025 was de datum waarop de AI Act zijn tanden liet zien. Twee bepalingen werden onmiddellijk van kracht:

Verboden AI-praktijken - alles wat onder artikel 5 valt (sociale-kredietsystemen, manipulatieve of uitbuitende AI, emotie-AI op school en werk, grootschalige realtime biometrie) moest per direct van de markt of uitgeschakeld worden.
AI-geletterdheidsplicht - elke organisatie die AI bouwt of gebruikt, moet nu kunnen aantonen dat het personeel "voldoende AI-kennis" heeft. De Autoriteit Persoonsgegevens (AP) publiceerde begin maart een speciale pagina met uitleg, checklists en trainingssuggesties.

Wie dacht dat de boetes (max. 7% van de wereldwijde omzet) pas in 2026 relevant werden, kwam bedrogen uit: de sanctieartikelen gaan dit jaar al op (2 augustus 2025). Goed luisteren dus, vooral als er nog ergens een selenium-achtig scoring-algoritme in de kelder draait.

AI-geletterdheid: geen eenmalige checkbox

De verplichting uit artikel 4 is doorlopend. Organisaties moeten niet alleen trainen, maar ook aantonen dat de kennis actueel blijft. Documenteer trainingen, toetsresultaten en bijscholingsmomenten. Bekijk onze praktische gids voor AI-geletterdheid als strategisch proces voor een concreet stappenplan.

2. Brussel legt uit wat "verboden" precies is

De timing was krap: 4 februari 2025 - twee dagen na het ingaan van de verbodsartikelen - publiceerde de Europese Commissie een ontwerp-richtsnoer voor verboden AI-praktijken. Het document barst van de praktijkvoorbeelden ("dit mag" vs. "dit mag niet") en nuanceert bijvoorbeeld emotieherkenning: enkel gezichtsuitdrukkingen analyseren op de werkvloer valt al snel onder het verbod, maar klanttevredenheid meten met enquetes niet.

Voorlopig is het een concept; stakeholders hadden zes weken om feedback te geven. Verwacht in Q3 een finale versie die toezichthouders als kapstok gaan gebruiken. Omdat richtsnoeren niet-bindend zijn krijgen we pas 100% zekerheid wanneer het Hof van Justitie er ooit een oordeel over velt, maar ze geven nu wel broodnodige richting.

3. Generatieve AI onder het vergrootglas

Grote taalmodellen en andere General-Purpose AI-modellen (GPAI) krijgen zelfstandige verplichtingen vanaf 2 augustus 2025. Om misverstanden te voorkomen lanceerde het kersverse European AI Office op 22 april 2025 een gerichte consultatie:

Wat is precies een GPAI-model?
Wanneer ben je "aanbieder" (ook bij fine-tuning of downstream deployment)?
Hoe publiceer je een "samenvatting van trainingsdata" zonder bedrijfsgeheimen te lekken?

Ruim 250 partijen - van open-source-collectieven tot Big Tech - reageerden. Parallel werkt het AI Office aan een Code of Practice die aanbieders vrijwillig kunnen volgen om compliance aan te tonen. Het schema: consultaties verwerken in de zomer, definitieve GPAI-richtsnoeren en code in het najaar. Wie een model als GPT-5, Llama 4 of een industriemodel uitrolt, moet dus nu al nadenken over documentatie, copyright-claimhandling en risicobeoordelingen.

4. Nederland: toezichthouders warmdraaien

4.1 AP + RDI: voorstel voor een "hub-en-spoke"-toezicht

In juni 2024 kwamen AP en Rijksinspectie Digitale Infrastructuur (RDI) met een position paper: laat de AP optreden als centrale markttoezichthouder voor verboden AI en de meeste hoog-risico-systemen, terwijl sectorale toezichthouders (NVWA, IGJ, ILT) hun bestaande productdomein houden.

Het eindadvies (februari 2025) herhaalde dat model en vroeg om extra budget en AI-experts. Het kabinet moet voor 2 augustus 2025 formeel knopen doorhakken.

4.2 Consultaties over verboden AI

Ondertussen op de AP-website: een serie "Input on forbidden AI systems". Organisaties konden case-studies en zorgen delen over bijvoorbeeld sociale-kredietalgoritmen en exploitatie van kwetsbare groepen. Doel: zicht krijgen op de praktijk zodat de AP vanaf dag een gericht kan handhaven.

4.3 AI-geletterdheid als compliance-motor

De AI-kennisplicht leeft - zeker bij gemeenten en zorginstellingen. De AP bundelde FAQ's, voorbeeld-trainingsmodules en een self-assessment. Tip voor bedrijven: deel trainingsdocumentatie met je functionaris gegevensbescherming, dan heb je meteen bewijslast voor de inspecteur. Doe ook onze AI-geletterdheidsquiz om je eigen kennis te toetsen.

2 minuten, geen account nodig

Leer de EU AI Act door te doen

Geen slides. Geen saaie e-learning. Probeer een interactieve module.

Interactive ChallengePowered by

LearnWize

Doe de volledige test op LearnWize

Probeer het zelf

3 interactieve oefeningen. Verdien XP. Ontdek waarom dit beter werkt dan lezen.

Doe de volledige test op LearnWize

Flashcards→Matching→Audit

5. De nieuwe EU-governancestructuur

Sinds de herfst werken drie lagen zich in positie:

European AI Office - spin in het web, trekt guidelines en GPAI-toezicht.
European AI Board - platform van nationale autoriteiten voor consistente handhaving.
Nationale markttoezichthouders - moeten uiterlijk 2 augustus 2025 officieel aangewezen zijn. Nederland loopt voorop, maar in sommige lidstaten is de discussie pas net begonnen.

De European Data Protection Board (EDPB) riep alle lidstaten op om hun privacy-autoriteiten een prominente AI-toezichtrol te geven om overlap met AVG-handhaving logisch te organiseren. Verwacht dus een loket voor burgersklachten per land, en nog meer Brusselse vergadertafels waar AI-inspecteurs elkaar treffen.

Hoe past jouw organisatie in dit landschap?

Of je nu aanbieder of gebruiker bent van AI-systemen: je krijgt te maken met deze toezichtstructuur. Gebruik onze risicoclassificatietool om vast te stellen welke verplichtingen voor jouw AI-systemen gelden, en de AI Act Explorer om specifieke wetsartikelen na te slaan.

6. Haalbaarheidsdiscussie: pauze of doorzetten?

Niet iedereen is gerust op het tempo. In mei en juni doken signalen op dat de Europese Commissie een "stop-the-clock" overweegt: bepaalde deadlines (met name de GPAI-verplichtingen) opschuiven totdat de technische normen af zijn en genoeg keuringsinstellingen operationeel zijn.

Vooral Polen - Raadvoorzitter vanaf juli - pleit openlijk voor uitstel. MKB-koepels onderschrijven dat: zonder standaarden weten leveranciers niet hoe ze hun risicomanagementsysteem precies moeten bewijzen. Tegelijk waarschuwen NGO's dat elke maand vertraging burgerbescherming uitstelt. Het belooft een heet agenda-punt te worden op de Telecomraad van juli 2025.

7. De blikken van buiten Europa

VS - Federale wet ontbreekt, maar staten als Californie kijken mee. Amerikaanse Big Tech bouwt steeds vaker "EU-by-design" om dubbel werk te voorkomen.
VK - Houdt vast aan principe-gedreven, sectorspecifiek toezicht; gebruikt de AI Safety Summit om wel over grensrisico's van frontier-AI te praten.
G7/Raad van Europa - De Hiroshima-verklaring en het nieuwe Raad-van-Europa-verdrag volgen dezelfde waardenlijn; de AI Act fungeert als template.

Voor Europese bedrijven betekent dit dat de Brussels Effect opnieuw toeslaat: producten die in de EU compliant zijn, zijn elders vaak ook acceptabel, maar het omgekeerde geldt niet.

8. Wat organisaties nu moeten doen

Schoon je AI-portfolio op. Scan alle toepassingen: verbod? hoog risico? beperkt? Gebruik onze risicoclassificatietool als startpunt.
Documenteer AI-geletterdheid. Plan trainingen, leg aanwezigheids- en toetsresultaten vast. Bekijk ons artikel over AI-geletterdheid als strategisch proces.
Volg de consultaties. Deadline High-Risk AI (18 juli 2025) en finale GPAI-code (najaar) bepalen jouw roadmap.
Check contracten. Leveranciers die na 2 augustus 2025 nog GPAI-modellen leveren, moeten voldoen aan de nieuwe disclosure-plichten - zet dat in de SLA. Lees ook onze gids over AI-inkoop en contracten.
Reserveer budget. Conformiteitsbeoordeling is geen Excel-klus; reken op externe audits en (bij high-risk) CE-achtige keurmerken.

Slot

De EU AI Act is geen futuristisch vergezicht meer; hij maakt dagelijks verschil op de werkvloer, in de ontwikkelstudio en in de bestuurskamer. Tussen nu en 2 augustus 2025 krijgt de wet een tweede golf: GPAI-toezicht, sanctieregime en de officiele benoeming van nationale inspecties. Of die datum blijft staan, hangt af van de stop-the-clock-discussie, maar wachten is geen verstandige strategie.

Organisaties die de afgelopen maanden al huiswerk maakten, ontdekken dat compliance niet alleen een kostenpost is. Het levert scherpere governance, betere datasets en vooral het vertrouwen op dat jouw AI-toepassingen de Europese toets der kritiek kunnen doorstaan. En dat wordt, pauze of niet, het nieuwe normaal.

Bronnen: Europese Commissie - Guidelines prohibited AI (4 feb 2025); Consultatie GPAI (22 apr 2025); AP - AI-geletterdheid (mrt 2025); AP - Input verboden AI (apr 2025); DLA Piper - mogelijke pauze AI-Act (juni 2025); LinkedIn/MLex leak over "stop-the-clock" (juni 2025).