Veel organisaties zien de EU AI Act als een juridisch vraagstuk.
Welke regels gelden?
Wat moeten we documenteren?
Wat is wel en niet toegestaan?
Maar dat is niet waar de echte uitdaging zit.
De wet is duidelijker dan u denkt
De EU AI Act draait om vier dingen:
- Risico classificeren
- Gebruik documenteren
- Menselijk toezicht organiseren
- Gebruikers trainen
Dat is overzichtelijk.
Het probleem is niet wat er moet gebeuren.
Het probleem is of de organisatie dat kan uitvoeren.
De kloof zit in de praktijk
In theorie klinkt het logisch:
- we classificeren AI
- we documenteren gebruik
- we trainen medewerkers
In de praktijk gebeurt het volgende:
- niemand weet welke tools worden gebruikt
- documentatie is versnipperd
- training is ad hoc of afwezig
En dan ontstaat de echte vraag:
Hoe operationaliseer je dit?
De EU AI Act vraagt geen documenten
maar systemen
Veel organisaties reageren met:
- policies
- PDF’s
- richtlijnen
Maar de wet vraagt iets anders:
een reproduceerbaar systeem
Een inspecteur wil niet alleen zien wat je hebt opgeschreven
maar ook hoe je tot beslissingen komt
De rol van de deployer is cruciaal
De meeste organisaties zijn geen AI-bouwer.
Ze zijn deployer.
Dat betekent:
- jij bent verantwoordelijk voor gebruik
- niet de leverancier
Ook als:
- je de tool niet zelf hebt gebouwd
- je niet wist dat het AI was
“Ik wist het niet” is geen verweer.
Wat wél werkt
Organisaties die vooruit lopen doen drie dingen:
- Ze brengen gebruik in kaart
- Ze koppelen training aan bevoegdheden
- Ze leggen beslissingen vast
Niet als losse acties.
Maar als samenhangend systeem.
Governance als bijproduct
De fout die veel organisaties maken:
Ze proberen compliant te worden.
De organisaties die slagen:
bouwen een systeem dat werkt.
En compliance volgt vanzelf.
Conclusie
De EU AI Act is geen juridisch probleem.
Het is een organisatievraagstuk.
Niet:
“Wat moeten we doen?”
Maar:
“Hoe zorgen we dat dit elke dag gebeurt — zonder frictie?”