EU AI Act
Implementatiegids 2025

Complete compliance roadmap voor Nederlandse organisaties

Van risk assessment tot praktische implementatie

NeuroCluster B.V.

Europa's AI Infrastructure & Automation Company

Versie 1.0 • Oktober 2025

Inhoudsopgave

1. Executive Summary
2. De EU AI Act Uitgelegd
3. Risicocategorieën en Classificatie
4. Compliance Verplichtingen per Categorie
5. Risk Assessment Framework
6. Implementatie Roadmap (30-60-90 Dagen)
7. Governance & Organisatie
8. Technische Implementatie
9. Sectorspecifieke Gidsen
10. Juridische Aspecten
11. Templates & Checklists
12. Resources & Next Steps

1. Executive Summary

De Europese AI Verordening (EU AI Act) is op 1 augustus 2024 in werking getreden en stelt verplichte eisen aan het ontwikkelen en inzetten van AI-systemen binnen de EU. Nederlandse organisaties hebben tot februari 2026 om volledig compliant te zijn met alle verplichtingen.

        Kernpunten
        Inwerkingtreding: 1 augustus 2024
Volledige implementatie: 2 februari 2026
Maximum boete: Tot €35 miljoen of 7% wereldwijde omzet
Risicogebaseerde aanpak: 4 categorieën (Unacceptable, High, Limited, Minimal)
Focus: Transparantie, veiligheid en grondrechten

    

Voor wie is deze gids?

Deze implementatiegids is geschreven voor:

Compliance & Risk officers die AI-systemen moeten beoordelen
CTO's en IT-managers die AI-implementaties leiden
Legal teams die contracten en aansprakelijkheid beheren
Operations managers die processen moeten aanpassen
Board members die strategische beslissingen nemen over AI

Wat kunt u verwachten?

In deze whitepaper vindt u:

Een praktisch stappenplan om binnen 90 dagen compliant te zijn
Direct inzetbare templates en checklists
Sectorspecifieke implementatiegidsen
Concrete voorbeelden van high-risk AI systemen
Budget en resource planning
Integration met bestaande compliance frameworks (GDPR, NIS2)

2. De EU AI Act Uitgelegd

Achtergrond en doelstellingen

De EU AI Act is 's werelds eerste comprehensieve wetgeving voor kunstmatige intelligentie. Het doel is het creëren van een veilig, transparant en betrouwbaar AI-ecosysteem dat grondrechten beschermt en innovatie stimuleert.

Scope: Wat valt onder de AI Act?

De AI Act is van toepassing op:

AI-aanbieders: Organisaties die AI-systemen ontwikkelen of laten ontwikkelen voor EU-markt
AI-gebruikers: Organisaties die AI-systemen inzetten onder hun verantwoordelijkheid
AI-importeurs en distributeurs: Partijen die AI-systemen op EU-markt brengen
Product fabrikanten: Die AI als component in producten integreren

Definitie AI-systeem

Volgens de AI Act is een AI-systeem:

"Een op machine gebaseerd systeem dat is ontworpen om met verschillende niveaus van autonomie te werken en dat voor expliciete of impliciete doelstellingen kan afleiden hoe het outputs zoals voorspellingen, aanbevelingen of beslissingen genereert die invloed hebben op fysieke of virtuele omgevingen."

Praktische voorbeelden:

Machine learning modellen (supervised, unsupervised, reinforcement learning)
Large Language Models (ChatGPT, Claude, etc.)
Computer vision systemen
Recommender systems en personalisatie-algoritmes
Predictive analytics en forecasting tools
Robotic process automation met ML-componenten
Natural language processing applicaties

3. Risicocategorieën en Classificatie

De AI Act hanteert een risicogebaseerde aanpak met vier categorieën. De verplichtingen nemen toe naarmate het risico hoger is.

Categorie 1: Unacceptable Risk (Verboden)

Status: Verboden per 2 februari 2025

AI-systemen die een duidelijke bedreiging vormen voor veiligheid en grondrechten:

Social scoring door overheden
Real-time biometrische identificatie in publieke ruimte (met uitzonderingen)
Manipulatie van gedrag die schade toebrengt
Exploitatie van kwetsbaarheden van specifieke groepen
Emotion recognition op werkplek en in onderwijs

Categorie 2: High Risk

AI-systemen die significante impact hebben op veiligheid of grondrechten. Deze categorie heeft de strengste compliance eisen.

High-risk categorieën:

Categorie	Voorbeelden
HR & Recruitment	CV screening, sollicitatieanalyse, performance evaluatie, promotie beslissingen
Kredietverlening	Credit scoring, loan approval, verzekeringspremies
Toegang tot diensten	Welfare benefits, zorgtoewijzing, subsidies
Law enforcement	Voorspellende politiewerk, risico-assessment criminelen
Migratie & asiel	Visa beslissingen, authenticiteit documenten
Rechtspleging	AI-assistentie bij rechtelijke beslissingen
Product veiligheid	AI in medische apparaten, voertuigen, speelgoed
Onderwijs	Toelatingsbeslissingen, exam grading, student monitoring

Categorie 3: Limited Risk (Transparantieverplichting)

AI-systemen met beperkt risico hebben voornamelijk transparantieverplichtingen:

Chatbots en conversational AI
Deepfakes en synthetic content
Emotion recognition systemen (niet verboden context)
Biometrische categorisatie

Verplichting: Gebruikers moeten duidelijk geïnformeerd worden dat ze interactie hebben met een AI-systeem.

Categorie 4: Minimal Risk (Geen verplichtingen)

De meeste AI-toepassingen vallen in deze categorie:

Spam filters
Inventaris management systemen
AI-gestuurde game mechanics
Niet-gepersonaliseerde aanbevelingen

4. Compliance Verplichtingen per Categorie

High-Risk AI Systemen: 10 Kernverplichtingen

1. Risk Management System

Implementeer een continu risk management proces gedurende de volledige levenscyclus van het AI-systeem.

Identificeer en analyseer bekende en voorzienbare risico's
Implementeer mitigatie maatregelen
Test en evalueer effectiviteit van maatregelen
Document alle risico's en mitigaties

2. Data Governance

Zorg voor hoogwaardige training-, validatie- en test-datasets.

Data moet relevant, representatief en foutvrij zijn
Geschikt voor het beoogde doel
Passende statistische eigenschappen (geen bias)
Privacy-preserving technieken waar nodig
Data lineage en versioning

3. Technische Documentatie

Maak en onderhoud uitgebreide technische documentatie die aantoont dat het systeem compliant is.

Algemene beschrijving van het AI-systeem
Ontwerpspecificaties en architectuur
Data requirements en karakteristieken
Training methodologie en parameters
Validatie en testing resultaten
Risk management documentatie
Performance metrics en limitations

4. Logging & Record-keeping

Automatische logging van events gedurende de operational lifecycle.

Log gebeurtenissen geschikt voor traceability
Minimaal 6 maanden bewaren (afhankelijk van sector)
Toegankelijk voor audits en toezichthouders
Privacy-compliant logging mechanismen

5. Transparantie en Informatieverstrekking

Verstrek duidelijke informatie aan gebruikers over het systeem.

Capabilities en limitations
Level of accuracy, robustness en cybersecurity
Bekende risks en mitigaties
Voorgenomen doel en omstandigheden
Instructions for use

6. Human Oversight

Zorg dat het systeem onder toezicht van bevoegde personen kan worden gebruikt.

Begrijp capabilities en limitations volledig
Kan outputs monitoren tijdens gebruik
Kan ingrijpen of systeem stopzetten indien nodig
Interpreteer output correct met context

7. Accuracy, Robustness & Cybersecurity

Systeem moet accuraat, robuust en cyber-resilient zijn.

Passende accuracy levels voor intended purpose
Resilient tegen fouten, faults en inconsistenties
Beschermd tegen attempts to compromise (adversarial attacks)
Graceful degradation bij technische issues

8. Quality Management System

Implementeer een Quality Management System (QMS) conform ISO-standaarden.

Compliance strategie en governance
Design en development procedures
Testing en validatie processen
Post-market monitoring procedures
Incident response en corrective actions

9. Conformity Assessment

Voer een conformiteitsbeoordeling uit voordat het systeem op de markt komt.

Internal assessment voor meeste high-risk systemen
Third-party assessment voor specifieke categorieën
CE marking en Declaration of Conformity
Registratie in EU database

10. Post-Market Monitoring

Monitor het systeem continu na deployment.

Systematische data collectie over performance
Identify en analyse trends en issues
Rapporteer serious incidents binnen 15 dagen
Implement corrective actions waar nodig
Update risk assessments op basis van real-world data

Limited Risk Systemen: Transparantie Verplichtingen

Chatbots: Duidelijk vermelden dat gebruiker interactie heeft met AI
Deepfakes: Label synthetic content als AI-gegenereerd
Emotion recognition: Informeer gebruikers over het gebruik
Biometrische categorisatie: Transparantie over gebruik

5. Risk Assessment Framework

Stappenplan: Is mijn AI-systeem high-risk?

Stap 1: Identificeer alle AI-systemen

Maak een inventory van alle AI-systemen die uw organisatie:

Ontwikkelt (als aanbieder)
Gebruikt (als gebruiker)
Distribueert (als distributeur)
Importeert voor EU-markt

Template: AI Systeem Inventory

Voor elk systeem documenteer:

Naam en beschrijving: Wat doet het systeem?
Intended purpose: Waarvoor wordt het gebruikt?
Rol organisatie: Aanbieder, gebruiker, of beide?
Deployment status: Development, testing, production?
Users/stakeholders: Wie gebruikt het en wie wordt beïnvloed?
Decision-making: Automatisch of menselijke oversight?

Stap 2: Classificeer per systeem

Gebruik deze decision tree:

Decision Tree

Is het een verboden toepassing?
- Social scoring, manipulatie, exploitatie? → STOP: Verboden
Valt het onder high-risk categorieën?
- HR/recruitment beslissingen?
- Kredietverlening of verzekeringen?
- Toegang tot diensten (onderwijs, overheid)?
- Law enforcement of rechtspraak?
- Safety component in gereguleerde producten?
Ja → HIGH-RISK (volledige compliance)
Is er interactie met natuurlijke personen?
- Chatbot, deepfake, emotion recognition? → LIMITED RISK (transparantie)
Anders: MINIMAL RISK (geen verplichtingen, maar best practices aanbevolen)

Stap 3: Impact Assessment (voor high-risk systemen)

Voor elk high-risk systeem, beoordeel:

Assessment Criterium	Vragen
Impact op individuals	• Hoeveel mensen worden beïnvloed? • Wat is de impact op hun leven (groot/klein)? • Zijn kwetsbare groepen betrokken?
Autonomie van beslissingen	• Neemt AI autonome beslissingen? • Is er meaningful human oversight? • Kunnen mensen beslissingen contesteren?
Data sensitivity	• Welke data wordt verwerkt? • Bevat het special category data (GDPR)? • Zijn er bias-risico's in de data?
Transparency	• Is de werking van het systeem uitlegbaar? • Kunnen outputs worden gerechtvaardigd? • Is het een black box model?
Reversibility	• Kunnen beslissingen worden teruggedraaid? • Is er een appeal proces? • Wat zijn de consequenties van fouten?

Stap 4: Gap Analysis

Voor high-risk systemen, beoordeel huidige status vs. vereisten:

Verplichting	Status	Gap	Effort	Prioriteit
Risk Management System	⚪ Niet aanwezig 🟡 Gedeeltelijk 🟢 Compliant	Beschrijving	H/M/L	1-5
Herhaal voor alle 10 verplichtingen...

6. Implementatie Roadmap (30-60-90 Dagen)

Fase 1: Foundation (Dag 1-30)

Week 1-2: Assessment & Planning

☐ Stel een AI Act taskforce samen

Compliance officer (lead)
Legal counsel
CTO / AI lead
Data protection officer
Risk manager

☐ Inventariseer alle AI-systemen

Use template uit hoofdstuk 5
Interview stakeholders
Review procurement en vendor contracts

☐ Classificeer elk systeem (risk category)

Use decision tree uit hoofdstuk 5
Documenteer reasoning
Prioriteer high-risk systemen

☐ Executive stakeholder alignment

Present findings aan board/management
Secure budget en resources
Define clear ownership en accountability

Week 3-4: Quick Wins & High Priority Actions

☐ Implementeer transparantie verplichtingen (limited risk)

Add disclaimers voor chatbots
Label AI-generated content
Update privacy policies

☐ Stop verboden AI toepassingen

Identify en discontinue prohibited uses
Communicate met stakeholders
Plan migration waar nodig

☐ Start gap analysis voor high-risk systemen

Use framework uit hoofdstuk 5
Focus op top 3 business-critical systemen
Identify quick wins vs. lange-termijn projecten

☐ Review vendor contracts

Identify AI-leveranciers
Assess hun compliance status
Update contracts met AI Act verplichtingen

Fase 2: Implementation (Dag 31-60)

Week 5-6: Governance & Documentation

☐ Establish AI Governance Framework

Define policies en procedures
Create AI governance committee
Define approval workflows voor nieuwe AI systemen
Integrate met bestaande governance (IT, Data, Risk)

☐ Setup documentation repository

Centralized location voor alle AI Act documentation
Version control en audit trails
Access controls en security
Templates voor technical documentation

☐ Implement risk management process

Risk register voor AI-systemen
Risk assessment templates en workflows
Mitigation tracking en monitoring
Regular review cycles

Week 7-8: Technical Implementation

☐ Implement logging en monitoring

Event logging infrastructure
Data retention policies (minimum 6 months)
Audit trail capabilities
Monitoring dashboards

☐ Data governance improvements

Data quality frameworks
Bias detection en mitigation
Data lineage tracking
Privacy-preserving techniques

☐ Human oversight mechanisms

Define oversight roles en responsibilities
Implement override capabilities
Training voor oversight personnel
Escalation procedures

Fase 3: Optimization & Compliance (Dag 61-90)

Week 9-10: Testing & Validation

☐ Conformity assessment preparation

Complete technical documentation
Internal compliance audit
Identify gaps voor third-party assessment
Plan CE marking proces

☐ Testing en validation

Accuracy testing tegen benchmarks
Robustness testing (edge cases)
Security testing (adversarial attacks)
Bias testing across demographics

☐ Post-market monitoring setup

Define monitoring metrics en thresholds
Incident reporting procedures
Feedback loops voor continuous improvement
Periodic review schedules

Week 11-12: Training & Rollout

☐ Training programma

AI Act awareness voor alle employees
Specialized training voor AI teams
Compliance training voor management
Ongoing education planning

☐ Communication rollout

Update external communications (website, privacy policy)
Notify affected users en stakeholders
Vendor communication over compliance
Press release / thought leadership (optional)

☐ Continuous compliance planning

Quarterly compliance reviews
Monitoring van regulatory updates
Continuous improvement process
Budget voor ongoing compliance

7. Governance & Organisatie

AI Governance Structuur

Rollen en Verantwoordelijkheden

Rol	Verantwoordelijkheden	Rapporteert aan
AI Compliance Officer	• Overall ownership AI Act compliance • Coordinate implementatie roadmap • Interface met toezichthouders • Rapportage aan board	Chief Compliance Officer / CEO
AI Governance Committee	• Approve nieuwe AI systemen • Review high-risk assessments • Policy beslissingen • Budget allocatie	Executive team
AI Risk Manager	• Manage AI risk register • Conduct risk assessments • Monitor mitigations • Incident management	AI Compliance Officer
AI Technical Lead	• Technical implementation • System documentation • Testing en validation • Technical controls	CTO / Chief AI Officer
Data Governance Lead	• Data quality frameworks • Bias detection • Data lineage • Privacy compliance	CDO / DPO
Legal Counsel	• Contract reviews • Liability assessment • Regulatory interpretation • Litigation support	General Counsel

AI Governance Proces

1. Pre-Development: AI System Approval

Trigger: Voorstel voor nieuw AI-systeem of significante wijziging bestaand systeem

Process:

Submit AI System Proposal (template) inclusief business case
Initial risk classification door AI Risk Manager
If high-risk: Detailed impact assessment vereist
Review door AI Governance Committee
Approve / Reject / Conditional approval met mitigaties
Document decision en communiceer met stakeholders

2. Development: Compliance Check-ins

Design review: Architectuur, data sources, processing logic
Development checkpoints: Interim testing, documentation review
Pre-deployment gate: Final validation, conformity assessment

3. Deployment: Go-Live Approval

Complete technical documentation
User training completed
Monitoring en incident procedures in place
Sign-off van AI Governance Committee

4. Operations: Ongoing Monitoring

Real-time: Automated monitoring van performance metrics
Maandelijks: Review operational data, incident reports
Kwartaal: Formal compliance review, update risk assessment
Jaarlijks: Full audit, recertification waar vereist

5. Change Management

Material changes trigger re-assessment
Minor changes require documentation update
Version control voor alle AI system artifacts

8. Technische Implementatie

Logging & Monitoring Infrastructure

Wat moet er gelogd worden?

Input data: Characteristics (niet noodzakelijk volledige data)
Timestamp: Wanneer werd het systeem gebruikt?
Output/decision: Wat was de AI-gegenereerde output?
User information: Wie initieerde de request? (privacy-compliant)
Model version: Welke versie van het model werd gebruikt?
Confidence scores: Certainty van predictions
Human intervention: Override events, manual reviews
Errors en exceptions: Failures, timeouts, data quality issues

Retention & Access

Minimum retention: 6 maanden (kan langer zijn afhankelijk van sector)
Access controls: Wie mag logs inzien?
Auditability: Logs moeten onwijzigbaar zijn
Privacy: Pseudonimisatie waar mogelijk

Documentation Requirements

Technical Documentation Checklist

☐ System Description

Intended purpose en use cases
High-level architecture diagram
Integration met andere systemen

☐ Development Process

Development methodology
Tools en frameworks gebruikt
Version control approach

☐ Data Documentation

Training data sources en characteristics
Data preprocessing en transformations
Bias analysis en mitigation
Validation en test datasets

☐ Model Documentation

Model type en architecture
Training process en hyperparameters
Feature engineering
Model selection rationale

☐ Performance Metrics

Accuracy, precision, recall
Performance across subgroups
Known limitations en edge cases
Benchmark comparisons

☐ Risk Assessment

Identified risks en likelihood
Impact analysis
Mitigation measures implemented
Residual risk assessment

☐ Human Oversight

Oversight roles en procedures
Training requirements
Override capabilities
Escalation paths

☐ Instructions for Use

User manual voor end-users
Operating conditions
Troubleshooting guidance
Support contacts

Testing & Validation

Pre-Deployment Testing

Test Type	Purpose	Methods
Accuracy Testing	Verify model performance	• Held-out test set evaluation • Cross-validation • Benchmark against baselines
Bias Testing	Detect unfair treatment	• Demographic parity analysis • Equal opportunity metrics • Calibration across groups
Robustness Testing	Stress testing edge cases	• Out-of-distribution samples • Adversarial examples • Data quality degradation
Security Testing	Cyber resilience	• Adversarial attacks (FGSM, PGD) • Model extraction attempts • Input poisoning
Explainability Testing	Transparency verification	• Feature importance analysis • SHAP/LIME explanations • Counterfactual examples

Post-Market Monitoring

Monitoring Metrics

Performance drift: Is accuracy degrading over time?
Data drift: Verandert de input distributie?
Bias drift: Ontstaan er nieuwe fairness issues?
Usage patterns: Wordt het systeem gebruikt zoals bedoeld?
Human override rate: Hoe vaak grijpen mensen in?
Incidents: Errors, failures, complaints

Incident Response

⚠️ Serious Incident Rapportage

Binnen 15 dagen melden bij nationale toezichthouder:

Breach of EU law resulting from AI system
Death, serious health damage, serious property damage
Serious and irreversible disruption of critical infrastructure

9. Sectorspecifieke Gidsen

Financiële Dienstverlening

High-Risk Use Cases

Credit scoring: Loan approval, credit limits
Insurance underwriting: Premium calculation, policy approval
Fraud detection: Account freezing, transaction blocking
Investment advice: Robo-advisors, portfolio optimization
Risk assessment: AML/KYC screening

Sector-Specifieke Overwegingen

MiFID II: Suitability assessment voor investment advice
GDPR: Automated decision-making provisions (Article 22)
Equal Credit Opportunity: Bias in lending decisions
PSD2: Strong customer authentication requirements
Basel III/CRR: Model risk management

Best Practices

Implement "right to explanation" for credit decisions
Regular bias audits across demographic groups
Board oversight for model risk management
Independent model validation function
Stress testing under adverse scenarios

Gezondheidszorg

High-Risk Use Cases

Diagnostic support: Medical imaging analysis, disease prediction
Treatment recommendations: Clinical decision support systems
Triage systems: Emergency department prioritization
Drug discovery: Clinical trial patient selection
Care allocation: Resource prioritization, waiting lists

Sector-Specifieke Overwegingen

Medical Device Regulation (MDR): CE marking voor software als medisch hulpmiddel
GDPR + Health Data: Extra bescherming special category data
Clinical validation: Evidence-based medicine standaarden
Patient safety: Adverse event reporting
Professional liability: Doctor vs. AI responsibility

Best Practices

Clinical validation studies voor diagnostische AI
Physician-in-the-loop voor alle high-risk beslissingen
Transparent communication met patiënten over AI gebruik
Regular audit by medical professionals
Integration met electronic health records

HR & Recruitment

High-Risk Use Cases

Candidate screening: CV parsing, candidate ranking
Interview assessment: Video interview analysis, skills testing
Performance evaluation: Employee ratings, promotion decisions
Workforce planning: Layoff decisions, reorg planning
Compensation: Salary recommendations, bonus allocation

Sector-Specifieke Overwegingen

Anti-discrimination law: Protected characteristics (gender, age, ethnicity)
Works council: Co-determination rights over HR technology
GDPR Article 22: Right not to be subject to automated decision-making
Transparency: Candidates' right to know about AI screening

Best Practices

Human review voor alle hiring decisions
Regular bias audits across gender, age, ethnicity
Transparency over AI use in job postings
Candidate feedback mechanism
Works council involvement in AI procurement

E-commerce & Retail

Risk Classification

Minimal risk: Product recommendations, personalized marketing
Limited risk: Chatbots, virtual assistants
Potentially high-risk: Dynamic pricing affecting access to essential goods

Compliance Focus

Chatbots: Clear disclosure dat het een AI is
Personalization: GDPR consent voor profiling
Pricing algorithms: Avoid discriminatory pricing
Inventory management: Minimal risk, best practices aanbevolen

10. Juridische Aspecten

Aansprakelijkheid & Liability

Wie is aansprakelijk?

Rol	Aansprakelijkheid
AI Provider	• Niet-compliant systeem op markt brengen • Inadequate instructions for use • Failure to implement corrections • Non-reporting van serious incidents
AI Deployer (User)	• Use buiten intended purpose • Inadequate human oversight • Failure to monitor • Data quality issues (input data)
Importeur	• Non-compliant systemen importeren • Inadequate due diligence op provider
Distributeur	• Knowingly distribueren non-compliant systemen • Failure to verify compliance

Sancties

Tier 1: €35M of 7% omzet - Verboden AI toepassingen
Tier 2: €15M of 3% omzet - Verplichtingen voor high-risk AI
Tier 3: €7.5M of 1.5% omzet - Onjuiste informatie aan toezichthouders

Contractuele Aspecten

Provider-Deployer Contracts

Bij inkoop van AI-systemen, zorg voor duidelijke contractuele afspraken over:

Compliance Warranties

Provider warranteert EU AI Act compliance
Specific representations over risk classification
Commitment tot updates bij regulatory changes

Documentation

Provider levert volledige technische documentatie
Instructions for use
Regular updates over system changes

Monitoring & Reporting

Provider's obligations voor post-market monitoring
Incident notification procedures
Access tot logs en audit data

Liability Allocation

Indemnification voor non-compliance
Limitations on liability
Insurance requirements

Data Rights

Ownership van input/output data
Use van data voor model improvement
Data portability bij contract termination

Audit Rights

Deployer's right to audit
Third-party assessment toegang
Frequency en scope

Relatie met GDPR en NIS2

AI Act + GDPR Overlap

Automated decision-making (Article 22): GDPR verbiedt significant automated decisions zonder human involvement - AI Act vereist human oversight voor high-risk
Data protection impact assessment: Voor high-risk AI zowel DPIA (GDPR) als conformity assessment (AI Act)
Data quality: Beide vereisen accurate, up-to-date data
Transparency: Both require information to data subjects/users

AI Act + NIS2 Overlap

Cybersecurity: AI Act vereist robustness tegen adversarial attacks; NIS2 vereist algemene cybersecurity
Incident reporting: Beide hebben notification requirements (verschillende timelines)
Risk management: Integrated approach aanbevolen
Supply chain: Beide hebben eisen voor vendors/suppliers

Integrated Compliance Approach

Best practice: Manage AI Act, GDPR en NIS2 compliance in één geïntegreerd framework:

Shared governance committee
Unified risk register
Consolidated documentation
Joint audit cycles

Internationale Handel & Export

Extra-territoriale werking

De AI Act is van toepassing op:

AI-systemen geplaatst op EU-markt (ongeacht waar provider gevestigd is)
AI-systemen gebruikt in EU (ook als provider buiten EU)
Output van AI-systemen gebruikt in EU

Voor internationale organisaties

EU subsidiary: Designate als legal representative
Importeur relaties: Ensure importers understand their obligations
Global consistency: Consider applying EU AI Act globally
Data localization: Impact on training data en deployment

11. Templates & Checklists

Template 1: AI System Inventory

Field	Description
System Name	Unique identifier
Description	What does it do?
Business Owner	Who owns the business use case?
Technical Owner	Who manages the system technically?
Vendor/Provider	Internal or external provider?
Intended Purpose	Official documented purpose
Actual Use	How is it actually used?
Users	Who uses the system?
Affected Persons	Who is impacted by its outputs?
Decision Type	Fully automated / Human-in-loop / Advisory
Data Sources	What data feeds into the system?
Risk Category	Unacceptable / High / Limited / Minimal
Classification Rationale	Why this category?
Deployment Status	Development / Testing / Production
Deployment Date	When did it go live?
Users Count	How many people use it?
Decisions/Month	Volume of automated decisions

Template 2: High-Risk AI Compliance Checklist

☐ Risk Management System

☐ Risk identification process gedocumenteerd
☐ Risk register created en up-to-date
☐ Mitigation measures implemented
☐ Periodic risk reviews scheduled

☐ Data Governance

☐ Training data sources documented
☐ Data quality assessment uitgevoerd
☐ Bias analysis completed
☐ Data lineage tracked
☐ Privacy-preserving measures implemented

☐ Technical Documentation

☐ System description complete
☐ Architecture documented
☐ Development process documented
☐ Model specifications complete
☐ Performance metrics documented
☐ Limitations en known issues documented

☐ Logging & Traceability

☐ Logging infrastructure implemented
☐ Logs include required fields
☐ Retention policy defined (min 6 months)
☐ Access controls in place
☐ Privacy-compliant logging

☐ Transparency

☐ Instructions for use created
☐ Capabilities en limitations described
☐ User communication materials ready
☐ Technical specifications available

☐ Human Oversight

☐ Oversight roles defined
☐ Override capabilities implemented
☐ Training materials created
☐ Escalation procedures defined

☐ Accuracy, Robustness, Security

☐ Accuracy testing completed
☐ Robustness testing completed
☐ Security testing completed
☐ Performance benchmarks established

☐ Quality Management

☐ QMS documented
☐ Development procedures defined
☐ Testing procedures defined
☐ Change management process in place

☐ Conformity Assessment

☐ Assessment type determined
☐ Internal assessment completed (if applicable)
☐ Third-party assessment scheduled (if required)
☐ Declaration of Conformity prepared
☐ CE marking ready (if applicable)

☐ Post-Market Monitoring

☐ Monitoring plan defined
☐ Metrics en thresholds established
☐ Incident response procedures ready
☐ Reporting mechanisms in place

Template 3: AI Impact Assessment

Voor elk high-risk AI systeem:

Section 1: System Information

System name, version, date
Business purpose en use case
Stakeholders (users, affected persons)

Section 2: Risk Assessment

Risk Category	Specific Risks	Likelihood	Impact	Overall Risk
Fundamental Rights	Discrimination, privacy, dignity	H/M/L	H/M/L	H/M/L
Safety	Physical harm, property damage	H/M/L	H/M/L	H/M/L
Fairness	Bias, unequal treatment	H/M/L	H/M/L	H/M/L
Privacy	Data breaches, profiling	H/M/L	H/M/L	H/M/L
Accountability	Lack of oversight, no recourse	H/M/L	H/M/L	H/M/L

Section 3: Mitigation Measures

Voor elk identified risk:

Risk: Description
Mitigation: What measures are implemented?
Residual Risk: What risk remains?
Monitoring: How is mitigation effectiveness monitored?

Section 4: Conclusion

Overall risk assessment: Acceptable / Requires mitigation / Unacceptable
Approval decision: Approve / Conditional approval / Reject
Sign-off: Names, roles, dates

12. Resources & Next Steps

Regulatory Resources

Officiële Bronnen

EU AI Act (volledige tekst): Official Journal of the European Union, Regulation (EU) 2024/1689
European Commission AI Act Hub: digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
Nederlandse toezichthouder: Autoriteit Persoonsgegevens (AP) - autoriteitpersoonsgegevens.nl
AI Office (EU level): Commission's AI Office voor enforcement coördinatie

Standaarden & Guidelines

ISO/IEC 42001: AI Management System (verwacht 2025)
ISO/IEC 23894: Risk Management voor AI
CEN-CENELEC: Harmonized standards voor AI Act compliance
NIST AI Risk Management Framework: Practical guidance (US maar widely applicable)

Belangrijke Deadlines

Datum	Milestone
1 Augustus 2024	AI Act in werking getreden
2 Februari 2025	Verboden AI-praktijken van toepassing
2 Augustus 2025	Codes of practice voor general-purpose AI
2 Augustus 2026	High-risk AI verplichtingen volledig van toepassing
2 Augustus 2027	AI Act volledig van toepassing op alle categorieën

⚠️ Let op

Hoewel volledige compliance pas in 2026-2027 vereist is, is het sterk aanbevolen om nu al te beginnen met implementatie. Toezichthouders zullen verwachten dat organisaties concrete stappen hebben ondernomen richting compliance.

Budget Planning

Indicatieve Kosten voor AI Act Compliance

Categorie	Klein (1-3 AI systemen)	Middelgroot (4-10 systemen)	Groot (10+ systemen)
Initial Assessment	€15k - €30k	€30k - €75k	€75k - €200k
Gap Remediation	€50k - €150k	€150k - €500k	€500k - €2M
Technology & Tools	€20k - €50k	€50k - €150k	€150k - €500k
Training & Change	€10k - €25k	€25k - €75k	€75k - €200k
External Consulting	€25k - €75k	€75k - €250k	€250k - €1M
Ongoing Compliance	€30k - €75k/year	€75k - €200k/year	€200k - €750k/year

Deze cijfers zijn indicatief en afhankelijk van complexiteit, huidige maturity, en sector.

Next Steps: Actieplan

        Deze Week
        ☐ Share deze whitepaper met key stakeholders
☐ Schedule kick-off meeting AI Act taskforce
☐ Begin AI system inventory


        Deze Maand
        ☐ Complete AI system inventory
☐ Classify all systems (risk categories)
☐ Identify prohibited practices en stop immediately
☐ Implement transparency requirements (limited risk)
☐ Prioritize high-risk systems for gap analysis


        Dit Kwartaal
        ☐ Complete gap analysis voor top 3 high-risk systems
☐ Develop detailed implementation roadmap
☐ Secure budget en resources
☐ Begin governance framework implementation
☐ Review vendor contracts
☐ Start documentation efforts


        Dit Jaar
        ☐ Implement all requirements voor high-risk systems
☐ Complete conformity assessments
☐ Training programma uitgerold
☐ Post-market monitoring operationeel
☐ Ready voor audits en inspections

    

Hulp Nodig?

NeuroCluster AI Act Compliance Services

NeuroCluster helpt Nederlandse organisaties met end-to-end AI Act compliance:

Compliance Audit: Grondige assessment van al uw AI-systemen inclusief gap analysis en concrete roadmap (4-6 weken)
Implementation Support: Hands-on hulp met technical implementation, documentation, en governance (3-6 maanden)
Compliance Platform: Geautomatiseerde monitoring, documentation management, en reporting voor continue compliance
Training & Workshops: Op maat gemaakte training voor uw teams (technisch, compliance, management)
Ongoing Advisory: Retained advisory services voor regulatory updates en periodic reviews

Boek een Discovery Call

Bespreek uw specifieke situatie met onze AI compliance experts:

Email: [email protected]

Website: www.neurocluster.nl/ai-act

Telefoon: +31 (0)20 123 4567

Conclusie

De EU AI Act is een comprehensieve wetgeving die significante impact heeft op organisaties die AI ontwikkelen of inzetten. Hoewel de verplichtingen aanzienlijk zijn, biedt de wet ook een kans om robuuste, betrouwbare en ethische AI-systemen te bouwen die vertrouwen creëren bij gebruikers en klanten.

De sleutel tot succesvolle compliance is vroeg beginnen, systematisch werken, en continue monitoring. Met deze whitepaper heeft u een praktische roadmap om binnen 90 dagen significante vooruitgang te boeken richting volledige compliance.

Succes met uw AI Act compliance journey!

NeuroCluster B.V. | Europa's AI Infrastructure & Automation Company

[email protected] | www.neurocluster.nl

Disclaimer: Deze whitepaper is bedoeld voor informatieve doeleinden en vormt geen juridisch advies. Voor specifieke compliance vragen dient u juridisch advies in te winnen. NeuroCluster aanvaardt geen aansprakelijkheid voor beslissingen genomen op basis van deze informatie.

EU AI ActImplementatiegids 2025

Inhoudsopgave

1. Executive Summary

Kernpunten

Voor wie is deze gids?

Wat kunt u verwachten?

2. De EU AI Act Uitgelegd

Achtergrond en doelstellingen

Scope: Wat valt onder de AI Act?

Definitie AI-systeem

3. Risicocategorieën en Classificatie

Categorie 1: Unacceptable Risk (Verboden)

Categorie 2: High Risk

High-risk categorieën:

Categorie 3: Limited Risk (Transparantieverplichting)

Categorie 4: Minimal Risk (Geen verplichtingen)

4. Compliance Verplichtingen per Categorie

High-Risk AI Systemen: 10 Kernverplichtingen

1. Risk Management System

2. Data Governance

3. Technische Documentatie

4. Logging & Record-keeping

5. Transparantie en Informatieverstrekking

6. Human Oversight

7. Accuracy, Robustness & Cybersecurity

8. Quality Management System

9. Conformity Assessment

10. Post-Market Monitoring

Limited Risk Systemen: Transparantie Verplichtingen

5. Risk Assessment Framework

Stappenplan: Is mijn AI-systeem high-risk?

Stap 1: Identificeer alle AI-systemen

Template: AI Systeem Inventory

Stap 2: Classificeer per systeem

Decision Tree

Stap 3: Impact Assessment (voor high-risk systemen)

Stap 4: Gap Analysis

6. Implementatie Roadmap (30-60-90 Dagen)

Fase 1: Foundation (Dag 1-30)

Week 1-2: Assessment & Planning

Week 3-4: Quick Wins & High Priority Actions

Fase 2: Implementation (Dag 31-60)

Week 5-6: Governance & Documentation

Week 7-8: Technical Implementation

Fase 3: Optimization & Compliance (Dag 61-90)

Week 9-10: Testing & Validation

Week 11-12: Training & Rollout

7. Governance & Organisatie

AI Governance Structuur

Rollen en Verantwoordelijkheden

AI Governance Proces

1. Pre-Development: AI System Approval

2. Development: Compliance Check-ins

3. Deployment: Go-Live Approval

4. Operations: Ongoing Monitoring

5. Change Management

8. Technische Implementatie

Logging & Monitoring Infrastructure

Wat moet er gelogd worden?

Retention & Access

Documentation Requirements

Technical Documentation Checklist

Testing & Validation

Pre-Deployment Testing

Post-Market Monitoring

Monitoring Metrics

Incident Response

⚠️ Serious Incident Rapportage

9. Sectorspecifieke Gidsen

Financiële Dienstverlening

High-Risk Use Cases

Sector-Specifieke Overwegingen

Best Practices

Gezondheidszorg

High-Risk Use Cases

Sector-Specifieke Overwegingen

Best Practices

HR & Recruitment

High-Risk Use Cases

Sector-Specifieke Overwegingen

EU AI Act
Implementatiegids 2025