ISMS Copilot
Compliance Strategie

EU AI Act: Uitleg over transparantieverplichtingen

Overzicht van de transparantieverplichtingen uit de EU AI Act: openbaarmakingsregels voor chatbots en AI-inhoud, documentatiestandaarden, deadlines en boetes.

door ISMS Copilot Team··13 min read
EU AI Act: Uitleg over transparantieverplichtingen

EU AI Act: Uitleg over transparantieverplichtingen

De EU AI Act is het eerste wettelijke kader ter wereld voor de regulering van kunstmatige intelligentie, met een sterke focus op transparantie. Het introduceert strenge eisen voor hoogrisicosystemen voor AI, met nadruk op traceerbaarheid, uitlegbaarheid en bewustzijn bij gebruikers. Dit is wat je moet weten:

  • Belangrijkste transparantieverplichtingen:

    • Hoogrisicosystemen voor AI moeten duidelijke documentatie verstrekken, waaronder het doel van het systeem, prestatiemetrieken, beperkingen en operationele details.
    • Gebruikers moeten worden geïnformeerd wanneer ze interageren met AI-systemen (bijv. chatbots, spraakassistenten).
    • AI gegenereerde inhoud, zoals deepfakes, moet zichtbare openbaarmaking of metadata bevatten.
  • Boetes bij niet-naleving:

    • Boetes tot €38 miljoen of 7% van de wereldwijde jaaromzet voor hoogrisicosystemen.
    • Voor algemene AI-systemen kunnen boetes oplopen tot €7,5 miljoen of 1% van de wereldwijde omzet.
  • Tijdschema:

    • De meeste bepalingen treden in werking op 2 augustus 2026.
  • Documentatiestandaarden:

    • Aanbieders moeten gelaagde documentatie onderhouden (bijv. systeemniveau-informatie, uitleg van beslissingen) en gedetailleerde technische bestanden.

De wet heeft als doel risico's zoals automatische vooringenomenheid en misbruik te verminderen, terwijl verantwoordelijkheid voor ontwikkelaars en inzetters van AI wordt gewaarborgd. Vaak is hiervoor een EU AI Act Copilot nodig om aan de complexe eisen te voldoen. Naleving is geen optie – het is noodzakelijk om boetes te voorkomen en vertrouwen in AI-systemen op te bouwen.

::: @figure EU AI Act Transparantieverplichtingen: Overzicht naleving hoogrisico vs algemene AI-systemen{EU AI Act Transparantieverplichtingen: Overzicht naleving hoogrisico vs algemene AI-systemen} :::

Brando Benifei over het balanceren van transparantie, IP en handhaving in de EU AI Act | RegulatingAI Podcast

::: @iframe https://www.youtube.com/embed/f62JIPXT8Cs :::

Transparantieverplichtingen voor hoogrisicosystemen voor AI (Artikel 13)

Artikel 13 van de EU AI Act beschrijft specifieke transparantieverplichtingen voor aanbieders van hoogrisicosystemen voor AI. Deze eisen hebben als doel ervoor te zorgen dat dergelijke systemen zo worden ontworpen dat inzetters de outputs kunnen interpreteren en deze verantwoord kunnen gebruiken. Hoewel aanbieders geen eigen code hoeven te delen, moeten ze wel belangrijke operationele details en uitleg over systeembeperkingen verstrekken.

Informatieverplichtingen voor gebruikers

Hoogrisicosystemen voor AI moeten worden geleverd met duidelijke, toegankelijke instructies die gemakkelijk te begrijpen en digitaal beschikbaar zijn. Deze instructies moeten het volgende bevatten:

  • Aanbiedersinformatie: De identiteit en contactgegevens van de aanbieder.
  • Doel: Een duidelijke uitleg van het beoogde gebruik van het systeem.
  • Prestatiegegevens: Informatie over prestatiemetrieken, robuustheidsmaatregelen en geteste cyberbeveiligingsnormen.
  • Bekende beperkingen en risico's: Een bespreking van potentiële risico's, waaronder die met betrekking tot gezondheid, veiligheid of fundamentele rechten, evenals risico's door voorzienbaar misbruik.
  • Operationele specificaties: Details over vereisten voor invoergegevens, protocollen voor menselijke toezicht, rekenkundige behoeften, levensduur van het systeem en onderhoudsschema's.
  • Traceerbaarheidstools: Mechanismen voor het loggen, opslaan en interpreteren van systeemgegevens om verantwoordelijkheid te waarborgen.

Naast gebruikersinstructies moeten aanbieders zich houden aan strenge documentatiepraktijken om te voldoen aan de transparantienormen van de EU AI Act.

Documentatiestandaarden

De EU AI Act schrijft geen specifiek formaat voor voor documentatie voor, maar benadrukt een gelaagde aanpak om tegemoet te komen aan de behoeften van verschillende belanghebbenden:

  • Documentatie op systeemniveau: Dekt het algemene gedrag van het systeem, het beoogde doel en bekende faalmodi.
  • Uitleg op beslissingsniveau: Richt zich op de factoren die individuele resultaten beïnvloeden en de bijbehorende betrouwbaarheidsniveaus.
  • Technische documentatie: Biedt gedetailleerde inzichten in de architectuur van het model en validatieprocessen.

Het doel is om uitleg te bieden die is afgestemd op de behoeften van verschillende gebruikers. Tools zoals SHAP of LIME kunnen bijvoorbeeld lokale inzichten bieden voor complexe modellen. De diepgang van de uitleg zal variëren afhankelijk van de belanghebbende – wat een medisch professional moet weten over een diagnostisch hulpmiddel kan aanzienlijk verschillen van wat een consument moet begrijpen over een kredietwaardigheidsscore.

Deze gelaagde documentatieaanpak is cruciaal voor het waarborgen van transparantie in hoogrisico-toepassingen van AI.

Voorbeelden van hoogrisico-toepassingen van AI

Hier is hoe deze transparantieverplichtingen in de praktijk werken:

  • AI in HR/Werving: Systemen die worden gebruikt voor CV-screening of het scoren van sollicitatiegesprekken moeten documentatie verstrekken die uitlegt hoe kandidatenranglijsten worden bepaald, hoe het systeem presteert over diverse groepen sollicitanten en de maatregelen om vooringenomenheid te voorkomen.
  • Diagnostische hulpmiddelen in de gezondheidszorg: Ziekenhuizen die AI gebruiken voor diagnostiek hebben informatie nodig over de nauwkeurigheid van het hulpmiddel over verschillende patiëntengroepen, de soorten medische beeldvorming waar het op is getraind, situaties die menselijke beoordeling vereisen en hoe betrouwbaarheidsscores moeten worden geïnterpreteerd.

Bijvoorbeeld: een ziekenhuis dat een AI-diagnostisch hulpmiddel inzet, moet de nauwkeurigheid van het systeem over verschillende patiëntengroepen begrijpen en richtlijnen ontvangen over wanneer menselijke tussenkomst noodzakelijk is. Op dezelfde manier moet een organisatie die AI gebruikt voor wervingsbeslissingen in staat zijn om de eerlijkheid en effectiviteit van het systeem over diverse sollicitantengroepen te beoordelen, terwijl wordt voldaan aan antidiscriminatienormen.

Algemene transparantieverplichtingen voor AI-systemen (Artikel 50)

Artikel 50 beschrijft transparantieverplichtingen die van toepassing zijn op een breed scala aan AI-systemen, verder dan alleen hoogrisico-toepassingen. Deze regels hebben betrekking op AI-systemen die interageren met mensen, inhoud genereren of emotieherkenning uitvoeren. Vanaf 2 augustus 2026 kan niet-naleving leiden tot boetes tot €7,5 miljoen of 1% van de wereldwijde jaaromzet, afhankelijk van wat hoger is [8].

Recital 27 van de EU AI Act definieert transparantie als volgt:

"Transparantie betekent dat AI-systemen op een zodanige manier worden ontwikkeld en gebruikt dat ze passende traceerbaarheid en uitlegbaarheid mogelijk maken, terwijl mensen ervan bewust worden gemaakt dat ze communiceren of interageren met een AI-systeem, evenals het tijdig informeren van inzetters over de mogelijkheden en beperkingen van dat AI-systeem en van de betrokken personen over hun rechten." [1]

Openbaarmaking van AI-interacties

Telkens wanneer een AI-systeem direct met gebruikers communiceert – zoals chatbots, spraakassistenten of klantenservicetools – moeten gebruikers worden geïnformeerd dat ze met AI interageren. Deze openbaarmaking moet uiterlijk bij de eerste interactie plaatsvinden en moet duidelijk en toegankelijk zijn [4][10]. Er is een uitzondering voor gevallen waarin het "duidelijk is uit de omstandigheden" dat de interactie met AI plaatsvindt, maar dit is een smalle uitzondering. Zo adviseert Abhishek G Sharma, oprichter & CEO van Move78 International Limited:

"De uitzondering [voor duidelijke AI] is smal... Mijn aanbeveling: openbaarmaking toch doorvoeren. De kosten van een klein bericht zijn nihil. De kosten van een verkeerde inschatting van 'duidelijk' zijn tot €7,5 miljoen." [8]

Voor beste praktijken kun je een tweelagenbenadering hanteren: voeg een permanent visueel indicatie toe (zoals een "AI-assistent"-badge) en geef een expliciete melding tijdens de eerste interactie. Vermijd het verstoppen van deze informatie in de Algemene Voorwaarden – dit voldoet niet aan de eis van "duidelijk en onderscheidbaar" [9]. Zorg er ook voor dat je voldoet aan de EU-toegankelijkheidsnormen om deze openbaarmaking voor iedereen begrijpelijk te maken.

Openbaarmaking van AI gegenereerde inhoud

Als jouw AI-systeem audio, afbeeldingen, video of tekst genereert, moet het machinaal leesbare metadata bevatten met behulp van normen zoals XMP, IPTC of cryptografische oorsprongsystemen zoals C2PA [8]. Voor deepfakes is duidelijke labeling als kunstmatig gegenereerd verplicht op het moment van publicatie [7].

Een opvallend voorbeeld van waarom dit cruciaal is, vond plaats in februari 2026, toen de Duitse publieke omroep ZDF's "heute journal" een AI gegenereerde video uitzond waarin ICE-agenten een vrouw en kinderen aanhielden. De video werd gebruikt om een Amerikaans immigratierapport te illustreren, wat het belang van duidelijke visuele markeringnormen benadrukt [12].

Voor tekst met betrekking tot onderwerpen van openbaar belang moet AI-betrokkenheid worden openbaar gemaakt, tenzij de inhoud grondig door mensen is beoordeeld met gedocumenteerde redactieprocedures. Een eenvoudige of oppervlakkige beoordeling kwalificeert niet voor deze vrijstelling [12].

Type AI-inhoudVerantwoordelijke partijVereiste actie
Synthetische audio/afbeelding/video/tekstAanbiederMachinaal leesbare markering (metadata/watermerken)
DeepfakesInzetterZichtbare openbaarmaking bij publicatie
Tekst met openbaar belangInzetterOpenbaarmaking van AI-generatie (tenzij bewerkt door mens)
Chatbots/spraakassistentenAanbiederOntwerp systeem om gebruikers te informeren over AI-interactie

Er zijn enkele uitzonderingen. Zo hoeft AI dat assistieve functies uitvoert, zoals spellingscontrole, niet te worden gelabeld. Ook artistieke of satirische werken kunnen meer flexibiliteit hebben, hoewel de aanwezigheid van AI gegenereerde inhoud nog steeds moet worden openbaar gemaakt op een manier die de gebruikerservaring niet verstoort [7].

Om te voldoen aan de transparantieverplichtingen, kun je het beste een gelaagde markeringstrategie toepassen. Dit kan onder meer digitaal ondertekende metadata, onzichtbare watermerken en gedetailleerde systeemlogboeken omvatten [11][12]. Zorg er bovendien voor dat je contentpijplijnen de oorsprongsmetadata van AI behouden in plaats van deze te verwijderen. Het bijhouden van een transparantieregister waarin wordt gedocumenteerd hoe en wanneer openbaarmakingsmechanismen worden gebruikt, kan dienen als een cruciale waarborg als toezichthouders een onderzoek instellen. Dit proces kan worden gestroomlijnd met behulp van een AI-compliancebeleidassistent [8]. Deze maatregelen dragen gezamenlijk bij aan transparantie, zodat gebruikers geïnformeerd blijven over AI-interacties en -outputs.

Hoe voldoe je aan de transparantieverplichtingen

Het voldoen aan de EU AI Act-nalevingseisen voor transparantie gaat verder dan alleen het afvinken van vakjes. Organisaties moeten hun systemen evalueren, grondige documentatie opstellen en bewijs onderhouden dat bestand is tegen toezicht door regelgevers. Deze stappen waarborgen verantwoordelijkheid gedurende de hele levenscyclus van het AI-systeem. Met de handhaving van de eisen voor hoogrisicosystemen die ingaan op 2 augustus 2026 en boetes die kunnen oplopen tot €35 miljoen of 7% van de wereldwijde jaaromzet voor ernstige overtredingen [5], is naleving geen optie – het is essentieel.

Transparantiebeoordelingen uitvoeren

Begin met het identificeren van je belanghebbenden – dit omvat eindgebruikers, systeemoperators, auditors en ontwikkelaars – en zorg ervoor dat je AI-systemen het vereiste niveau van transparantie bieden voor elke groep [6]. Bijvoorbeeld: terwijl een arts die diagnostische AI gebruikt, gedetailleerde technische uitleg nodig heeft, heeft een bankmedewerker die leningaanvragen beoordeelt misschien minder complexe inzichten nodig. Voor geavanceerde modellen kun je tools zoals SHAP of LIME overwegen om uit te leggen hoe specifieke beslissingen worden genomen in plaats van alleen de resultaten te presenteren [6].

Voordat je hoogrisicosystemen voor AI inzet, voltooi een Fundamental Rights Impact Assessment (FRIA) [3]. Dit proces identificeert potentiële effecten op fundamentele rechten en documenteert de stappen die nodig zijn om risico's te mitigeren. Bewaar bovendien automatisch gegenereerde logboeken gedurende ten minste zes maanden om traceerbaarheid te waarborgen [3].

Zodra je beoordelingen bevestigen dat je systeem voldoet aan de transparantienormen, richt je je op het creëren en onderhouden van wendbare documentatie.

Documentatie creëren en bijwerken

Volgens Artikel 11 en Bijlage IV van de EU AI Act moet je een Technisch Bestand onderhouden dat naleving met alle verplichtingen aantoont [13]. Dit is geen eenmalige taak – je documentatie moet meebewegen met je systeem. Door een continu bijgewerkt documentatieproces te hanteren, zorg je ervoor dat je records actueel blijven naarmate je AI-systeem verandert.

Sjablonen zoals Model Cards of AI FactSheets kunnen je helpen consistente, uitgebreide documentatie te creëren [6]. Deze moeten onder meer details bevatten zoals de identiteit van de aanbieder, systeemkenmerken, bekende beperkingen, specificaties voor invoergegevens, maatregelen voor menselijk toezicht en onderhoudsvereisten [2].

Om je documentatie afgestemd te houden op systeemupdates, implementeer je een geautomatiseerde pijplijn die records bijwerkt met elke modelhertraining. Voor AI gegenereerde inhoud gebruik je machinaal leesbare labels volgens normen zoals XMP, IPTC of C2PA. Bewaar bovendien een "Bewijskluis" om onveranderlijke audittrails op te slaan [13].

Gebruik van ISMS Copilot voor naleving

Overweeg tools zoals ISMS Copilot om je nalevingsefforts te vereenvoudigen. Dit platform biedt AI-gestuurde ondersteuning die is afgestemd op transparantieverplichtingen. Het dekt de EU AI Act en meer dan 50 andere kaders, wat het vooral nuttig maakt voor organisaties die meerdere nalevingsbehoeften combineren.

Door je AI-documentatie te uploaden (PDF-, DOCX- of XLS-bestanden tot 5MB) kan ISMS Copilot hiaten identificeren en geprioriteerde verbeterplannen maken om ontbrekende elementen in je transparantieverslagen aan te pakken [14]. Voor gerichtere resultaten kun je specifieke verwijzingen in je prompts opnemen, zoals "Artikel 13 instructies voor gebruik" of "Artikel 50 transparantieregels".

Bij het opstellen van openbaarmakings tekst voor AI gegenereerde inhoud of interacties kan ISMS Copilot tekst genereren die aansluit bij de EU AI Act op basis van je gebruiksscenario. Het platform stelt je in staat om prompts aan te passen door details zoals het risiconiveau van je AI-systeem, het inzetmodel en het doel op te nemen, zodat de documentatie aansluit bij je specifieke behoeften.

Daarnaast stelt de werkruimtefunctionaliteit van ISMS Copilot je in staat om EU AI Act-projecten apart te beheren van andere nalevingskaders. Dit is vooral handig voor consultants die met meerdere klanten werken. Het gratis abonnement biedt 10 documentuploads per maand, terwijl het Plus-abonnement (€24/maand) deze limiet verhoogt [14].

Conclusie

Transparantie is de hoeksteen van vertrouwen en verantwoordelijkheid in AI-technologieën. Zoals Recital 27 van de wet uitlegt:

"Transparantie betekent dat AI-systemen op een zodanige manier worden ontwikkeld en gebruikt dat ze passende traceerbaarheid en uitlegbaarheid mogelijk maken, terwijl mensen ervan bewust worden gemaakt dat ze communiceren of interageren met een AI-systeem" [1].

Dit kernidee beïnvloedt alles – of het nu gaat om het documenteren van de beperkingen van hoogrisicosystemen of ervoor zorgen dat chatbots duidelijk hun AI-identiteit onthullen.

In dit artikel hebben we gezien hoe transparantieverplichtingen kritieke uitdagingen aanpakken. Ze helpen automatische vooringenomenheid tegen te gaan, geven gebruikers de tools om AI-gestuurde beslissingen te begrijpen en zorgen ervoor dat deze systemen binnen hun beoogde scope blijven [3].

Voor organisaties is transparantie geen vakje dat je kunt afvinken – het moet in elke laag van hun AI-systemen worden verweven. Zoals Sacha Wilson en Jacky Lai van Harbottle & Lewis het verwoorden:

"De koers is onmiskenbaar: de wet positioneert transparantie als een kernprincipe, wat invloed zal hebben op ontwerpkeuzes, gebruikersinterfaces en governanceprocessen" [3].

Door transparantie in hun processen te verweven – door middel van duidelijke documentatie, betekenisvolle openbaarmakingen en sterke menselijk toezicht – kunnen bedrijven voldoen aan de verwachtingen van regelgevers, terwijl ze hun positie op de EU-markt behouden.

Bovendien is grondige documentatie niet alleen een bescherming tegen boetes; het bouwt ook vertrouwen op. Jasper Claes van Unorma benadrukt:

"Gedocumenteerde nalevingsinspanning is een formele verzachtende factor onder de wet" [13].

Veelgestelde vragen

::: faq

Hoe weet ik of mijn AI-systeem "hoogrisico" is onder de EU AI Act?

Om te bepalen of je AI-systeem als "hoogrisico" wordt aangemerkt onder de EU AI Act, onderzoek je of het functioneert in sectoren zoals kritieke infrastructuur, biometrische identificatie of onderwijs. Je moet ook de potentiële schade evalueren. Hoogrisicosystemen zijn beschreven in Bijlage III en Artikelen 9–15 van de wet, met nalevingsdeadlines op 2 augustus 2026. :::

::: faq

Wat telt als een conforme AI-openbaarmaking voor chatbots en spraakassistenten?

Een conforme AI-openbaarmaking, zoals vereist door de EU AI Act, zorgt ervoor dat gebruikers duidelijk worden geïnformeerd wanneer ze interageren met een AI-systeem. Dit omvat het verstrekken van eenvoudige details over wat het systeem kan en niet kan, zodat gebruikers de mogelijkheden en beperkingen ervan begrijpen.

Transparantie is ook essentieel. De openbaarmaking moet uitleggen hoe het AI-systeem beslissingen neemt, met inzicht in de processen. Bovendien moet elke door AI gegenereerde inhoud duidelijk worden gelabeld in een machinaal leesbaar formaat, om identificatie en verantwoordelijkheid te waarborgen. :::

::: faq

Moet ik AI gegenereerde tekst labelen als een mens het heeft bewerkt?

Zelfs als AI gegenereerde inhoud later wordt bewerkt door een mens, moet deze nog steeds worden gelabeld als AI gegenereerd volgens de EU AI Act. De wet schrijft voor dat gebruikers worden geïnformeerd wanneer inhoud afkomstig is van of is gewijzigd door AI. Deze eis geldt ongeacht enige menselijke betrokkenheid bij het verfijnen of wijzigen van de inhoud. Het doel is transparantie te waarborgen, vooral voor hoogrisicosystemen voor AI. ::

Gerelateerde artikelen