EU AI Act Compliance Checklist & Veelgestelde Vragen

Als u een General Purpose AI model *traint* en op de markt brengt (zoals OpenAI doet), bent u een Provider met enorme verplichtingen. Voor de meeste enterprises geldt dat als zij een bestaand open-source model of gesloten model nemen en deze configureren of finetunen voor intern procesbeheer (bijv. cv-screening of klantenservice), zij de rol van Implementeerder (Deployer) hebben.

Bijlage III van de EU AI Act somt expliciete gebruiksscenario's op: onderwijs (scoren van studenten), werkgelegenheid (werving/filtering van CV's), kritieke infrastructuur (energie, water), kredietwaardigheidsbeoordeling, en biometrische identificatie. Als uw AI hierbinnen valt, bent u zwaar gereguleerd.

Nee. Voor Hoog-Risico systemen vereist de AI Act dat u een Quality Management System (QMS) bijhoudt, onveranderlijke (immutable) technische logs bezit en robuuste cybersecurity aantoont—allemaal onmogelijk om waterdicht te garanderen over een black-box SaaS-API buiten uw controle.

Voordat u een Hoog-Risico AI-systeem live zet, moet u (meestal via zelfbeoordeling, tenzij bij biometrie) aantonen dat het systeem voldoet aan de richtlijnen (datakwaliteit, transparantie, HITL, logging) en het voorzien van een CE-markering. U moet complete 'Technisch Documentatie' aan de autoriteiten kunnen overleggen indien gevraagd.

[Artikel 14](https://artificialintelligenceact.eu/article/14/) verplicht dat 'High-Risk' AI overzien kan worden door natuurlijke personen. Dit betekent dat de technische infrastructuur de capaciteiten moet bezitten om de AI asynchroon te pauzeren en de actie over te laten aan een mens, een 'stopknop' moet bezitten, en cryptografisch moet vastleggen dat menselijk toezicht plaatsvond.

De financiële en imagobeperkingen zijn zwaar. Het gebruik van absoluut verboden AI (zoals social scoring of manipulatie) kan boetes opleveren tot €35 miljoen of 7% van de wereldwijde jaaromzet. Het niet voldoen aan datakwaliteit en transparantie-eisen voor Hoog-Risico AI resulteert in boetes tot €15 miljoen of 3% van de omzet.

De tekst van de wet biedt uitzonderingen voor General Purpose AI modellen vrijgegeven onder open licenties, tenzij deze een zeer hoog systeemrisico vormen. Echter, zodra u als enterprise een open-weight model neemt (zoals Llama 3) en het implementeert in een *Hoog-Risico Use Case*, dragen jullie als Deployer de totale governance- en logging-verantwoordelijkheid.

Standaard MLOps meet CPU-pieken en server-latency. De EU AI Act vereist dat u 'Besluitvorming' logt. Waarom werd document X RAG-gewijs gebruikt boven Y? Welke agent nam de actie? Dit vereist specifieke AI Governance Orchestrators (LLMOps) zoals NeuroCluster om deterministische auditing mogelijk te maken.

Hoofdstuk V mandateert nationale sandboxes waar enterprises AI kunnen piloten zonder direct vervolgd te worden bij een administratieve fout. Technisch betekent dit: begin uw ontwikkeling in een fysiek gescheiden, soevereine tenant met een infrastructuur (zoals NeuroCluster) die al transparantie- en loggingmechanismen aan boord heeft.

Ja, de AI Act combineert zich met de AVG (GDPR). AWS/Azure garanderen Data Residency (fysiek), maar geenszins Data Soevereiniteit (jurisdictie). Via de US CLOUD Act eisen de VS extraterritoriaal toegang. Bedrijven stappen massaal over naar échte soevereine AI-hosting voor hun meest kritieke agents.