Als bestuurder bent u gewend om risico’s te managen: valuta, grondstoffenprijzen, personeelstekorten. Maar sinds augustus 2024 is er een financieel risico bijgekomen dat in veel bestuurskamers nog wordt onderschat: de Europese AI Act.

De gedachte "wij zijn een installatiebedrijf, geen tech-reus, dus dit waait wel over" is een gevaarlijke miscalculatie. De AI Act is geen vrijblijvend advies, maar dwingende wetgeving met een boeteregime dat de AVG (privacywet) doet verbleken. Bovendien reikt de impact verder dan een boete: het gaat over productaansprakelijkheid, gedwongen terugroepacties en stilgelegde bedrijfsprocessen.

In dit artikel leest u wat er financieel op het spel staat en waarom compliance met de AI Act directieverantwoordelijkheid is.

1. De Boetes: Een aanslag op de jaarwinst

De Europese Unie wil tanden laten zien. Waar de AVG-boetes maximaal 4% van de omzet bedragen, gaat de AI Act bijna naar het dubbele. De toezichthouders (in Nederland o.a. de Rijksinspectie Digitale Infrastructuur) kunnen de volgende sancties opleggen:

• Tot € 35 miljoen of 7% van de wereldwijde jaaromzet: Voor het gebruik van verboden AI-systemen.
• Voorbeeld: U gebruikt software op de werkvloer die emoties van werknemers scant, of een camerasysteem dat biometrische identificatie doet in een openbare ruimte.
• Tot € 15 miljoen of 3% van de wereldwijde jaaromzet: Voor overtredingen bij hoog-risico AI-systemen.
• Voorbeeld: U gebruikt AI voor werving en selectie (HR) of installeert een slimme machine met veiligheidscomponenten, maar u heeft de datakwaliteit, het menselijk toezicht of de registratie niet op orde.
• Tot € 7,5 miljoen of 1,5% van de wereldwijde jaaromzet: Voor onjuiste informatieverstrekking aan toezichthouders.

Let op: Het is altijd het bedrag dat hoger is. Voor een mkb-bedrijf kan 15 miljoen euro faillissement betekenen.

2. Ketenverantwoordelijkheid: De valkuil voor de installateur

U bouwt de software niet zelf, dus u bent veilig? Fout. De AI Act kent een strikte ketenverantwoordelijkheid.

1. De 'Importeur'-val: Koopt u slimme camera’s, thermostaten of robots in buiten de EU (bijv. China of de VS) en brengt u die hier op de markt onder uw eigen naam of als onderdeel van een installatie? Dan wordt u juridisch gezien als de fabrikant. Alle plichten (en boetes) verschuiven van de Chinese fabriek naar uw BV.
2. De 'Deployer'-verantwoordelijkheid: Als gebruiker (deployer) van hoog-risico AI bent u verantwoordelijk voor het correcte gebruik. Als u een AI-systeem inzet zonder de instructies van de leverancier te volgen, of zonder menselijk toezicht te organiseren, bent u aansprakelijk bij incidenten.

3. Financiële risico’s buiten de boetes

De bestuurlijke nachtmerrie zit vaak niet eens in de boete van de overheid, maar in de civiele en operationele gevolgen.

Productaansprakelijkheid en Schadeclaims

Als een door u geïnstalleerd AI-systeem faalt, kloppen uw klanten bij u aan.

• Scenario: Een slim gebouwbeheersysteem (GBS) met AI schakelt door een fout de koeling van een serverruimte uit. De schade is enorm. Als blijkt dat u de AI Act-verplichtingen (zoals updates en monitoring) heeft verzaakt, staat u juridisch zeer zwak. Verzekeraars keren bij wettelijke nalatigheid vaak niet uit.

Gedwongen 'Recall' en Stopzetting

De toezichthouder heeft de bevoegdheid om producten van de markt te halen.

• Scenario: U heeft bij 200 klanten slimme toegangspoortjes geïnstalleerd. De software blijkt niet te voldoen aan de eisen. U krijgt het bevel om de systemen per direct uit te schakelen of te vervangen. De kosten voor deze operatie (arbeidsuren, nieuwe hardware, schadevergoeding klanten) komen direct ten laste van uw resultaat.

Bestuurdersaansprakelijkheid

Het negeren van wetgeving kan worden uitgelegd als onbehoorlijk bestuur. Als uw bedrijf failliet gaat of zware schade lijdt door een voorzienbaar risico dat u als directie heeft genegeerd, kunt u in extreme gevallen persoonlijk aansprakelijk worden gesteld.

4. "Dit raakt ons niet" (De blinde vlekken)

Veel directies denken onterecht dat ze geen hoog-risico AI in huis hebben. Waar zitten de verborgen risico’s?

• HR & Recruitment: Gebruikt uw HR-afdeling software om CV’s te scannen of kandidaten te beoordelen? Dit is bijna altijd Hoog Risico.
• Safety Components: Installeert u liften, machines of robots? Als de beveiliging (noodstop, detectie) leunt op AI, valt dit onder de zwaarste regels.
• Kredietwaardigheid: Checkt u automatisch de kredietwaardigheid van klanten via een slim algoritme? Ook dit kan onder de AI Act vallen.

5. Wat moet de directie VANDAAG doen?

Wachten tot de inspectie komt, is geen strategie. Om de financiële risico’s af te dekken, moet u nu sturen op drie pijlers:

1. Governance & Inventarisatie (De '0-meting') Geef uw IT-manager of inkoopmanager de opdracht: "Ik wil binnen 2 weken een lijst van alle systemen met AI-functionaliteit die wij gebruiken of verkopen, inclusief risicoclassificatie." Zonder deze lijst stuurt u blind.

2. Due Diligence bij Inkoop Pas uw inkoopvoorwaarden aan.

• Eis garanties van leveranciers dat hun software AI Act-compliant is.
• Eis vrijwaring (indemnification) voor boetes en schade als hún software niet voldoet.
• Vraag bij hardware-import (China/VS) om de volledige technische documentatie. Geen documentatie = niet inkopen.

3. Menselijk Toezicht Organiseren Zorg dat er in uw processen altijd een 'Human in the Loop' is bij kritieke beslissingen. Dit is vaak uw juridische reddingsboei. Als de computer een besluit voorbereidt, maar de mens drukt op de knop, verlaagt u het risico aanzienlijk.

Conclusie

De AI Act is geen IT-feestje, maar een compliance-vraagstuk met directe impact op uw balans. De boetes zijn ontworpen om pijn te doen, en de aansprakelijkheid is ontworpen om door de hele keten heen te slaan.

Het advies is simpel: Behandel AI-software net zo serieus als uw financiële administratie of uw fysieke veiligheidsbeleid. Wie nu zijn processen op orde brengt, voorkomt niet alleen boetes, maar bouwt ook een concurrentievoordeel op als betrouwbare partner in een markt die steeds strenger wordt gereguleerd.