Boetes van de AI-verordening: Wat non-compliance u kost
Inleiding
De EU AI-verordening (Verordening (EU) 2024/1689) introduceert een van de strengste handhavingsregimes in de geschiedenis van Europese technologieregulering. Met maximale boetes tot 35 miljoen euro of 7% van de wereldwijde jaaromzet overtreft het boeteplafond zelfs dat van de AVG. Voor organisaties die AI-systemen ontwikkelen of gebruiken, is het begrijpen van het boeteregime essentieel voor een gedegen risicobeoordeling.
Dit artikel biedt een volledig overzicht van de boetestructuur, de factoren die de hoogte van boetes beinvloeden, en concrete strategieen om handhavingsrisico's te beperken.
De boetestructuur: drie niveaus
De AI-verordening hanteert een gelaagd boetesysteem met drie niveaus, vastgelegd in Artikel 99:
Niveau 1: Ernstigste overtredingen - tot 35 miljoen euro of 7% omzet
De hoogste boetes gelden voor overtredingen van de verboden AI-praktijken (Artikel 5):
| Overtreding | Maximale boete |
|---|---|
| Gebruik van verboden AI-systemen (manipulatie, social scoring, verboden biometrie) | 35 miljoen euro of 7% van de wereldwijde jaaromzet |
| Niet-naleving van data governance-vereisten voor hoog-risico AI (Artikel 10) | 35 miljoen euro of 7% van de wereldwijde jaaromzet |
Concreet voorbeeld: Een bedrijf met een wereldwijde jaaromzet van 500 miljoen euro dat een verboden AI-systeem voor social scoring inzet, riskeert een boete van maximaal 35 miljoen euro (7% x 500 miljoen = 35 miljoen, met een maximum van 35 miljoen euro).
Niveau 2: Overige niet-naleving - tot 15 miljoen euro of 3% omzet
Dit niveau betreft de niet-naleving van de meeste overige verplichtingen van de verordening:
| Overtreding | Maximale boete |
|---|---|
| Niet voldoen aan eisen voor hoog-risico AI-systemen (Artikelen 8-15) | 15 miljoen euro of 3% van de wereldwijde jaaromzet |
| Niet voldoen aan transparantieverplichtingen (Artikel 50) | 15 miljoen euro of 3% van de wereldwijde jaaromzet |
| Niet voldoen aan verplichtingen voor aanbieders van AI-modellen voor algemene doeleinden (Titel V) | 15 miljoen euro of 3% van de wereldwijde jaaromzet |
| Niet registreren van hoog-risico AI-systemen in de EU-databank (Artikel 49) | 15 miljoen euro of 3% van de wereldwijde jaaromzet |
Concreet voorbeeld: Een FinTech-bedrijf met 200 miljoen euro omzet dat een hoog-risico kredietscoringsysteem zonder adequate technische documentatie (Artikel 11) of menselijk toezicht (Artikel 14) inzet, riskeert een boete tot 6 miljoen euro (3% x 200 miljoen).
Niveau 3: Onjuiste informatie - tot 7,5 miljoen euro of 1% omzet
Het laagste boetenniveau geldt voor het verstrekken van onjuiste of misleidende informatie:
| Overtreding | Maximale boete |
|---|---|
| Verstrekken van onjuiste, onvolledige of misleidende informatie aan toezichthouders of aangemelde instanties | 7,5 miljoen euro of 1% van de wereldwijde jaaromzet |
Aangepaste boetes voor het MKB en startups
De AI-verordening voorziet in lagere boeteplafonds voor het midden- en kleinbedrijf en startups (Artikel 99, lid 6). De lagere van de twee bedragen (vast bedrag of percentage) is van toepassing. Dit biedt enige bescherming, maar ook voor kleinere organisaties blijven de potentiele boetes aanzienlijk.
Hoe boetes worden berekend
Bij het bepalen van de hoogte van een boete houden toezichthouders rekening met diverse factoren (Artikel 99, lid 7):
Verzwarende factoren
- Ernst en duur van de overtreding
- Opzet of nalatigheid: Opzettelijke overtredingen worden zwaarder bestraft
- Omvang van de getroffen personen: Hoeveel mensen zijn geraakt door de overtreding?
- Schade: Welke materiele of immateriele schade is veroorzaakt?
- Eerder verwijtbaar gedrag: Recidive leidt tot hogere boetes
- Niet-medewerking met toezichthouders tijdens het onderzoek
Verzachtende factoren
- Corrigerende maatregelen: Snelle actie om de overtreding te verhelpen
- Proactieve samenwerking met toezichthouders
- Zelf melden van de overtreding voordat deze wordt ontdekt
- Omvang van de organisatie: Financiele draagkracht wordt meegewogen
- Goede trouw: Aantoonbare inspanningen om te voldoen aan de verordening
Niet alleen boetes: overige sancties
De financiele boetes zijn slechts een deel van het handhavingsinstrumentarium. De AI-verordening voorziet ook in:
Corrigerende maatregelen (Artikel 16)
Markttoezichtautoriteiten kunnen eisen dat:
- Een AI-systeem van de markt wordt gehaald
- Een AI-systeem wordt teruggeroepen
- De werking van een AI-systeem wordt opgeschort
- Non-conforme aspecten worden gecorrigeerd binnen een gestelde termijn
Publieke bekendmaking
Toezichthouders kunnen besluiten om handhavingsbeslissingen openbaar te maken, wat aanzienlijke reputatieschade kan veroorzaken.
Civielrechtelijke aansprakelijkheid
Naast bestuursrechtelijke boetes kunnen getroffen personen civielrechtelijke claims indienen. De AI Liability Directive (in voorbereiding) zal dit verder vergemakkelijken door een vermoeden van causaliteit in te voeren bij niet-naleving van de AI-verordening.
Vergelijking met andere Europese boeteregimes
Om het boeteregime van de AI-verordening in perspectief te plaatsen:
| Verordening | Maximale boete | Percentage omzet |
|---|---|---|
| AI-verordening (verboden praktijken) | 35 miljoen euro | 7% |
| AI-verordening (overige overtredingen) | 15 miljoen euro | 3% |
| AVG/GDPR | 20 miljoen euro | 4% |
| DORA | Sectoraal bepaald | Varieert |
| NIS2 | 10 miljoen euro | 2% |
De AI-verordening heeft daarmee het hoogste boeteplafond van alle Europese digitale verordeningen.
Handhaving: wie handhaaft wat?
Op EU-niveau
- AI Office: Het AI-bureau binnen de Europese Commissie houdt toezicht op AI-modellen voor algemene doeleinden (foundation models) en kan boetes opleggen tot 15 miljoen euro of 3% van de wereldwijde omzet van de modelaanbieder
- AI Board: Het Europees Comite voor Artificiële Intelligentie coordineert de handhaving tussen lidstaten
Op nationaal niveau
Elke EU-lidstaat wijst een of meer nationale bevoegde autoriteiten aan als markttoezichtautoriteit (Artikel 70). In Nederland:
- Autoriteit Persoonsgegevens (AP): Coordinerende toezichthouder
- Sectorale toezichthouders (DNB, AFM, NVWA, etc.): Toezicht binnen hun sectorale bevoegdheid
- Rijksinspectie Digitale Infrastructuur: Mogelijk betrokken bij specifieke domeinen
De exacte verdeling van bevoegdheden wordt door de lidstaten nader bepaald. Organisaties moeten alert blijven op nationale implementatiekeuzes.
Reele handhavingsscenario's
Hoewel de AI-verordening nog niet volledig van kracht is, bieden de ervaringen met AVG-handhaving waardevolle inzichten in hoe toezichthouders te werk zullen gaan:
Scenario 1: Ontbrekende conformiteitsbeoordeling
Een financiele instelling zet een AI-systeem in voor kredietscoring zonder de vereiste conformiteitsbeoordeling uit te voeren (Artikel 43). Na een klacht van een afgewezen kredietaanvrager start de toezichthouder een onderzoek.
Potentiele sanctie: Boete tot 3% van de wereldwijde omzet plus verplichting om het systeem op te schorten tot de conformiteitsbeoordeling is afgerond.
Scenario 2: Ontbrekend menselijk toezicht
Een verzekeraar gebruikt een AI-systeem voor de beoordeling van ziektekostenverzekeringen zonder adequate mogelijkheden voor menselijk toezicht (Artikel 14). Meerdere consumenten worden onterecht geweigerd.
Potentiele sanctie: Boete tot 3% van de wereldwijde omzet plus verplichting om menselijk toezicht te implementeren en alle eerdere beslissingen handmatig te herzien.
Scenario 3: Gebruik van verboden AI
Een werkgever implementeert een AI-systeem voor emotieherkenning op de werkplek om de productiviteit van werknemers te monitoren. Dit is een verboden praktijk onder Artikel 5.
Potentiele sanctie: Boete tot 7% van de wereldwijde omzet of 35 miljoen euro, plus onmiddellijke stopzetting.
Strategieen om boetes te voorkomen
1. Begin nu met compliance
De belangrijkste bescherming tegen boetes is proactieve compliance. Toezichthouders zullen bij de beoordeling van overtredingen meewegen of een organisatie aantoonbare inspanningen heeft geleverd. Doe de Gratis AI Act Readiness Assessment als eerste stap.
2. Documenteer alles
Zorgvuldige documentatie is uw beste verdediging. Documenteer:
- Alle classificatiebeslissingen (inclusief de onderbouwing waarom een systeem niet als hoog-risico wordt beschouwd)
- Het risicomanagementsysteem en de uitkomsten
- Data governance-procedures en bias-testen
- Conformiteitsbeoordelingen
- Correctieve maatregelen na incidenten
3. Implementeer een kwaliteitsmanagementsysteem
Artikel 17 vereist een kwaliteitsmanagementsysteem (QMS) voor aanbieders van hoog-risico AI-systemen. Een robuust QMS helpt niet alleen bij compliance, maar dient ook als bewijs van goede trouw bij een eventueel onderzoek.
4. Stel een verantwoordelijke aan
Wijs een persoon of team aan dat verantwoordelijk is voor AI-compliance. Dit kan een bestaande compliance officer zijn, maar overweeg ook een specifieke AI governance-functie.
5. Monitor en reageer proactief
Implementeer een post-market monitoring systeem (Artikel 72) en meld ernstige incidenten tijdig (Artikel 73). Proactieve melding wordt meegewogen als verzachtende factor.
Compliance automatiseren met Matproof
Het bijhouden van alle vereisten, deadlines en documentatie is een enorme opgave. Matproof biedt een geautomatiseerd platform dat u helpt om:
- AI-systemen te classificeren en de bijbehorende verplichtingen vast te stellen
- Gap-analyses uit te voeren om tekortkomingen te identificeren
- Documentatie te genereren en centraal te beheren
- Audit trails op te bouwen als bewijs van compliance-inspanningen
- Real-time monitoring van uw compliancestatus via dashboards
Gratis proberen en minimaliseer uw risico op boetes.
Veelgestelde vragen
Q: Worden boetes al opgelegd in 2026?
A: Ja. De verboden AI-praktijken (Artikel 5) zijn al van kracht sinds februari 2025, dus boetes voor deze overtredingen kunnen nu al worden opgelegd. Voor hoog-risico AI-systemen geldt de deadline van 2 augustus 2026. Toezichthouders hebben aangegeven dat zij na deze datum direct met handhaving kunnen beginnen.
Q: Kunnen toezichthouders boetes opleggen voor meerdere overtredingen tegelijk?
A: Ja. Een organisatie kan voor meerdere overtredingen tegelijkertijd worden beboet. Echter, Artikel 99, lid 8 bepaalt dat het totaalbedrag aan boetes voor dezelfde overtreding niet hoger mag zijn dan het toepasselijke maximum.
Q: Hoe verhouden AI Act-boetes zich tot AVG-boetes?
A: AI Act-boetes en AVG-boetes zijn cumulatief. Als een AI-systeem zowel de AI-verordening als de AVG schendt, kunnen afzonderlijke boetes worden opgelegd. Wel voorziet Artikel 99, lid 9 in coordinatie tussen toezichthouders om onevenredige dubbele bestraffing te voorkomen.
Q: Geldt het boeteregime ook voor overheidsorganisaties?
A: Ja, maar lidstaten mogen bepalen of en in hoeverre boetes van toepassing zijn op publieke autoriteiten en organen (Artikel 99, lid 5). Nederland moet nog bepalen hoe dit wordt ingevuld.
Q: Kan een bestuurder persoonlijk aansprakelijk worden gesteld?
A: De AI-verordening zelf richt zich primair op de organisatie als entiteit. Echter, op basis van nationaal recht kan persoonlijke bestuurdersaansprakelijkheid aan de orde zijn, met name als er sprake is van opzet of grove nalatigheid. De NIS2-richtlijn bevat al expliciete bepalingen over bestuurdersaansprakelijkheid die als precedent kunnen dienen.
Q: Wat als wij een AI-systeem van een Amerikaanse aanbieder gebruiken?
A: Als u als Europese organisatie een AI-systeem van een niet-EU-aanbieder gebruikt, heeft u als deployer (gebruiker) eigen verplichtingen onder de AI-verordening. De niet-EU-aanbieder moet een gemachtigde vertegenwoordiger in de EU aanstellen (Artikel 22) en voldoen aan de aanbiedersverplichtingen. Als de aanbieder niet aan zijn verplichtingen voldoet, vergroot dit uw eigen risico als deployer.
Conclusie
Het boeteregime van de AI-verordening is het strengste van alle Europese digitale verordeningen. Met maximale boetes tot 35 miljoen euro of 7% van de wereldwijde omzet kunnen de financiele consequenties van non-compliance verwoestend zijn. Daar komen reputatieschade, operationele verstoring en civielrechtelijke aansprakelijkheid nog bovenop.
De boodschap is helder: proactieve compliance is geen kostenpost, maar een investering in risicobeperking. Organisaties die nu beginnen met hun voorbereidingen, bouwen niet alleen een verdediging op tegen boetes, maar positioneren zich ook als betrouwbare en verantwoordelijke gebruikers van AI-technologie.