Hoe navigeer je door het doolhof van AI-regelgeving in de VS?

Door Danny Bradbury • 18 December 2025

Als het om regelgeving gaat, is de term 'Verenigde Staten' een contradictie. De wetgeving van de staten is allesbehalve uniform, waarbij elke jurisdictie traditioneel de wetgeving afstemt op de specifieke behoeften van haar inwoners. Nergens is deze lappendekenbenadering van de wetgeving zo duidelijk als in de opkomende wereld van AI.

Wetgevers in alle 50 staten Gesigneerd 118 AI-gerelateerde wetsvoorstellen Deze wet wordt dit jaar van kracht en voegt zich bij de reeds bestaande wetten. Dit vertegenwoordigt slechts 11% van de 1,080 wetten die de wetgevende vergaderingen van de staten in 2025 hebben behandeld.

Ook de aangenomen wetten worden steeds breder toegepast. In Colorado bijvoorbeeld. SB 24-305 (van kracht vanaf 30 juni volgend jaar) is het eerste brede kader voor consumentenrechten met betrekking tot AI dat van toepassing is op particuliere bedrijven die "AI-systemen met een hoog risico" ontwikkelen of gebruiken op gebieden zoals werkgelegenheid, kredietverlening, gezondheidszorg en huisvesting.

Verschillende wetten hanteren verschillende benaderingen van het probleem, wat het lappendekeneffect versterkt. Zo koppelt de Texas Responsible Artificial Intelligence Governance Act (TRAIGA), een ander uitgebreid kader voor consumentenbescherming met betrekking tot AI dat dit jaar is ondertekend, de aansprakelijkheid aan opzet, in tegenstelling tot de op resultaten gebaseerde aanpak in Colorado. Californië heeft ondertussen verschillende wetten, waaronder een die zich richt op de transparantie van trainingsgegevens.

Bij Amerikaanse bedrijven gaan de alarmbellen al rinkelen op het gebied van compliance. zeven op de tien IT-leiders beschouwen naleving van regelgeving nu als een van de drie grootste uitdagingen bij de implementatie van generatieve AI. Gartner (de bron van de statistieken) schat dat schendingen van AI-regelgeving zullen leiden tot een toename van 30% in juridische geschillen voor technologiebedrijven. Bedrijven zijn zich wellicht bewust van het risico, maar dat betekent niet dat ze er klaar voor zijn. Minder dan een kwart heeft er vertrouwen in dat ze AI-governance daadwerkelijk kunnen beheren, aldus het marktonderzoeksbureau.

Het omgaan met regelgeving is niets nieuws voor Amerikaanse bedrijven, die in 2018 de AVG moesten verwerken (een beetje zoals een slang die een geit opslokt). Maar AI lijkt voor hen nog veel meer problemen te veroorzaken.

Trumps manoeuvre met het uitvoeringsbesluit

Onder druk staande managers zouden wellicht troost kunnen vinden in de laatste boodschap van president Trump. Vorige week publiceerde het Witte Huis een Executive Order Het streeft ernaar de overheidsregulering van AI te beteugelen. Daarmee probeert het veel van de beloften uit zijn beleid na te komen. AI-actieplan, uitgebracht in juli.

De meest recente uitvoeringsbesluit benoemt procureur-generaal Pam Bondi tot hoofd van een 'AI-rechtszaaktaakgroep' die staatswetten zal opsporen die zij als onwettig beschouwt. Het ministerie van Handel zal vervolgens subsidieaanvragen koppelen aan het "regelgevingslandschap" in de staten.

Het uitvoeringsbesluit heeft tot doel de regelgeving op staatsniveau, die de procureur-generaal niet bevalt, te vervangen door één enkel wettelijk kader. Dit kader zal worden ontwikkeld door een speciale adviseur voor AI en crypto (een functie die momenteel wordt bekleed door voormalig PayPal-COO David Sacks). De Federal Communications Commission zal ook onderzoeken of er een uniforme federale standaard kan worden gecreëerd voor het rapporteren en openbaar maken van AI-modellen.

Dit zou sommige bedrijven die zich zorgen maken over de complexiteit van de wetgeving op staatsniveau wellicht geruststellen, maar in de praktijk denken juridische experts dat het geen stand zal houden.

"Federale instanties zoals het ministerie van Justitie en de Federal Trade Commission (FTC) kunnen geen inbreuk maken op wettelijke staatsregelgeving zonder een duidelijke machtiging van het Congres." schreef Olivier Sylvain, hoogleraar rechten aan de Fordham University en senior beleidsmedewerker bij het Knight First Amendment Institute van de Columbia University.

Het Congres werkt niet mee. In juli stemde de Senaat met een overweldigende meerderheid tegen een voorgesteld moratorium van tien jaar op de handhaving van wetten inzake kunstmatige intelligentie in de staten. Nog recenter weigerden wetgevers een dergelijk moratorium toe te voegen aan de National Defense Authorization Act.

Uitvoerende bevelen hebben betrekking op de overheid, niet op de private sector. Daarom probeert het meest recente document de uitvoerende macht te gebruiken om rechtszaken van staten te dwarsbomen. Sylvain voegde er echter aan toe: "Zonder een wet die ook maar enigszins de regulering van AI door staten regelt, laat staan een wet die deze regulering uitsluit, zou een aanval van het ministerie van Justitie of de FTC op staten waarschijnlijk bij voorbaat kansloos zijn."

De risico's van niet-conforme AI-implementatie

Met dit in gedachten doen bedrijven er goed aan om te plannen voor naleving op lange termijn van de AI-regelgeving op staatsniveau. Om dit te bereiken, zouden drie vragen nu verplicht aan bod moeten komen in bestuursvergaderingen over AI: Wie is verantwoordelijk voor AI-beslissingen? Hoe worden de risico's beoordeeld? En wat gebeurt er als modellen falen? Maar dit gebeurt niet. Slechts 49% van de besturen heeft de risico's van AI beoordeeld. volgens de Nationale Vereniging van Bedrijfsdirecteuren.

De gevaren van het niet inschatten van risico's zijn talrijk. Het grootste gevaar is met afstand: volgens McKinseyEen veelvoorkomend probleem is onnauwkeurigheid, iets waar 30% van de bedrijven minstens één keer mee te maken krijgt bij AI-projecten. In 2024 betaalde Air Canada een schadevergoeding nadat hun chatbot problemen had veroorzaakt. verzonnen kortingen voor mensen in rouwMaar dit valt in het niet bij de reputatieschade die het heeft veroorzaakt.

Op de tweede plaats van McKinsey's lijst stond de uitlegbaarheid, een probleem dat 14% van de bedrijven treft bij de daadwerkelijke implementatie van AI. Als je niet kunt uitleggen waarom je model iemand een lening heeft geweigerd, kan dat leiden tot problemen met de regelgeving. Andere risico's zijn schendingen van de privacy en cyberbeveiligingslekken, die allemaal tot mogelijke negatieve gevolgen voor de toezichthouders kunnen leiden.

Bedrijven hoeven niet ver te zoeken naar voorbeelden van mislukte AI-implementaties. Een voorbeeld hiervan is een softwareontwikkelingsdienst die gebruikmaakt van AI. de productiedatabase van een persoon verwijderdbijvoorbeeld. Misschien wel het meest verontrustende was echter het schandaal rond de Nederlandse belastingdienst. misbruik van AI om levensbepalende beslissingen te nemen over uitkeringen.

ISO/IEC 42001 biedt een basis voor naleving van AI-normen.

In volatiele tijden zoals deze, waarin het regelgevingslandschap rondom AI verre van uniform is, is het verstandig om terug te grijpen naar gevestigde standaarden zoals ISO / IEC 42001 Het helpt bij het creëren van consistente goede werkwijzen. De in december 2023 gepubliceerde norm is een internationale standaard voor AI-managementsystemen. Organisaties die AI-implementaties overwegen, kunnen deze norm gebruiken om risico- en impactanalyses uit te voeren. Het is een instrument voor AI-governance dat in meerdere rechtsgebieden toepasbaar is.

Bedrijven kunnen robuuste best practices op het gebied van AI ontwikkelen en handhaven door compliance-maatregelen in hun organisatiestructuur te integreren. Wijs bijvoorbeeld een lid van uw compliance-team aan om toezicht te houden op AI-specifieke compliance-maatregelen op basis van ISO 42001, en integreer regelmatige risicobeoordelingen in uw processen voor AI-ontwikkeling, -implementatie en -gebruik.

Verdrinkend in een woelige oceaan van staatswetten en met verschuivende prioriteiten op het gebied van federale handhaving die de wettelijke grenzen van de regelgeving op de proef stellen, is ISO 42001 een reddingsboei waaraan compliance-afdelingen van bedrijven zich kunnen vastklampen.

Danny Bradbury

Danny Bradbury is sinds 1989 een printjournalist gespecialiseerd in technologie en sinds 1994 freelanceschrijver. Hij heeft geschreven voor nationale publicaties aan beide zijden van de Atlantische Oceaan en heeft prijzen gewonnen voor zijn onderzoeksjournalistieke werk op het gebied van cyberbeveiliging.

Lees meer van Danny Bradbury

Cyber security 20 November 2025

Wat de Salesforce-inbreuken ons leren over gedeelde verantwoordelijkheid

2025 was geen goed jaar voor Salesforce-klanten. Een louche criminele organisatie voerde een reeks aanvallen uit op haar klanten, met uiteindelijk gevolgen voor...

Danny Bradbury

Cyber security 13 November 2025

Beoordeling van de verschuiving van de Trump-regering in het Amerikaanse cyberbeveiligingsbeleid

Recente uitvoerende maatregelen en herstructureringen van agentschappen markeren een significante verandering in de federale cybersecuritystrategie, wat vragen oproept over de nationale veerkracht.

Danny Bradbury

Cyber security 23 oktober 2025

Waarom het onderzoek van de FTC naar chatbots zorgen zou moeten baren bij B2B-bedrijven

Waarom het chatbotonderzoek van de FTC B2B-bedrijven zorgen zou moeten baren

September was een keerpunt voor voorstanders van AI-ethiek. De FTC vaardigde Sectie 6(b)-bevelen uit aan zeven grote techbedrijven die chatbots produceren...

Danny Bradbury