Is de EU AI-wetgeving ook van toepassing op Britse bedrijven?
Ja, de EU AI-wetgeving is van toepassing op Britse bedrijven als zij AI-systemen op de EU-markt brengen, of als de output van hun AI-systeem in de EU wordt gebruikt – ongeacht waar het bedrijf gevestigd is. Deze extraterritoriale reikwijdte is vergelijkbaar met die van de AVG. Britse bedrijven die EU-klanten bedienen, moeten voldoen aan de verplichtingen van de EU AI-wetgeving, naast eventuele sectorspecifieke Britse AI-regelgeving.
Kortom, Brexit ontslaat Britse organisaties niet van de EU-wetgeving inzake kunstmatige intelligentie. Als uw AI-product wordt gebruikt door, op de markt wordt gebracht aan, of output genereert die wordt geconsumeerd in een van de 27 EU-lidstaten, valt u onder de reikwijdte van de wet. De praktische vraag is echter niet... of Je valt binnen het bereik, maar welke Er gelden verplichtingen en u kunt aantonen dat u daaraan voldoet.
Voor een volledige uiteenzetting van de wet zelf, zie onze EU AI-wetgeving compliance hubDeze pagina richt zich specifiek op de toepasbaarheid in het VK, de verplichtingen en hoe ISO 42001 Biedt Britse organisaties een gestructureerde route naar naleving van de regelgeving.
Wanneer reikt de EU-wetgeving inzake kunstmatige intelligentie verder dan de EU?
Artikel 2 van de EU-wetgeving inzake kunstmatige intelligentie (AI) beschrijft de reikwijdte ervan, en de extraterritoriale triggers zijn ruim. Een Brits bedrijf valt onder de wetgeving als aan een van de volgende voorwaarden is voldaan:
- U bent een aanbieder die een AI-systeem op de EU-markt brengt.Ongeacht of u in de EU gevestigd bent. Als uw AI-product of algemeen AI-model (GPAI) in gebruik wordt genomen of beschikbaar wordt gesteld aan gebruikers in de EU, valt u onder de regelgeving.
- U bent een in de EU gevestigde uitrolorganisatie., of een implementeerder buiten de EU wiens AI-systeemoutput in de EU wordt gebruikt.
- U bent een importeur of distributeur. Het in de handel brengen van een AI-systeem van een derde partij vanuit het Verenigd Koninkrijk op de EU-markt.
- U bent een productfabrikant. Het in de EU brengen van een AI-systeem samen met uw product onder uw eigen naam of handelsmerk.
- U bent een bevoegd vertegenwoordiger. van een niet-EU-aanbieder, gevestigd in de EU.
De kernzin is "output die in de Unie wordt gebruikt". Een Brits SaaS-bedrijf waarvan de AI-functionaliteit wordt gebruikt door een klant in de EU, of waarvan het model aanbevelingen genereert die door een EU-bedrijf worden gebruikt, valt onder de reikwijdte van de wet, zelfs zonder dat er een EU-entiteit, server of werknemer bij betrokken is.
Hoe verhoudt de extraterritoriale reikwijdte zich tot de AVG?
Britse teams die al bekend zijn met de extraterritoriale reikwijdte van de AVG zullen dit patroon herkennen. Waar de AVG van toepassing is op verwerkingsverantwoordelijken buiten de EU die goederen of diensten aanbieden aan EU-betrokkenen of hun gedrag monitoren, is de EU-AI-wetgeving van toepassing op aanbieders en implementeerders buiten de EU wiens AI-systemen of -resultaten de EU-markt raken. De praktische les is hetzelfde: de geografische locatie van vestiging bepaalt niet de reikwijdte. Waar uw gebruikers en resultaten zich bevinden, doet dat wel.
Wat zijn de eigen AI-regels van het Verenigd Koninkrijk?
Het Verenigd Koninkrijk heeft bewust een andere weg ingeslagen. In plaats van één horizontale AI-wetgeving, heeft de Britse regering in het Witboek "Een innovatiegerichte aanpak van AI-regulering" uit 2023 een sectorgericht, op principes gebaseerd kader uiteengezet. Deze aanpak is gebaseerd op vijf sectoroverschrijdende principes:
- Veiligheid, beveiliging en robuustheid
- Passende transparantie en uitlegbaarheid
- Eerlijkheid
- Verantwoording en bestuur
- Betwistbaarheid en verhaal.
Deze principes worden door de bestaande Britse toezichthouders (ICO, FCA, Ofcom, CMA, MHRA en anderen) binnen hun bestaande bevoegdheden toegepast, in plaats van door een nieuwe wettelijke AI-autoriteit. Het Verenigd Koninkrijk heeft ook het AI Safety Institute (nu het AI Security Institute) opgericht om grensverleggende modellen te evalueren en heeft aangegeven gerichte wetgeving te willen invoeren voor de meest geavanceerde modellen, terwijl het bredere regelgevingskader op principes gebaseerd blijft.
Voor Britse organisaties creëert dit een tweeledige realiteit:
- Activiteit exclusief voor het VK: verwachtingen van de sectorregulator, bestaande wetgeving (gegevensbescherming, gelijkheid, consumentenbescherming, productveiligheid, financiële dienstverlening) en de sectoroverschrijdende beginselen.
- EU-marktactiviteit: het volledige risicoclassificatiesysteem van de EU AI-wetgeving, bovenop de verplichtingen van het VK.
An AI-governanceprogramma Een aanpak die zich alleen richt op de Britse verwachtingen is onvoldoende voor elk bedrijf met activiteiten in de EU. Evenzo mist een project in het kader van de EU AI-wetgeving dat de verwachtingen van de Britse toezichthouder negeert een belangrijk deel van het plaatje voor een in het VK gevestigde organisatie. ISO 42001 versus EU AI-wet De vergelijking laat zien hoe één enkel beheersysteem aan beide eisen kan voldoen.
Welke Britse bedrijven moeten voldoen aan de EU AI-wetgeving?
Niet elk Brits bedrijf valt automatisch onder de wet. De wet is van toepassing op specifieke rollen binnen de AI-waardeketen. Britse organisaties dienen de volgende toets te doorlopen.
| Rol in het kader van de EU-wetgeving inzake kunstmatige intelligentie | Typisch voorbeeld van een Brits bedrijf | Binnen het toepassingsgebied indien… |
|---|---|---|
| leverancier | Brits SaaS- of AI-productbedrijf dat aan EU-klanten verkoopt | U ontwikkelt een AI-systeem of GPAI-model en brengt dit op de EU-markt, of neemt het in gebruik in de EU, onder uw eigen naam of handelsmerk. |
| Deployer | Een Brits bedrijf gebruikt een AI-systeem waarvan de resultaten gevolgen hebben voor gebruikers in de EU. | U maakt gebruik van een AI-systeem onder uw beheer en de output wordt gebruikt in de EU (bijvoorbeeld voor het screenen van EU-sollicitanten of het verwerken van vragen van EU-klanten). |
| import | Britse wederverkoper brengt een AI-product van buiten de EU naar de EU. | U brengt een AI-systeem van een leverancier buiten de EU op de EU-markt. |
| Distributeur | Britse partner maakt AI-systeem beschikbaar voor de EU-toeleveringsketen. | Je brengt een AI-systeem op de EU-markt zonder de eigenschappen ervan te wijzigen. |
| Product fabrikant | Britse fabrikant integreert AI in een gereguleerd product (medisch apparaat, voertuigonderdeel). | U brengt het product met het AI-systeem onder uw eigen naam op de EU-markt. |
| Gemachtigde vertegenwoordiger | Een in de EU gevestigde entiteit die optreedt voor een Britse dienstverlener. | U bent formeel aangesteld door een Britse aanbieder van een AI-systeem met een hoog risico of een GPAI-model. |
Een Brits bedrijf kan meerdere rollen vervullen. Een Britse scale-up die een eigen model ontwikkelt, dit in een product integreert en het vervolgens ook doorverkoopt, kan hier een voorbeeld van zijn. AI van derden Features zal tegelijkertijd een leverancier, implementeerder en mogelijk distributeur zijn. Elke rol brengt zijn eigen verplichtingen met zich mee, daarom is een duidelijke afbakening de eerste praktische stap.
Alles wat u nodig heeft voor ISO 42001
Gestructureerde inhoud, in kaart gebrachte risico's en ingebouwde workflows helpen u AI op verantwoorde wijze en met vertrouwen te beheren.
Wat zijn de belangrijkste verplichtingen van de EU AI-wetgeving voor Britse aanbieders en implementeerders?
De EU-wetgeving inzake kunstmatige intelligentie (AI) classificeert AI-systemen op basis van risico: verboden, hoog risico, beperkt risico en minimaal risico, met een aparte regeling voor algemene AI-modellen (GPAI). De verplichtingen nemen toe met het risico. De zwaarste verplichtingen gelden voor aanbieders van AI-systemen met een hoog risico en aanbieders van GPAI-modellen met een systeemrisico.
Verplichtingen van aanbieders
- Verboden praktijken (Artikel 5)Geen enkele Britse aanbieder mag AI-systemen op de EU-markt brengen of in gebruik nemen die gebruikmaken van verboden technieken (bijvoorbeeld het ongerichte verzamelen van gezichtsafbeeldingen om herkenningsdatabases op te bouwen, sociale scores, bepaalde emotieherkenning op de werkplek en in scholen).
- AI-systemen met een hoog risico (Hoofdstuk III)Het opzetten en onderhouden van een risicomanagementsysteem gedurende de gehele levenscyclus, het waarborgen van gegevensbeheer voor trainings-, validatie- en testdatasets, het produceren van technische documentatie, het bijhouden van automatische logboeken, het waarborgen van menselijk toezicht, het bereiken van de juiste nauwkeurigheid, robuustheid en cyberbeveiliging, het registreren van het systeem in de EU-database, het uitvoeren van conformiteitsbeoordelingen en het aanbrengen van de CE-markering.
- GPAI-modellenTechnische documentatie publiceren, een voldoende gedetailleerde samenvatting van de trainingsinhoud publiceren, een auteursrechtbeleid implementeren en, voor modellen met systeemrisico's, modelbeoordelingen uitvoeren, systeemrisico's beoordelen en beperken, ernstige incidenten registreren en rapporteren, en cyberbeveiliging waarborgen.
- Transparantie (Artikel 50)Gebruikers informeren wanneer ze met een AI-systeem interageren, deepfakes en door AI gegenereerde content labelen en door AI gegenereerde tekst markeren als relevant voor het publiek.
Verplichtingen van uitzenders
- Gebruik AI-systemen met een hoog risico in overeenstemming met de gebruiksaanwijzing.
- Wijs menselijk toezicht toe aan bekwame, getrainde personen.
- Zorg ervoor dat de invoergegevens relevant en voldoende representatief zijn voor het beoogde doel.
- De werking van het AI-systeem monitoren en de aanbieder en de markttoezichthoudende instantie op de hoogte stellen van ernstige incidenten en storingen.
- Bewaar automatisch gegenereerde logbestanden gedurende minimaal zes maanden.
- Voer waar nodig een effectbeoordeling op de grondrechten uit (bijvoorbeeld bij bepaalde publieke sectororganisaties en organisaties die essentiële diensten leveren).
- Informeer de vertegenwoordigers van de werknemers en de betrokken werknemers voordat een AI-systeem met een hoog risico op de werkplek in gebruik wordt genomen.
Deze verplichtingen sluiten naadloos aan op een ISO-gebaseerd managementsysteem. De beheersmaatregelen in bijlage A van ISO 42001 hebben betrekking op gegevensbeheer, levenscyclusbeheer, impactbeoordeling, menselijk toezicht, relaties met derden en informatieverstrekking aan belanghebbenden. Daarom gebruiken veel Britse organisaties ISO 42001 als de basis van hun reactie op de EU AI-wetgeving. Zie onze volledige Bijlage A-controles Raadpleeg de referentie voor meer details.
Wanneer treedt de EU-wetgeving inzake kunstmatige intelligentie in werking?
De EU AI-wetgeving is op 1 augustus 2024 in werking getreden, maar de verplichtingen ervan worden gefaseerd ingevoerd. Britse organisaties dienen rekening te houden met de volgende mijlpalen.
| Verplichtingen uit de EU AI-wetgeving | Ingangsdatum | Voor wie het geldt | Implicaties voor het VK |
|---|---|---|---|
| Verboden praktijken (artikel 5) en verplichtingen inzake AI-geletterdheid (artikel 4) | 2 februari 2025 | Alle aanbieders en implementeerders met activiteiten binnen de EU | Britse aanbieders moeten onmiddellijk verboden toepassingen verwijderen uit producten die bestemd zijn voor de EU en ervoor zorgen dat hun personeel over de juiste AI-kennis beschikt. |
| Verplichtingen en governance-regels voor modellen voor algemene AI (GPAI). | 2 augustus 2025 | Aanbieders van GPAI-modellen die op de EU-markt worden aangeboden | Britse AI-laboratoria en aanbieders van basismodellen moeten technische documentatie, samenvattingen van trainingsgegevens en auteursrechtbeleid publiceren voor modellen die beschikbaar zijn in de EU. |
| Verplichtingen met betrekking tot AI-systemen met een hoog risico (systemen van bijlage III), sancties en aangemelde instanties | 2 augustus 2026 | Aanbieders en implementeerders van risicovolle AI-systemen | Aanbieders van risicovolle systemen in het Verenigd Koninkrijk (zoals wervingssystemen, kredietbeoordelingssystemen, essentiële diensten, ondersteuning van wetshandhaving en dergelijke) moeten een conformiteitsbeoordeling ondergaan voordat ze hun systemen op de EU-markt mogen brengen. |
| Volledige aanvraag, inclusief risicovolle AI ingebed in gereguleerde producten (Bijlage I) | 2 augustus 2027 | Aanbieders van AI die is geïntegreerd in producten die vallen onder de EU-harmoniseringswetgeving. | Britse fabrikanten van gereguleerde producten (medische apparaten, machines, speelgoed, voertuigen) met AI-componenten moeten voldoen aan de eisen van de EU AI-wetgeving, naast de bestaande CE-markering. |
De fasering is belangrijk voor de Britse planning. Verboden praktijken en AI-geletterdheid zijn al van kracht. GPAI-verplichtingen gelden voor aanbieders die het stichtingsmodel hanteren. Verplichtingen met betrekking tot hoge risico's treden in augustus 2026 in werking, wat de praktische deadline is voor de meeste commerciële AI-producten die zich richten op EU-klanten. Wachten tot 2027 is geen optie. Voor een uitgebreidere beschrijving van elke fase kunt u onze handleiding raadplegen. Alles wat je moet weten over de EU AI-wet..
Hoe helpt ISO 42001 Britse bedrijven te voldoen aan de EU-wetgeving inzake kunstmatige intelligentie?
ISO/IEC 42001:2023 is de eerste internationale norm voor AI-managementsystemen. De norm is jurisdictie-neutraal en is opgebouwd rond 10 clausules met eisen voor managementsystemen, 38 controles in bijlage A verdeeld over 9 controlegebieden, normatieve implementatierichtlijnen in bijlage B en een koppeling met andere raamwerken, waaronder de EU AI-wetgeving in bijlage D.
Voor Britse bedrijven die zowel aan de eisen van de Britse sectorregulator als aan de EU AI-wetgeving moeten voldoen, biedt ISO 42001 een uniform controlekader dat aan beide eisen voldoet. De overlap is aanzienlijk:
- AI-beleid en -bestuur: Clausule 5.2 en bijlage A.2 van ISO 42001 vereisen een gedocumenteerd AI-beleid, rollen en verantwoordelijkheden. Dit toont aan dat er in het VK aan verantwoordingseisen wordt voldaan en dat de EU-wetgeving inzake AI-governance van toepassing is.
- Risicomanagement: Clausule 6.1.2 vereist een AI-risicobeheer proces. Dit sluit direct aan op het risicomanagementsysteem dat vereist is voor systemen met een hoog risico krachtens artikel 9 van de EU AI-verordening.
- Impactbeoordeling van AI-systemenClausule 6.1.4 en bijlage A.5 vereisen effectbeoordelingen. Dit biedt de structuur voor effectbeoordelingen op het gebied van fundamentele rechten die van bepaalde uitvoerders worden vereist.
- GegevensbeheerBijlage A.7 behandelt de verwerving, kwaliteit, herkomst en voorbereiding van gegevens. Dit sluit aan bij de vereisten voor gegevensbeheer onder artikel 10 van de EU-verordening inzake kunstmatige intelligentie.
- AI-levenscycluscontrolesBijlage A.6 behandelt de doelstellingen, het ontwerp, de ontwikkeling, de implementatie, de werking en de validatie. Dit vormt de basis voor de verplichtingen met betrekking tot technische documentatie, registratie, nauwkeurigheid en robuustheid in de artikelen 11 tot en met 15.
- Transparantie en informatieBijlage A.8 bevat informatie voor belanghebbenden. Dit ondersteunt de transparantievereisten van artikel 13 en artikel 50.
- Beheer van derden en leveranciersBijlage A.10 behandelt de relaties met leveranciers. Dit is essentieel voor implementeerders die AI-systemen van derden integreren in diensten die gericht zijn op de EU.
- Menselijk toezicht en verantwoord gebruikBijlage A.9 over het gebruik van AI-systemen ondersteunt de verplichtingen inzake menselijk toezicht uit artikel 14.
Een gecertificeerd ISO 42001-bedrijf AI-beheersysteem (AIMS) ISO 42001 levert op zichzelf geen conformiteitsbeoordeling volgens de EU-wetgeving inzake kunstmatige intelligentie op. Het biedt echter wel het onderliggende managementsysteem, de beheersmaatregelen en het bewijsmateriaal dat een conformiteitsbeoordeling aantoonbaar maakt in plaats van slechts een streven. Verwacht dat aangemelde instanties en markttoezichthouders in de EU een robuust ISO 42001 AIMS zullen beschouwen als sterk bewijs van de volwassenheid van het AI-governancebeleid van een organisatie.
Ga eenvoudig aan de slag met een persoonlijke productdemo
Een van onze onboarding-specialisten legt u graag uit hoe ons platform werkt, zodat u vol vertrouwen aan de slag kunt.
Hoe ISMS.online de naleving van AI-regelgeving in het VK en de EU op één platform in kaart brengt.
ISMS.online Biedt Britse organisaties één centrale werkplek voor het uitvoeren van ISO 42001-certificering, het voldoen aan de verplichtingen van de EU AI-wetgeving en het aantonen van de verwachtingen van de Britse toezichthouder, zonder drie parallelle programma's te hoeven onderhouden. Belangrijke functionaliteiten voor de tweesporenstructuur in het VK en de EU zijn onder meer:
- Voorgeconfigureerde AIMS. Een werkend AI-managementsysteem dat is afgestemd op de 10 clausules van ISO 42001 en dat vanaf dag één kan worden aangepast aan uw specifieke behoeften in het VK en de EU.
- Rolgebaseerde afbakening. Leg per AI-systeem uw rollen vast volgens de EU AI-wetgeving (aanbieder, implementeerder, importeur, distributeur), zodat de verplichtingen aan de juiste entiteit worden toegewezen.
- Instrumenten voor het registreren van AI-risico's en het beoordelen van de impact ervan. Specifieke registers voor clausule 6.1.2 AI-risico en clausule 6.1.4 AI-systeemimpactbeoordeling, gestructureerd om, waar nodig, bewijs te leveren van risicobeheer conform artikel 9 van de EU-verordening inzake kunstmatige intelligentie en impactbeoordelingen op grondrechten.
- Beleidspakketten afgestemd op bijlage A.2. Vooraf opgesteld AI-beleid Sjablonen met versiebeheer, goedkeuringsworkflows en gebruikersverklaringen, zodat beleidsregels aantoonbaar actueel zijn.
- Verklaring van toepasbaarheid. Houd een actuele verklaring van toepasselijkheid bij voor alle 38 bepalingen van bijlage A, met verwijzingen naar artikelen van de EU-wetgeving inzake kunstmatige inseminatie en de verwachtingen van de Britse toezichthouder.
- Auditbeheer. Plan en voer interne audits uit (clausule 9.2) die gekoppeld zijn aan ISO 42001, de EU AI-wetgeving en Britse principes, waarbij de bevindingen gekoppeld worden aan corrigerende maatregelen.
- Multistandaardintegratie. Deel risico-, bewijs- en beleidsgegevens met ISO 27001 en andere standaarden die u al hanteert, zodat AI-governance een uitbreiding van uw bestaande managementsysteem wordt en geen apart project.
Het resultaat is dat wanneer een EU-klant vraagt hoe u artikel 9, 10 of 14 naleeft, of wanneer een Britse toezichthouder vraagt hoe u bewijs levert van eerlijkheid, verantwoording en menselijk toezicht, het antwoord één enkele analyse in één platform is, in plaats van een bewijsverzamelingsproces met vijf verschillende tools. Zie onze implementatie gids voor het volledige implementatietraject.
Waarom kiezen voor ISMS.online voor naleving van de EU AI-wetgeving?
ISMS.online is ontwikkeld om Britse organisaties een praktische route te bieden door de EU AI-wetgeving, gebaseerd op ISO 42001, zonder dat ze spreadsheets en generieke GRC-tools hoeven te combineren. Dit is wat u krijgt:
- Een werkend AIMS-systeem vanaf dag één. Voorgeconfigureerd raamwerk dat alle 10 clausules en 38 omvat. Bijlage A-controlesZodat uw team zich kan richten op maatwerk in plaats van helemaal vanaf nul te ontwerpen.
- Duidelijke afbakening van de rol van de EU. Leg de status van leverancier, implementeerder, importeur en distributeur per AI-systeem vast, zodat de verplichtingen van de EU AI-wetgeving vanaf het begin correct worden toegewezen.
- Risico- en impactanalyse specifiek voor AI. Specifieke registers voor AI-risicobeoordeling en beoordeling van de impact van AI-systemen, met scores, behandelplannen en evaluatiecycli die zijn afgestemd op de verwachtingen van zowel ISO 42001 als de EU-wetgeving inzake kunstmatige intelligentie.
- Beleidsbibliotheek met implementatietracking. Vooraf opgestelde AI-beleidsregels met goedkeuringsworkflows, gebruikersverklaringen en realtime rapportage over de implementatie, zodat het beleid aantoonbaar actueel is voor zowel Britse toezichthouders als EU-markttoezichtautoriteiten.
- Gedeelde data via meerdere standaarden. Eén platform voor ISO 42001, ISO 27001 en meer, met gedeelde risico's, beheersmaatregelen en bewijsmateriaal, zodat organisaties die meerdere managementsystemen hanteren, dubbel werk vermijden.
- Methode voor gegarandeerde resultaten. Een beproefde implementatiemethode die honderden organisaties heeft geholpen om in één keer gecertificeerd te worden, ondersteund door onboarding, adoptiebegeleiding en persoonlijke hulp.
- Ondersteuning in het Verenigd Koninkrijk. Een Brits team dat zowel de verwachtingen van de Britse sectorregulator als de marktverplichtingen van de EU begrijpt, met directe ondersteuning wanneer vragen over de scopebepaling lastig worden.
Ben je klaar om het platform in actie te zien? Demo boeken.
Veelgestelde vragen
Is de EU AI-wetgeving van toepassing op Britse bedrijven die geen vestiging in de EU hebben?
Ja, als het AI-systeem op de EU-markt wordt gebracht, in de EU in gebruik wordt genomen of de output ervan in de EU wordt gebruikt. Een Brits SaaS-bedrijf zonder EU-entiteit, EU-personeel en EU-servers valt nog steeds onder de reikwijdte van de wet als EU-klanten de AI-functie gebruiken of de output ervan consumeren. De toets is waar het AI-systeem of de output ervan terechtkomt, niet waar het bedrijf is geregistreerd.
Bestaat er in het Verenigd Koninkrijk een equivalent van de EU AI-wet?
Niet als één enkele horizontale wetgeving. Het VK heeft gekozen voor een innovatiegerichte, op principes gebaseerde en sectorgerichte aanpak, waarbij sectoroverschrijdende principes (veiligheid, transparantie, eerlijkheid, verantwoording, concurrentie) worden geïmplementeerd door bestaande toezichthouders. De regering heeft aangegeven gerichte wetgeving te willen invoeren voor de meest veelbelovende modellen. Voorlopig zijn de Britse AI-verplichtingen verspreid over bestaande wetgeving (gegevensbescherming, gelijkheid, productveiligheid, financiële diensten) en richtlijnen van toezichthouders, in plaats van in een aparte AI-wet.
Wanneer moeten Britse bedrijven voldoen aan de EU AI-wetgeving?
De verplichtingen worden gefaseerd ingevoerd. Verboden praktijken en eisen met betrekking tot AI-kennis zijn van kracht sinds 2 februari 2025. Verplichtingen voor algemene AI-modellen gelden vanaf 2 augustus 2025. Verplichtingen voor AI-systemen met een hoog risico gelden vanaf 2 augustus 2026. De volledige toepassing, inclusief AI die is ingebed in gereguleerde producten, geldt vanaf 2 augustus 2027. Britse bedrijven moeten augustus 2026 beschouwen als de uiterste datum voor de meeste commerciële AI-producten die gericht zijn op EU-klanten.
Betekent ISO 42001-certificering dat we voldoen aan de EU AI-wetgeving?
Niet automatisch. ISO 42001-certificering toont aan dat u beschikt over een volwaardig AI-managementsysteem dat aandacht besteedt aan governance, risicobeheer, levenscyclusbeheer, data, transparantie en toezicht. Het levert sterk bewijs van de AI-governance binnen uw organisatie en sluit nauw aan op de EU-wetgeving inzake kunstmatige intelligentie (AI). Deze wetgeving vereist echter specifieke conformiteitsbeoordelingen en registraties op productniveau voor systemen met een hoog risico die bovenop het managementsysteem zijn gebouwd. Een gecertificeerd ISO 42001 AIMS maakt deze conformiteitsbeoordelingen aantoonbaar in plaats van slechts een streven.
Vallen Britse gebruikers van AI-tools van derden onder de reikwijdte van de EU-wetgeving inzake kunstmatige intelligentie?
Ja, als de output van het AI-systeem in de EU wordt gebruikt. Een Brits bedrijf dat een AI-tool van een derde partij gebruikt om EU-sollicitanten te screenen, producten aan EU-consumenten aan te bevelen of vragen van EU-klanten te verwerken, wordt in de zin van de wet beschouwd als een implementeerder. De verplichtingen voor implementeerders zijn minder streng dan die voor aanbieders, maar omvatten nog steeds het opvolgen van gebruiksaanwijzingen, het waarborgen van menselijk toezicht, het monitoren van de werking, het bewaren van logbestanden en (in sommige gevallen) het uitvoeren van een effectbeoordeling op de grondrechten.
Welke sancties staan Britse bedrijven te wachten als ze de EU AI-wetgeving overtreden?
De sancties zijn trapsgewijs en aanzienlijk. Overtredingen met betrekking tot verboden AI-praktijken kunnen boetes opleveren tot EUR 35 miljoen of 7 procent van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Niet-naleving van de meeste andere verplichtingen (vereisten voor systemen met een hoog risico, transparantie, enz.) kan boetes opleveren tot EUR 15 miljoen of 3 procent van de wereldwijde jaaromzet. Het verstrekken van onjuiste of misleidende informatie aan de autoriteiten kan boetes opleveren tot EUR 7.5 miljoen of 1 procent van de wereldwijde jaaromzet. KMO's en start-ups betalen het laagste van deze twee bedragen. Een bedrijf dat in het Verenigd Koninkrijk is gevestigd, is niet vrijgesteld van deze sancties wanneer de wet van toepassing is.
Hoe kan een Brits bedrijf zich het beste voorbereiden op de naleving van de EU AI-wetgeving?
Begin met een inventarisatie: maak een lijst van alle AI-systemen die u ontwikkelt, implementeert, importeert of distribueert, en identificeer welke systemen onder de EU-regelgeving vallen. Bepaal voor elk systeem uw rol (leverancier, implementeerder, importeur, distributeur) en de risicocategorie (verboden, hoog risico, beperkt, minimaal of GPAI). Gebruik vervolgens een ISO 42001 AI-managementsysteem als basis, zodat governance, risico, data, levenscyclus, transparantie en toezicht binnen één raamwerk worden beheerd. ISMS.online Dit biedt u een kant-en-klaar AIMS-systeem, de benodigde registers en beleidsregels, en een traject naar ISO 42001-certificering dat tevens dient als bewijs van uw gereedheid voor de EU AI-wetgeving.
