De AI Act, die op 1 augustus 2024 in werking trad, voorziet in een gefaseerde toepassing van de verplichtingen. Na de eerste fase trad op 2 augustus 2025 de tweede fase van verplichtingen uit de AI Act in werking. Vanaf augustus 2026 zal de laatste fase ingaan.
In onze vorige newsflash bespraken we de eerste verplichtingen uit de AI Act: het bevorderen van de AI-geletterdheid binnen de onderneming en het verbieden van bepaalde AI-praktijken. De tweede fase van verplichtingen omvat bepalingen inzake sancties, verplichtingen rond AI-modellen voor algemene doeleinden en regels over governance.
1) Sancties
Op 2 augustus 2025 traden de bepalingen inzake sancties en handhavingsmaatregelen bij inbreuken op de AI Act in werking. De AI Act verplicht de Europese lidstaten om hierover nationale regels vast te stellen. Deze sancties kunnen bestaan uit administratieve boetes, met inbegrip van waarschuwingen en niet-geldelijke maatregelen. De sancties dienen doeltreffend, evenredig en afschrikwekkend te zijn. De lidstaten moeten hierbij rekening houden met de belangen en de economische levensvatbaarheid van kmo’s en start-ups. De Belgische wetgever heeft op dit moment nog geen concrete maatregelen uitgewerkt.
De AI Act voorziet in verschillende (maximale) administratieve geldboeten naargelang de aard van de inbreuk:
- Niet-naleving van het verbod op het gebruik van AI-systemen met een onaanvaardbaar risico: administratieve geldboete tot 35.000.000 EUR of, indien de overtreder een onderneming is, tot 7% van haar totale wereldwijde jaarlijkse omzet, indien deze hoger is (voor kmo’s en start-ups geldt het laagste bedrag).
- Niet-naleving van bepaalde verplichtingen voor aanbieders, importeurs, distributeurs of gebruikers van AI-systemen met een hoog risico: administratieve geldboete tot 15.000.000 EUR of, indien de overtreder een onderneming is, tot 3% van haar totale wereldwijde jaarlijkse omzet, indien deze hoger is (voor kmo’s en start-ups geldt het laagste bedrag).
- Voor de verstrekking van onjuiste, onvolledige of misleidende informatie aan aangemelde instanties of nationale bevoegde autoriteiten naar aanleiding van een verzoek: administratieve geldboete tot 7.500.000 EUR of, indien de overtreder een onderneming is, tot 1% van haar totale wereldwijde jaarlijkse omzet, indien deze hoger is (voor kmo’s en start-ups geldt het laagste bedrag).
Bij het bepalen van een administratieve geldboete moeten de autoriteiten rekening houden met alle relevante omstandigheden. Ze kunnen onder meer volgende elementen in overweging nemen:
- De aard, ernst en duur van de inbreuk en de gevolgen ervan.
- Het aantal getroffen personen en de omvang van de door hen geleden schade.
- De omvang, de jaaromzet en het marktaandeel van de operator die de inbreuk pleegt.
- De mate waarin met de nationale autoriteiten is samengewerkt om de inbreuk te verhelpen en de mogelijke negatieve gevolgen te beperken.
- De opzettelijke of nalatige aard van de inbreuk.
2) AI-modellen voor algemene doeleinden
Verder gelden specifieke verplichtingen voor aanbieders van AI-modellen voor algemene doeleinden (“general purpose AI”, of “GPAI”). Deze AI-modellen zijn ontworpen om een breed scala aan taken uit te voeren. Ze worden getraind op enorme hoeveelheden data en zijn veelzijdig inzetbaar. Vanwege de brede toepasbaarheid van deze modellen, worden er veel AI-systemen op voortgebouwd. Deze AI-modellen zijn geen zelfstandige AI-systemen, maar vormen wel de basis ervan.
Aanbieders van GPAI-modellen moeten:
- Technische documentatie bijhouden. Deze moet informatie bevatten over het trainings- en testproces en de resultaten van evaluaties.
- Zorgen voor actuele informatie die toegankelijk is voor de aanbieders van systemen die het AI-model gebruiken. Dit helpt hen om de mogelijkheden en beperkingen van het model te begrijpen en aan de wettelijke eisen te voldoen.
Voor GPAI-modellen die systeemrisico’s met zich meebrengen, gelden bijkomende verplichtingen. Zo moeten aanbieders onder meer regelmatige evaluaties uitvoeren om kwetsbaarheden te identificeren en incidenten te documenteren. Ook moeten aanbieders zorgen voor een goede cyberbeveiliging.
Het AI-bureau publiceerde op 10 juli 2025 een praktijkcode om ondernemingen te helpen voldoen aan de GPAI-regels. De regels worden vanaf 2 augustus 2026 afdwingbaar voor de nieuwe AI-modellen, en vanaf 2 augustus 2027 voor de modellen die vóór 2 augustus 2025 in de handel werden gebracht. Dit moet ervoor zorgen dat GPAI-modellen die op de Europese markt worden gebracht transparant en veilig zijn.
3) Regels inzake governance
Tot slot diende elke Europese lidstaat uiterlijk op 2 augustus 2025 minstens één aanmeldende autoriteit en één markttoezichtautoriteit aan te stellen. Deze instanties zijn respectievelijk verantwoordelijk voor het aanwijzen en informeren van onafhankelijke conformiteitsinstanties en het toezicht op AI-systemen. Er is momenteel nog geen Belgische wetgeving die dit toezichtskader verder uitwerkt.
Op Europees niveau wordt het toezicht gecoördineerd door het AI-bureau en de Europese raad voor artificiële intelligentie (“AI-board”). Daarnaast wordt er een Adviesforum opgericht en een wetenschappelijk panel van onafhankelijke deskundigen.
Aandachtspunt
Sinds 2 augustus 2025 is de tweede fase van verplichtingen uit de AI Act in werking getreden. Voor ondernemingen zijn meer bepaald de sanctiebepalingen en de regels over de verplichtingen voor AI-modellen voor algemene doeleinden (GPAI) belangrijk.
De Belgische wetgever heeft nog geen wetgeving aangenomen waarbij de sanctie- en handhavingsmaatregelen verder uitgewerkt worden. Ook werden er nog geen nationale bevoegde autoriteiten aangesteld.
