Aan de slag met AI: vergeet uw verplichtingen niet

​Drie regelgevingen die u moet kennen

1. Cao nr. 39 over de invoering van een nieuwe technologie
1. Elke onderneming met 50 of meer werknemers moet voorafgaand aan de invoering van nieuwe technologieën, zoals AI-tools, voldoen aan de informatie- en overlegverplichting van cao nr. 39.
2. GDPR
1. AI-tools verwerken vaak persoonsgegevens. In dat geval moet uw onderneming voldoen aan de regels van GDPR:
2. Elke verwerking moet opgenomen zijn in het verwerkingsregister
3. Betrokkenen worden geïnformeerd via een aangepaste privacyverklaring
4. Bij hoog risico is een gegevensbeschermingseffectbeoordeling (hierna GEB) verplicht
3. Europese AI-Verordening
1. De AI-Verordening is rechtstreeks van kracht in alle lidstaten en introduceert:
2. Een verbod op bepaalde AI-praktijken, zoals sociale scoring of manipulatie
3. Een verplichting om voor AI-geletterdheid te zorgen bij medewerkers
4. Technische en organisatorische maatregelen en strenge eisen voor hoog-risico AI-systemen met hoog risico (vanaf februari 2026)
5. Transparantieverplichtingen

Boetes voor schending van de AI-Verordening kunnen oplopen tot €35 miljoen of 7% van de wereldwijde omzet.

Relevante HR-deadlines op een rij

Februari 2025: digitale geletterdheid en verbod op bepaalde AI-systemen

1. Verboden systemen moeten buiten gebruik zijn.
2. AI-geletterdheid van uw personeel moet op punt staan.

Augustus 2025: verplichtingen AI-modellen voor algemene doeleinden (GPAI)

1. Transparantieverplichting voor ontwikkelaars en aanbieders van GPAI.
2. Technische documentatie en samenvatting van gebruiksgegevens.
3. Lidstaten moeten nationale sancties hebben bepaald om AI-Verordening te handhaven.

Augustus 2026: meeste bepalingen AI-Verordening treden in werking

1. Verplichte inlichting aan medewerkers over het gebruik van een AI-systeem met een hoog risico.
2. Bijkomende eisen voor bepaalde AI-systemen-Bijlage III met hoog risico (AI-systemen in gebieden van biometrie, kritieke infrastructuur, onderwijs, tewerkstelling, toegang tot essentiële openbare diensten, toepassing van de wet, immigratie en rechtsbedeling enz.).

Augustus 2027: verplichtingen voor hoog-risico AI-systemen bijlage I van kracht

1. Bijkomende eisen voor bepaalde AI-systemen-Bijlage I met hoog risico (speelgoed, radioapparatuur, medische hulpmiddelen voor in-vitrodiagnostiek, beveiliging van de burgerlijke luchtvaart, landbouwvoertuigen enz.)

Wat moet u concreet doen?

1. Breng in kaart welke uw AI-tools u gebruikt of wenst te gebruiken.
2. Check of deze technologie onder cao nr. 39 valt en organiseer indien nodig voorafgaand overleg.
3. Beoordeel of er persoonsgegevens worden verwerkt en update uw GDPR-documentatie.
4. Bepaal het risiconiveau van uw AI-systemen (verboden, hoog, beperkt, minimaal).
5. Stop onmiddellijk met verboden AI-systemen.
6. Meet de AI-geletterdheid van uw medewerkers en bied gerichte opleidingen aan.
7. Werk een aangepaste IT- of AI-policy uit.

Vragen over de AI-verordening of nood aan ondersteuning bij implementatie? Neem gerust contact met ons op – wij helpen u graag compliant de toekomst in.

Meer in detail

Cao nr. 39

AI is een nieuwe technologie. Cao nr. 39 legt voorafgaande informatie- en overlegverplichtingen op inzake de sociale gevolgen van de invoering van nieuwe technologieën.

Toepassingsgebied

De cao geldt voor werkgevers die gewoonlijk gemiddeld ten minste 50 werknemers in dienst hebben. Daarnaast moet 50% van de werknemers of ten minste 10 werknemers betrokken zijn bij de invoering van de nieuwe technologie.

Voorafgaande procedure bij implementatie nieuwe technologie (bv. AI-tools)

Uiterlijk 3 maanden vóór de implementatie van een nieuwe technologie met belangrijke collectieve gevolgen voor de werkgelegenheid, werkorganisatie of arbeidsvoorwaarden, moet de werkgever:

1. Schriftelijke informatie verstrekken over de aard van de nieuwe technologie, de factoren die de invoering rechtvaardigen en de sociale gevolgen,
2. Overleg plegen met de werknemersvertegenwoordigers over de sociale gevolgen van de invoering.

De informatie wordt verstrekt aan de ondernemingsraad of, bij afwezigheid daarvan, aan de vakbondsafvaardiging. Het bedoelde overleg heeft, naargelang het geval, plaats in de ondernemingsraad, in het comité voor veiligheid en gezondheid en met de vakbondsafvaardiging.

Ontslagbescherming

De niet-naleving van de procedure triggert een ontslagbescherming. De werkgever mag de arbeidsovereenkomst niet eenzijdig beëindigen, tenzij dit om redenen is die geen verband houden met de invoering van de nieuwe technologie. De bewijslast van die redenen ligt bij de werkgever. De bescherming gaat in op de dag dat de informatie had moeten worden verstrekt aan de ondernemingsraad of vakbondsafvaardiging en eindigt 3 maanden nadat de technologie in werking is getreden. Nadien moet de werknemer bewijzen dat het ontslag het gevolg was van de invoering van de nieuwe technologie.

Wordt de arbeidsovereenkomst eenzijdig beëindigd vanwege de technologie, dan heeft de werknemer recht op een forfaitaire schadevergoeding van 3 maanden brutoloon.

GDPR

Toepassingsgebied

Elke tool die persoonsgegevens verwerkt, met inbegrip van AI-tools, moet voldoen aan de GDPR-regels. Dit geldt voor alle bedrijven, inclusief kmo’s.

Concrete actie

Uw onderneming dient voor elke verwerking in het register van verwerkingsactiviteiten een rechtsgrond en doeleinde te bepalen. Daarnaast dient u hierover informatie te verschaffen via een privacyverklaring.

Het is belangrijk dat deze documenten regelmatig worden bijgewerkt om steeds een correct beeld te bieden aan de betrokkenen. Dat geldt zeker bij de invoering van een AI-tool.

Wanneer de verwerking van persoonsgegevens een hoog risico vormt voor de rechten en vrijheden van natuurlijke personen, moet er een gegevensbeschermingseffectbeoordeling worden uitgevoerd.

Hoewel het opstellen van een (GDPR-conforme) IT-policy geen wettelijke verplichting is, is de Gegevensbeschermingsautoriteit wel van oordeel dat de opmaak van een IT-policy deel uitmaakt van de effectieve uitvoering van uw GDPR-verplichtingen als werkgever. Daarenboven is het ook gewoon nuttig om discussie te vermijden.

Sancties

Bij het niet-naleven van de regels van de GDPR, kunnen sancties oplopen van tot maximaal €20 miljoen of 4% van de wereldwijde omzet.

Europese AI Verordening

De AI-Verordening reguleert de toelating van AI-systemen op de interne EU-markt en legt verplichtingen op aan aanbieders en gebruiksverantwoordelijken van AI-technologieën. De Verordening is rechtstreeks van toepassing in alle lidstaten.

Toepassingsgebied

Bepalingen van de AI-Verordening zullen gelden voor alle ondernemingen, ongeacht het aantal werknemers.

Risico-gebaseerde aanpak

Kenmerkend aan de AI-Verordening is dat een risico-gebaseerde aanpak centraal staat. AI-systemen worden opgedeeld in verschillende categorieën, naargelang hun impact.

1. Verboden AI-praktijken
1. De AI-Verordening verbiedt AI-systemen om aan cognitieve gedragsmanipulatie te doen, aan sociale scoring, aan voorspellend politiewerk op basis van profilering en aan het indelen van mensen in specifieke categorieën op basis van categorieën zoals ras, godsdienst of seksuele geaardheid met behulp van biometrische gegevens.
2. Hoog risico
1. Wanneer systemen een aanzienlijke invloed kunnen hebben op toekomstige loopbaanvooruitzichten, bestaansmiddelen en rechten van werknemers, zullen deze wellicht als “hoog risico” worden aanzien. Denk maar aan een AI-systeem dat automatisch CV’s selecteert voor een volgende ronde in een wervingsprocedure.
2. Dergelijke systemen worden als “hoog risico” beschouwd omdat ze discriminatiepatronen kunnen ontwikkelen of in stand houden. Ze moeten voldoen aan strenge eisen en verplichtingen zoals uitvoerige tests, transparantie en menselijk toezicht.
3. Bij hoog risico-AI-systemen, zijn vanaf augustus 2026 technische en organisatorische maatregelen verplicht zodat deze systemen in overeenstemming met hun gebruiksaanwijzing worden gebruikt.
4. Wanneer AI-systemen met een hoog risico besluiten nemen met betrekking tot natuurlijke personen of helpen dergelijke besluiten te nemen, moeten de betrokkenen worden geïnformeerd dat zij aan het gebruik van het AI-systeem met een hoog risico zijn onderworpen.
3. Beperkt risico
1. Het gebruik van chatbots of AI-systemen die inhoud genereren worden onder de AI-verordening geclassificeerd als een beperkt risico. Systemen met een beperkt risico zijn toegestaan, maar zullen aan bepaalde transparantieverplichtingen moeten voldoen zodat gebruikers zich ervan bewust zijn dat ze interageren met AI.
4. Minimaal risico
1. Een spamfilter in de mailbox wordt gezien als een AI-tool met een minimaal risico. Dergelijke tool is toegestaan zonder beperkingen.

AI-geletterdheid

Sinds februari 2025 moet uw onderneming zorgen voor een toereikend niveau van AI-geletterdheid bij werknemers en personen die namens u AI-systemen gebruiken.

De onderneming moet ervoor zorgen dat de betrokken personen, evenals de aanbieders en verantwoordelijken voor het gebruik, over de juiste kennis, vaardigheden en inzichten beschikken. Dit zou hen in staat moeten stellen om AI-systemen op een geïnformeerde manier te gebruiken, zich bewust te zijn van de kansen en risico’s van AI en de mogelijke schade die het kan veroorzaken.

De AI-Verordening bepaalt niet welke specifieke maatregelen de onderneming moet nemen. Organisaties zijn hier dus vrij in.

Hoe deze AI-geletterdheid in de praktijk aanpakken?

Om deze verplichting concreet te kunnen toepassen, is een inzicht over welke medewerkers welke AI-tools (zullen) gebruiken, cruciaal. Denk daarbij ook aan de tools die medewerkers spontaan gebruiken. Elk AI-systeem is namelijk uniek en heeft een verschillende impact. Zo is een AI-tool voor tekstanalyse niet te vergelijken met een AI-systeem dat gezichten scant bij de ingang van een bouwplaats. Vervolgens kan er een test worden afgenomen bij de betrokken medewerkers om hun AI-geletterdheid te meten, waarna op basis van de resultaten een passende opleiding kan worden aangeboden om dit niveau te verbeteren. Denk bijvoorbeeld aan korte e-learnings per functietype, interactieve workshops of een AI-handleiding per gebruikte tool.

Voor meer info over de AI-geletterdheid, verwijzen wij naar onze eerder gepubliceerde artikels.

Gefaseerde invoering van de overige delen

Vanaf 2 augustus 2025 gelden er specifieke verplichtingen voor AI-modellen voor algemene doeleinden (General Purpose AI – GPAI).

Ontwikkelaars en aanbieders van deze modellen moeten vanaf dan:

1. Voldoen aan transparantieverplichtingen, waaronder informatie over de werking, beperkingen en risico’s van het model;
2. beschikken over technische documentatie en een samenvatting van het gebruik van het model.

Daarnaast moeten alle EU-lidstaten tegen die datum hun nationale sancties hebben vastgelegd voor inbreuken op de AI-Verordening. Deze sancties moeten doeltreffend, evenredig en afschrikkend zijn. Zie hieronder voor meer info over de sancties.

Vanaf augustus 2026 treedt het grootste deel van de AI-Verordening in werking. Dit heeft ook gevolgen voor werkgevers die gebruikmaken van AI-systemen met een hoog risico zoals omschreven in bijlage III van de Verordening.

Voorbeelden van deze systemen zijn AI-toepassingen in de context van:

1. Werving en selectie
2. Toegang tot onderwijs of essentiële publieke diensten
3. Gezondheid en rechtspraak
4. Biometrische identificatie
5. Migratie en grenscontrole

Als u als werkgever voor het eerst een dergelijk AI-systeem inzet op de werkvloer, bent u verplicht:

1. Uw werknemers én hun vertegenwoordiging (bijvoorbeeld vakbonden of personeelsvertegenwoordiging) te informeren over het gebruik van het systeem;
2. Indien het AI-systeem wordt beschouwd als de invoering van een nieuwe technologie in de zin van cao nr. 39, dan is ook overleg met de ondernemingsraad verplicht.

Daarnaast moet elk hoogrisico-AI-systeem voldoen aan strikte eisen rond risicobeoordeling, transparantie, menselijke controle en gegevensbeheer.

Ten slotte worden in augustus 2027 de verplichtingen van kracht voor AI-systemen die vallen onder bijlage I van de AI-Verordening. Dit zijn AI-systemen die geïntegreerd zijn in bestaande Europese productregelgeving en al onder CE-markering vallen. Denk aan:

1. Speelgoed
2. Radioapparatuur
3. In-vitrodiagnostische medische hulpmiddelen
4. Landbouw- of bosbouwvoertuigen
5. Beveiligingssystemen in de burgerluchtvaart

Organisaties die AI-systemen inzetten binnen deze sectoren moeten tegen augustus 2027 aantonen dat ze volledig voldoen aan de specifieke AI-eisen die aan deze toepassingen zijn verbonden.

Sancties

De sancties opgelegd door de AI-Verordening, zijn niet mals. Er zijn een aantal overtredingen waarvan de sanctie specifiek wordt vastgelegd in de AI-Verordening.

Bij de ernstigste overtreding, zoals het schenden van verboden AI-praktijken, kan een boete worden opgelegd tot 35 miljoen euro of 7% van de wereldwijde jaaromzet van de onderneming, afhankelijk van welke het hoogst is.

Voor het niet naleven van verplichtingen bij hoog risico AI-systemen of transparantieverplichtingen, kan de boete oplopen tot 15 miljoen euro of 3% van de wereldwijde omzet van het voorgaande jaar, afhankelijk van wat hoger is.

Boetes voor het verstrekken van onjuiste of misleidende informatie aan de autoriteiten kunnen oplopen tot 7,5 miljoen euro of 1% van de wereldwijde jaaromzet, afhankelijk van welke het hoogst is.

Lidstaten moeten zelf regels vastleggen voor sancties bij inbreuken op de AI-verordening, voor zover die sancties niet al expliciet in de verordening zijn opgenomen. Ze zijn daarnaast verplicht om alle nodige maatregelen te nemen om te zorgen dat deze sancties daadwerkelijk kunnen worden toegepast. De sancties moeten doeltreffend, evenredig en afschrikkend zijn.

Meer weten?

Vragen over de AI-verordening of nood aan ondersteuning bij implementatie? Neem gerust contact met ons op – wij helpen u graag compliant de toekomst in.