Checklist verboden AI-praktijken voor oprichters en compliance leads

Verboden AI-praktijken zijn AI-gebruiken die moeten worden geblokkeerd, herontworpen of geescaleerd voordat ze productie bereiken. Voor SaaS-teams is de nuttige vraag niet alleen of artikel 5 van de EU AI Act geldt. De vraag is of het bedrijf onaanvaardbaar AI-gebruik vroeg herkent en de beslissing vastlegt voor lancering, vendor rollout of klantreview.

Gebruik deze checklist bij eigen AI-features, ingebouwde derdepartij-AI, interne tools, gereguleerde klanten en wijzigingen in de manier waarop AI-output mensen raakt.

1. Bevestig de use case

Leg systeem, product, workflow, eigenaar, leverancier, model of dienst, doel, gebruikers, betrokken personen, datacategorieen, geografie en besluitimpact vast. Vraag of het bedrijf het systeem bouwt, koopt, integreert, configureert of gebruikt; of het intern of klantgericht is; of het mensen beinvloedt, beoordeelt of classificeert; of het biometrische data verwerkt; en of EU-gebruikers, werknemers, sollicitanten, leerlingen of klanten geraakt kunnen worden.

Is het duidelijk buiten scope, bewaar dan de reden. Bij twijfel ga je door.

2. Check manipulatie of misleiding

Artikel 5 ziet op bepaalde systemen die subliminale, manipulatieve of misleidende technieken gebruiken waardoor gedrag wezenlijk wordt verstoord, geinformeerde besluitvorming wordt beperkt en significante schade ontstaat of waarschijnlijk is.

Controleer journey, personalisatie, aanbevelingen en nudges. Verbergt het systeem relevante informatie? Past het druk aan op een persoon? Stuurt het naar schadelijke keuzes? Is het AI-gebruik begrijpelijk?

Bewaar screenshots, personalisatielogica, betrokken groepen, schadeanalyse en redesignbesluit. Bij verborgen druk of misleidende invloed hoort de lancering te stoppen tot review is afgerond.

3. Sluit uitbuiting van kwetsbaarheid uit

De AI Act behandelt ook uitbuiting van kwetsbaarheid door leeftijd, handicap of specifieke sociale of economische situatie wanneer gedrag wordt verstoord en significante schade dreigt.

Beoordeel of de feature kwetsbare personen target, profileert of onder druk zet: kinderen, patienten, studenten, werknemers, financieel kwetsbare consumenten, mensen met een beperking of gebruikers van essentiële diensten. Vereis review wanneer het systeem overtuiging, prioriteit, geschiktheid, prijs, support of handhaving personaliseert.

4. Sluit social scoring uit

Social-scoringrisico ontstaat wanneer een systeem mensen over tijd beoordeelt op sociaal gedrag of persoonlijke kenmerken en dit leidt tot nadelige behandeling in ongerelateerde contexten of onevenredige gevolgen.

Ook B2B SaaS kan dit patroon raken in trust, fraude, safety, HR, onderwijs, communities of marketplaces. Documenteer waarvoor de score wordt gebruikt, of natuurlijke personen geraakt worden, of de context verband houdt met de oorspronkelijke data en of het effect proportioneel is.

5. Escaleer biometrie, emotie en strafrisico

Escaleer wanneer het systeem strafrisico uitsluitend uit profiling of persoonlijkheidskenmerken afleidt, gezichtsherkenningsdatabases maakt met ongericht scrapen, emoties op werk of onderwijs afleidt behalve voor medische of veiligheidsredenen, biometrie gebruikt voor gevoelige kenmerken of realtime biometrische identificatie in openbare ruimten voor rechtshandhaving ondersteunt.

Kijk naar wat het systeem doet, niet naar vendorwoorden als engagement, insight, safety of identity.

6. Wijs eigenaar en reviewer aan

De business owner levert de feiten. De reviewer besluit of het gebruik doorgaat, verandert of stopt. Het record bevat systeemnaam, doel, betrokken personen, leverancier, beantwoorde vragen, conclusie, rationale, vereiste wijzigingen, goedkeurder en reviewtrigger.

7. Koppel aan launch- en vendorgates

Neem deze vragen op in product intake, security design review, privacy review, vendor onboarding, interne toolgoedkeuring en klantgerichte AI-documentatie. Geen AI-gebruik zou moeten starten zonder afgeronde screen of bevestiging dat die niet nodig is.

8. Definieer herbeoordeling

Open het besluit opnieuw als doel, markt, gebruikers, leverancier, data, automatisering, klantconfiguratie of EU-richtsnoeren veranderen.

FAQ

Wat is het praktische doel?

Onaanvaardbaar AI-gebruik stoppen voordat het onderdeel wordt van product, leverancier, intern proces of klantbelofte.

Wanneer is dit relevant voor SaaS?

Wanneer het team AI bouwt, koopt, integreert, verkoopt, configureert of gebruikt die mensen kan manipuleren, kwetsbaarheid kan uitbuiten, personen kan scoren, biometrie kan verwerken of emoties kan afleiden.

Wat documenteer je eerst?

Intake, eigenaar, reviewer, korte conclusie en launch gate, gekoppeld aan vendor review, privacy, security en customer trust.

Bronnen

• Regulation (EU) 2024/1689 laying down harmonised rules on artificial intelligence.
• European Commission guidelines on prohibited artificial intelligence practices established by Regulation (EU) 2024/1689.