Verboden AI-praktijken operationaliseren zonder productontwikkeling te vertragen

Verboden AI-praktijken operationaliseren betekent Article 5-screening onderdeel maken van gewone product-, vendor- en interne-toolworkflows. Het doel is niet dat iedere productmanager AI-jurist wordt. Het doel is onaanvaardbare use cases vroeg vinden, onzekerheid naar de juiste reviewer sturen, bewijs bewaren en laag-risicowerk laten doorgaan.

Voor SaaS-teams werkt een kort intake, beslisroute, launch gate en bewijsstandaard het best. Als er geen Article 5-red flags zijn, gaat de use case door naar gewone AI-classificatie, security, privacy en product review. Als de use case duidelijk een verboden categorie raakt, stopt het werk tot herontwerp of specialistische bevestiging. Als het onzeker is, gaat het naar een benoemde reviewer met genoeg feiten.

Begin met een smalle vraag

De verkeerde vraag is of het hele bedrijf AI Act compliant is. Vraag liever: kan deze specifieke AI-use-case in een verboden categorie vallen?

Plaats die vraag in discovery, feature review, security design review, privacy review, vendor onboarding, goedkeuring van interne tools, customer configuration review en grote wijzigingen na launch. Het eerste screen blijft kort: beinvloedt het systeem beslissingen, gebruikt het verborgen of manipulatieve technieken, richt het zich op kwetsbare gebruikers, evalueert het personen over contexten heen, gebruikt het biometrie, leidt het emoties af, scraped het gezichtsbeelden of raakt het werk, onderwijs, krediet, essentiele diensten, law enforcement of publieke veiligheid?

Het screen hoeft geen volledige juridische conclusie te geven. Het kiest de volgende route.

Drie routes

Route een: doorgaan. Als er geen red flags zijn, documenteert het team het antwoord en gaat het door naar gewone classificatie en risk review.

Route twee: stoppen en herontwerpen. Als de use case duidelijk een verbod raakt, mag het product niet doorgaan zoals gepland. Denk aan emotion recognition voor worker engagement, een gezichtsherkenningsdatabase uit ongerichte scraping of verborgen manipulatie met waarschijnlijk aanzienlijke schade.

Route drie: escaleren. Moeilijke cases hebben vaak incomplete feiten, vage vendorlabels of klantconfiguratie die de context verandert. Escalatie gaat naar legal, compliance of AI governance met eigenaar en deadline.

Eigenaarschap

Product bezit doel, user journey, betrokken personen, klantconfiguratie en launchplanning. Engineering bezit dataflows, modelintegratie, logs, architectuur en technische grenzen. Security bezit vendor risk, access, deployment en third-party assurance. Legal of privacy bezit de Article 5-analyse en bewijsstandaard. Compliance of AI governance bewaakt proces, beslissingen en launch gates.

Zo hoeft Product geen wet te interpreteren en hoeft Legal later geen technische feiten uit losse screenshots te reconstrueren.

Minimaal bewijs

Bewaar systeem- of featurenaam, eigenaar, reviewerfunctie, doel, betrokken personen, AI Act-rol, model of vendor, datacategorieen, screenantwoorden, conclusie, rationale, voorwaarden of herontwerp, datum en re-reviewtrigger.

Bewijs hoort te leven waar het werk gebeurt: productticket, vendorrecord, release checklist of customer-trustmap. Een spreadsheet kan vroeg helpen, maar mag niet de enige waarheid blijven als de operatie elders leeft.

Koppel aan delivery

Een ontbrekend screen blokkeert AI-enabled launches. Een duidelijke red flag blokkeert tot herontwerp of formele goedkeuring. Een onzeker geval blokkeert alleen tot de reviewer beslist. Een gedocumenteerd "geen red flag" mag geen extra vertraging veroorzaken.

Voorspelbare routing beschermt snelheid. Teams kunnen met governance werken als ze weten wat er daarna gebeurt.

Vendors en klantconfiguratie

Vendor AI kan risico verbergen. Labels zoals insight, sentiment, safety, identity of personalization zijn onvoldoende. Vraag wat het systeem doet, welke data het verwerkt, welke outputs het maakt, wie geraakt wordt, of de klant kan configureren en of er biometrie, emotion recognition, facial databases, profiling of manipulatie is.

Controleer ook klantconfiguratie. Een feature die standaard acceptabel is, kan gevoelig worden in werk, onderwijs, public safety of identity. Definieer re-reviewtriggers: nieuwe data, nieuwe gebruikersgroep, nieuwe markt, nieuwe vendor, minder human review of nieuwe guidance.

Veelgemaakte fouten

De eerste fout is een juridisch memo bouwen in plaats van een workflow. De tweede is te laat reviewen, wanneer design, contract, messaging en engineering al verder zijn. De derde is geloven dat human in the loop alles oplost. Het kan helpen, maar maakt verboden manipulatie of gevoelige biometrische inferentie niet automatisch acceptabel.

Vergeet interne tools niet. Employee analytics, training, security investigations, support scoring en account prioritization kunnen mensen raken, ook wanneer ze niet als product worden verkocht.

Praktische rollout

Week een: inventariseer AI-use-cases, vendor AI en interne tools. Voeg het screen toe aan product intake en vendor review. Benoem de reviewer, definieer release-blokkerende staten en kies waar bewijs leeft.

Week twee: screen customer-facing AI, employment tooling, biometrie, identity, systemen die gebruikers beinvloeden en vendors met onduidelijke outputs. Leg resultaten vast, sluit duidelijke gaten en maak een backlog voor twijfelgevallen.

Daarna volgt iedere nieuwe feature, vendor of materiele configuratiewijziging hetzelfde screen, dezelfde minimale bewijsstandaard en escalatie met deadline.

FAQ

Wat is het praktische doel?

AI-gebruiken vinden die moeten worden geblokkeerd, herontworpen of geescaleerd voordat ze product, vendorworkflow, klantconfiguratie of intern proces bereiken.

Wanneer geldt dit voor SaaS?

Wanneer het team AI bouwt, koopt, integreert, verkoopt, configureert of gebruikt die Article 5 kan raken.

Wat documenteer je eerst?

Intake, beslisroute, benoemde reviewer, release-regels en minimaal bewijs gekoppeld aan product, vendor, privacy, security en customer trust.

Sources

• Regulation (EU) 2024/1689 laying down harmonised rules on artificial intelligence.
• European Commission guidelines on prohibited artificial intelligence practices.
• European Commission notice that the first AI Act rules started applying on 2 February 2025.
• European Commission AI Pact webinar page on prohibited-practice guidelines and AI system definition.