Verboden AI-praktijken: praktische gids voor SaaS-teams

Verboden AI-praktijken zijn AI-gebruiken die een SaaS-team moet blokkeren voordat ze klanten, medewerkers, vendorworkflows of interne processen bereiken. Article 5 van de EU AI Act dekt een beperkte set praktijken die als onaanvaardbaar worden behandeld, waaronder schadelijke manipulatie, exploitatie van kwetsbaarheden, bepaalde vormen van social scoring, sommige strafrechtelijke risicobeoordelingen, ongericht scrapen van gezichtsbeelden, emotieherkenning op werk en in onderwijs, gevoelige biometrische categorisering en realtime biometrische identificatie op afstand in publiek toegankelijke ruimten voor law enforcement, behalve bij nauwe uitzonderingen.

De praktische reactie is simpel: wacht niet tot legal een afgeronde feature beoordeelt. Bouw een pre-launch screen dat vraagt of een AI-use-case in een verboden categorie kan vallen, duidelijke gevallen blokkeert, onduidelijke gevallen escaleert en bewijs van de beslissing bewaart. Dit moet productfeatures, interne tools, ingebedde vendorsystemen, modelintegraties en klantconfigureerbare automatiseringen dekken.

Waarom dit telt

Screening op verboden praktijken is de voordeur van AI governance. Als een use case verboden is, moet het team er geen gewone controls omheen bouwen. De juiste reactie is stoppen, herontwerpen, beperken of escaleren voordat het werk vastzit in roadmap of klantbelofte.

In SaaS komt AI vaak stil binnen: productnudges, account scoring, HR-analytics, vendortools of biometrische modules in bestaande platforms. Een kleine ticketwijziging kan de juridische en ethische positie van de dienst veranderen.

Wat je moet controleren

Vertaal Article 5 naar operationele vragen. Gebruikt het systeem verborgen, manipulatieve of misleidende technieken die besluitvorming kunnen verstoren en aanzienlijke schade kunnen veroorzaken? Exploiteert het kwetsbaarheden door leeftijd, handicap of sociale of economische situatie? Beoordeelt het personen over contexten heen? Gaat het om social scoring, strafrechtelijke voorspelling alleen op basis van profiling, gezichtsherkenningsdatabases door scraping, emotieherkenning op werk of in onderwijs, gevoelige biometrische inferentie of biometrische identificatie op afstand?

De modelnaam is nooit genoeg. Kijk naar doel, context, data, betrokken personen en effect van de output.

Praktische workflow

Voeg AI-vragen toe aan product review, vendor review, security review, privacy review en goedkeuring van interne tools. Vraag niet alleen of iets verboden is. Vraag wat het systeem doet, wie geraakt wordt, welke data het gebruikt, of het beslissingen beinvloedt, of biometrie of emotieherkenning voorkomt en of het raakt aan werk, onderwijs, krediet, essentiele diensten, law enforcement of publieke veiligheid.

Duidelijke nee-antwoorden kunnen door naar gewone AI-classificatie en risk review. Duidelijke ja-antwoorden stoppen totdat legal en compliance een redesign goedkeuren of bevestigen dat de use case buiten het verbod valt. Onzekere antwoorden gaan naar een benoemde reviewer.

Leg in de beslissing systeem, owner, vendor, doel, betrokken personen, data, geografie, AI Act-rol, Article 5-vragen, conclusie, rationale, vereiste wijzigingen, approver en trigger voor herbeoordeling vast.

Bewijs bewaren

Bewaar intake, product- of vendorbeschrijving, data-flow note, analyse van betrokken personen, screenshots of configuratie, beslissing, rationale, reviewer, datum en redesignacties. Bij een vendor bewaar je AI-documentatie, contractuele toezeggingen en antwoorden over biometrie, emotion recognition, profiling, modeltraining en gebruikersmanipulatie.

Bewijs moet ook laten zien wanneer de beslissing opnieuw wordt geopend: ander doel, nieuwe gebruikersgroep, nieuwe markt, nieuwe databronnen, gewijzigde menselijke review, klantconfiguratie of nieuwe guidance.

Veelgemaakte fouten

De eerste fout is te laat beoordelen. Als een feature bijna live is, kunnen design, contract, messaging en engineering al op een verkeerde aanname rusten. De tweede fout is alleen customer-facing features beoordelen. Interne tools kunnen ook risico maken wanneer ze werknemers, kandidaten, training, productiviteit, fraudereview, support of security raken.

Vertrouw niet op vendorlabels zoals insight, sentiment, safety of personalization. De echte vraag is wat het systeem doet en hoe het mensen raakt. Human in the loop kan helpen, maar lost verboden manipulatie of gevoelige biometrische inferentie niet automatisch op.

FAQ

Wat is het praktische doel?

AI-gebruiken identificeren die moeten worden geblokkeerd, herontworpen of geescaleerd voordat ze product, vendorworkflow of intern proces bereiken.

Wanneer geldt dit voor SaaS?

Wanneer een team AI bouwt, koopt, integreert, verkoopt, configureert of gebruikt die een Article 5-categorie kan raken.

Wat documenteer je eerst?

Een intake, decision record, benoemde reviewer en launch gate gekoppeld aan product, vendor, privacy, security en customer trust.

Sources

• Regulation (EU) 2024/1689 laying down harmonised rules on artificial intelligence.
• European Commission guidelines on prohibited artificial intelligence practices.
• European Commission studies on Article 5 of the AI Act.