Wanneer verboden AI-praktijken gelden en wat je daarna doet

Verboden AI-praktijken gelden wanneer een SaaS-team een AI-systeem bouwt, koopt, integreert, configureert, verkoopt of intern gebruikt op een manier die onder Article 5 van de EU AI Act kan vallen. De praktische reactie is een vroege screen: duidelijke onacceptabele toepassingen stoppen, risicovolle workflows herontwerpen en onzekere gevallen escaleren voordat product, vendorcontract of intern proces moeilijk te wijzigen zijn.

Article 5 is geen algemeen AI-verbod. Het gaat om specifieke onacceptabele praktijken zoals schadelijke manipulatie, exploitatie van kwetsbaarheden, bepaalde social-scoring vormen, sommige strafrechtelijke risicobeoordelingen op basis van profiling of persoonlijkheidskenmerken, ongerichte scraping van gezichtsbeelden, emotieherkenning op werk en in onderwijs behalve voor medische of veiligheidsredenen, gevoelige biometrische categorisering en real-time biometrische identificatie op afstand in publieke ruimten voor law enforcement onder smalle uitzonderingen.

Wanneer het telt

Kijk naar gebruik en context. Beinvloedt het systeem beslissingen of gedrag? Gebruikt het verborgen, manipulatieve of misleidende technieken? Exploiteert het leeftijd, handicap of sociale of economische situatie? Beoordeelt het personen over contexten heen? Gebruikt het biometrie, emotie-inferentie, gezichtsscraping of gevoelige classificatie?

De modelnaam is niet genoeg. Doel, data, betrokken personen, output en gevolg zijn doorslaggevend.

Wanneer het mogelijk niet geldt

Een samenvattingstool, code helper, interne zoekfunctie of support-draftgenerator kan buiten Article 5 vallen als die geen mensen manipuleert, geen kwetsbaarheden exploiteert, geen gevoelige eigenschappen afleidt en geen verboden biometrie of emotieherkenning gebruikt. Toch kan gewone AI-classificatie, privacy review, security review en vendor review nodig zijn.

Wat eerst te doen

Plaats een intake waar AI het bedrijf binnenkomt: product discovery, modelkeuze, vendor onboarding, privacy review, security review, klantconfiguratie en goedkeuring van interne tools. Leg systeem, owner, doel, betrokken personen, AI Act-rol, vendor of model, datacategorieen, geografie en configuratie vast.

Gebruik drie routes: doorgaan zonder red flags, stoppen en herontwerpen bij duidelijke red flags, escaleren bij onzekerheid. Escalatie heeft een benoemde reviewer, deadline en voldoende evidence nodig.

Evidence en ownership

Bewaar intake, product- of vendorbeschrijving, dataflow, configuratie, analyse van betrokken personen, conclusie, rationale, reviewer, datum, beperkingen en trigger voor herbeoordeling. Bij vendors horen AI-documentatie, contractuele toezeggingen en antwoorden over biometrie, emotie, profiling, gezichtsdatabronnen en klantconfiguratie.

Product bezit doel en user journey. Engineering bezit architectuur en integratie. Security bezit vendor en toegang. Legal of compliance bezit de Article 5-analyse. Een AI-governance-owner onderhoudt intake, besluiten en launch gate.

Verbind dit met AI-governanceverwachtingen voor SaaS-vendors, het compliance-owner-model, interne AI-toolreview en de EU AI Act-analyse voor SaaS-providers.

FAQ

Wat is het praktische doel?

AI-gebruiken herkennen die geblokkeerd, herontworpen of geescaleerd moeten worden voordat ze product, vendorworkflow, klantconfiguratie of intern proces worden.

Wanneer geldt dit voor SaaS-teams?

Wanneer het team AI bouwt, koopt, integreert, verkoopt, configureert of gebruikt die Article 5-categorieen kan raken.

Wat documenteer je eerst?

Intake, beslisroute, benoemde reviewer, releaseblokkeringsregels en minimale evidence gekoppeld aan product, vendor, privacy, security en customer trust.

Sources

• Regulation (EU) 2024/1689 laying down harmonised rules on artificial intelligence.
• European Commission guidelines on prohibited artificial intelligence practices.
• European Commission note on the first AI Act rules becoming applicable.