Verboden AI-praktijken: wat uw bedrijf niet meer mag doen

De rode lijnen van kunstmatige intelligentie

Nog voordat de hoog-risicosystemen, de transparantieverplichtingen of de AI-geletterdheid aan bod komen, trekt de Europese Verordening inzake kunstmatige intelligentie (Verordening 2024/1689) absolute rode lijnen. Artikel 5 somt de AI-praktijken op die ronduit verboden zijn in de Europese Unie.

Deze verboden zijn van kracht sinds 1 februari 2025. Het zijn geen toekomstige deadlines: ze gelden nu.

Artikel 5, lid 1 — Règlement (UE) 2024/1689

De volgende praktijken op het gebied van kunstmatige intelligentie zijn verboden: […] het op de markt brengen, het in gebruik stellen of het gebruik van een AI-systeem dat subliminale technieken […] of opzettelijk manipulatieve of misleidende technieken inzet die tot doel of gevolg hebben het gedrag van een persoon wezenlijk te verstoren […] op een wijze die aanzienlijke schade toebrengt of redelijkerwijs kan toebrengen aan die persoon of aan een andere persoon.

De zes categorieën verboden praktijken

1. Sociale scoring

De AI Act verbiedt systemen die natuurlijke personen evalueren of classificeren op basis van hun sociaal gedrag of persoonlijke kenmerken, wanneer die score leidt tot een nadelige behandeling in contexten die geen verband houden met de gegevensverzameling, of die onevenredig is ten opzichte van het gedrag in kwestie.

Let op: in tegenstelling tot wat vaak wordt gedacht, richt dit verbod zich niet uitsluitend op overheden. Het geldt ook voor particuliere actoren. De Nederlandse toeslagenaffaire heeft aangetoond hoe discriminerende algoritmische scoring tot ernstige maatschappelijke schade kan leiden — precies het soort praktijk dat de AI Act beoogt te voorkomen. Een bedrijf dat een “betrouwbaarheidsscore” van zijn klanten zou samenstellen door betalingsgegevens, onlinegedrag en interacties met de klantenservice te combineren — en die score zou gebruiken om diensten te weigeren — zou in overtreding zijn.

Concrete voorbeelden van nu illegale toepassingen:

• Een verzekeraar die sociale-mediagegevens verzamelt om het “gedragsrisicoprofiel” van een klant te beoordelen
• Een verhuurder die een score gebruikt die betalingsgeschiedenis, onlineactiviteit en locatiegegevens combineert om huurders te screenen
• Een werkgever die een geautomatiseerde “engagementscore” opbouwt die de toegang tot voordelen bepaalt

2. Subliminale manipulatie en misleidende technieken

Elk AI-systeem dat is ontworpen om het gedrag van een persoon zonder diens medeweten te beïnvloeden, is verboden. Dit omvat subliminale technieken (stimuli die niet bewust worden waargenomen) en opzettelijk manipulatieve of misleidende technieken.

Voorbeelden:

• Een systeem dat de interface van een e-commercewebsite aanpast om door AI geïdentificeerde cognitieve biases uit te buiten (AI-gestuurde dark patterns)
• Een geautomatiseerde onderhandelingstool die micro-expressies in real time analyseert om de gesprekspartner te manipuleren
• Een dynamisch tariferingssysteem dat de gedetecteerde emotionele toestand van de gebruiker uitbuit

3. Uitbuiting van kwetsbaarheden

AI-systemen die kwetsbaarheden door leeftijd, handicap of sociale of economische situatie van een persoon uitbuiten om diens gedrag wezenlijk te verstoren, zijn verboden.

Voorbeelden:

• Een commerciële chatbot die specifiek ouderen target met overtuigingstechnieken die zijn aangepast aan hun cognitieve kwetsbaarheden
• Een gericht reclamesysteem dat mensen in een situatie van overmatige schuldenlast benadert om consumptief krediet aan te bieden
• Een online spel dat AI gebruikt om verslavingsgedrag bij minderjarigen te identificeren en uit te buiten

4. Realtime biometrische identificatie in openbare ruimten

Het gebruik van realtime biometrische identificatiesystemen op afstand in openbaar toegankelijke ruimten voor rechtshandhavingsdoeleinden is verboden, met drie strikt omkaderde uitzonderingen:

• Het gericht zoeken naar slachtoffers van ontvoering, mensenhandel of seksuele uitbuiting
• Het voorkomen van een specifieke en dreigende terroristische dreiging
• De lokalisatie of identificatie van een persoon die verdacht wordt van het plegen van bepaalde ernstige strafbare feiten

Zelfs in deze gevallen is voorafgaande rechterlijke toestemming vereist en gelden strenge waarborgen.

5. Emotieherkenning op de werkplek en in het onderwijs

Artikel 5, lid 1, punt f — Règlement (UE) 2024/1689

[Verboden is] het op de markt brengen, het in gebruik stellen of het gebruik van AI-systemen om de emoties van een natuurlijke persoon op de werkplek en in onderwijsinstellingen af te leiden, behalve wanneer het gebruik van het AI-systeem bestemd is om te worden geïmplementeerd of op de markt te worden gebracht om medische of veiligheidsredenen.

Dit verbod is bijzonder relevant voor bedrijven. Het omvat:

• Emotieanalysetools bij videoconferenties: systemen die de gezichtsuitdrukkingen van deelnemers tijdens vergaderingen analyseren
• Emotionele bewakingssystemen: camera’s of software die stress, frustratie of betrokkenheidsgebrek van medewerkers detecteren
• Emotieanalyse bij opleidingen: tools die de emotionele toestand van cursisten meten om de inhoud aan te passen

De enige uitzonderingen: medische doeleinden (detectie van pijn bij niet-communicatieve patiënten, bijvoorbeeld) of veiligheidsdoeleinden (detectie van vermoeidheid bij een beroepschauffeur).

6. Opbouw van gezichtsdatabanken door scraping

De AI Act verbiedt de opbouw of uitbreiding van gezichtsherkenningsdatabanken door het ongerichte verzamelen van afbeeldingen van het internet of van videobewaking. Dit is een direct antwoord op de praktijken van bedrijven zoals Clearview AI, dat een database van meerdere miljarden gezichten had opgebouwd door het scrapen van openbare foto’s.

📄AI-risico's in het bedrijf: effectief identificeren en beheren→

Hoe controleren of uw bedrijf in overtreding is

De meeste bedrijven denken spontaan dat deze verboden hen niet aangaan. Maar bepaalde toepassingen, met name in HR en marketing, kunnen er gevaarlijk dicht bij komen.

Checklist ter verificatie

Stel uzelf deze vragen:

• Scoring en classificatie: Kent u geautomatiseerde scores toe aan individuen (klanten, medewerkers, kandidaten) die gegevens uit verschillende contexten combineren?
• Overtuiging en personalisatie: Buiten uw aanbevelings- of marketingsystemen geïdentificeerde kwetsbaarheden (leeftijd, financiële situatie, emotionele toestand) uit?
• Emotionele bewaking: Gebruikt u tools die de gezichtsuitdrukkingen, de stem of het gedrag van uw medewerkers analyseren voor andere doeleinden dan medische of veiligheid?
• Biometrie: Gebruikt u gezichtsherkenning in uw gebouwen? Zo ja, onder welke voorwaarden?
• Gezichtsgegevens: Hebben uw AI-leveranciers hun trainingsgegevenssets opgebouwd door het scrapen van online afbeeldingen?

Als het antwoord op een van deze vragen “ja” of “misschien” is, is een grondige analyse vereist.

De rol van opleiding

De kennis van deze verboden door medewerkers is essentieel. De verplichting inzake AI-geletterdheid (Artikel 4) omvat noodzakelijkerwijs het begrip van wat verboden is. Een medewerker die niet weet dat het gebruik van emotieherkenning in professionele context illegaal is, kan een niet-conform gebruik niet melden.

De opleiding van de teams over deze verboden is niet optioneel — het is een voorwaarde voor elke verantwoorde AI-governance.

📄AI Act Artikel 4: de opleidingsverplichting uitgelegd→

De sancties

Verboden praktijken worden beboet met het hoogste sanctieniveau van de AI Act: tot 35 miljoen euro of 7% van de wereldwijde jaaromzet, het hoogste bedrag is van toepassing. Het zijn de zwaarste boetes ooit voorzien door een Europese digitale regelgeving — zwaarder dan die van de AVG (Algemene Verordening Gegevensbescherming). In Nederland zal de Autoriteit Persoonsgegevens (AP) een centrale rol spelen in het toezicht op deze verboden praktijken.