Sancties AI Act: tot 35 miljoen euro boete

Een sanctieregime zonder precedent

De Europese Verordening inzake kunstmatige intelligentie (Verordening 2024/1689) voert een van de strengste sanctiesystemen in van het Europese digitale recht. Met boetes tot 35 miljoen euro of 7% van de wereldwijde omzet geeft de AI Act een duidelijk signaal: niet-naleving op het gebied van AI is geen abstract risico, het is een belangrijk financieel risico.

Artikel 99 — Règlement (UE) 2024/1689

De lidstaten stellen het sanctieregime en andere handhavingsmaatregelen vast, die ook waarschuwingen en niet-geldelijke maatregelen kunnen omvatten, die van toepassing zijn op overtredingen van deze verordening door exploitanten, en nemen alle nodige maatregelen om ervoor te zorgen dat deze correct en doeltreffend worden toegepast […].

De drie boetenniveaus

Artikel 99 van de verordening definieert drie sanctieniveaus, naargelang de ernst van de overtreding.

Niveau 1 — Verboden praktijken: 35 M€ of 7% van de wereldwijde omzet

Het hoogste sanctieniveau geldt voor overtredingen van Artikel 5 (verboden praktijken):

• Sociale scoring
• Subliminale manipulatie of misleidende technieken
• Uitbuiting van kwetsbaarheden van personen
• Realtime biometrische identificatie in openbare ruimten (behoudens uitzonderingen)
• Emotieherkenning op de werkplek en in het onderwijs
• Opbouw van gezichtsdatabanken door scraping

De boete kan oplopen tot 35 miljoen euro of 7% van de wereldwijde jaaromzet van het bedrijf, het hoogste bedrag is van toepassing.

Voor een bedrijf met 500 miljoen euro omzet betekent dit potentieel 35 miljoen euro boete. Voor een wereldwijd concern met 10 miljard euro omzet loopt de theoretische boete op tot 700 miljoen euro.

Niveau 2 — Niet-naleving van hoog-risicosystemen: 15 M€ of 3% van de wereldwijde omzet

Het tweede niveau bestraft overtredingen van de verplichtingen voor hoog-risico AI-systemen en AI-modellen voor algemene doeleinden:

• Niet-naleving van risicobeheerseisen (Artikel 9)
• Gebrekkige datagovernance (Artikel 10)
• Ontbreken van technische documentatie (Artikel 11)
• Gebrek aan transparantie jegens gebruikers (Artikel 13)
• Ontoereikend menselijk toezicht (Artikel 14)
• Niet-naleving van AI-modellen voor algemene doeleinden (Artikelen 51 tot 56)
• Niet-naleving van de AI-geletterdheidsverplichting (Artikel 4)

Dit laatste punt is cruciaal: het gebrek aan opleiding van medewerkers in AI valt onder dit niveau. Een bedrijf dat geen enkele maatregel heeft genomen om een voldoende niveau van AI-geletterdheid voor zijn personeel te garanderen, riskeert boetes tot 15 miljoen euro of 3% van de wereldwijde omzet.

Niveau 3 — Onjuiste informatie: 7,5 M€ of 1,5% van de wereldwijde omzet

Het derde niveau geldt wanneer een bedrijf onjuiste, onvolledige of misleidende informatie verstrekt aan de bevoegde autoriteiten of aangemelde instanties:

• Valse conformiteitsverklaringen
• Vervalste of onvolledige technische documenten
• Onjuiste antwoorden op informatieverzoeken van autoriteiten
• Verzwijging van incidenten of storingen

De boete kan oplopen tot 7,5 miljoen euro of 1,5% van de wereldwijde jaaromzet.

Vergelijking met de AVG: zwaardere boetes

Om de strengheid van het AI Act-regime te meten, is de vergelijking met de AVG verhelderend:

Criterium	AVG	AI Act
Maximale boete (vast bedrag)	20 M€	35 M€
Maximale boete (% van de omzet)	4% van de wereldwijde omzet	7% van de wereldwijde omzet
Aantal niveaus	2	3
Van kracht sinds	Mei 2018	Gefaseerd (2025-2027)
Toezichthoudende autoriteit	Gegevensbeschermingsautoriteiten	Nationale autoriteiten + Europees AI-bureau

De Europese wetgever heeft de sancties van de AI Act bewust boven die van de AVG vastgesteld. De boodschap is duidelijk: de risico’s van slecht beheerde AI worden minstens even ernstig geacht als die van gegevensbescherming — en bedrijven zullen dienovereenkomstig worden bestraft.

Ter herinnering: de AVG-sancties zijn niet theoretisch gebleven. In 2023 ontving Meta een boete van 1,2 miljard euro van de Ierse autoriteit. Amazon had in 2021 in Luxemburg 746 miljoen euro gekregen. In Nederland heeft de AP (Autoriteit Persoonsgegevens) zelf al aanzienlijke boetes opgelegd onder de AVG. De Europese autoriteiten hebben bewezen dat ze niet aarzelen om de maximale sancties toe te passen op grote bedrijven.

De speciale regelingen voor het MKB

De verordening voorziet in een aangepaste behandeling voor kleine bedrijven. Artikel 99(6) preciseert dat de boetes “doeltreffend, evenredig en afschrikkend” moeten zijn. Voor het MKB en startups moeten de autoriteiten rekening houden met de economische levensvatbaarheid van het bedrijf.

Concreet:

• De percentages van de omzet gelden op dezelfde wijze, maar de vaste bedragen (35 M€, 15 M€, 7,5 M€) vormen een absoluut plafond
• De autoriteiten moeten rekening houden met de omvang van het bedrijf, de ernst van de overtreding, het al dan niet opzettelijke karakter, en de genomen maatregelen om de schade te beperken
• De regulatoire sandboxen (Artikel 57) bieden een kader waarbinnen het MKB zijn AI-systemen in reële omstandigheden kan testen met begeleiding van de autoriteiten

Wie controleert en wie bestraft?

De bevoegde nationale autoriteiten

Elke lidstaat moet een of meer bevoegde nationale autoriteiten aanwijzen die belast zijn met het markttoezicht en de handhaving van de verordening. In Nederland zal deze verantwoordelijkheid waarschijnlijk worden gedeeld door verschillende instanties:

• De Autoriteit Persoonsgegevens (AP) — reeds bevoegd voor gegevensbescherming, heeft zij een natuurlijke expertise op het gebied van AI-systemen die persoonsgegevens verwerken
• De Rijksinspectie Digitale Infrastructuur of een nieuwe toegewijde autoriteit — voor aspecten gerelateerd aan AI-modellen en infrastructuur
• De bestaande sectorale autoriteiten (AFM/DNB voor financiën, IGJ voor gezondheidszorg) — voor hoog-risico AI-systemen in hun respectieve domeinen

Het Europees AI-bureau (AI Office)

Opgericht binnen de Europese Commissie, speelt het Europees AI-bureau een coördinerende rol en beschikt het over directe bevoegdheden voor AI-modellen voor algemene doeleinden. Het kan:

• De conformiteit van AI-modellen voor algemene doeleinden beoordelen
• Corrigerende maatregelen eisen van aanbieders
• Boetes opleggen voor overtredingen betreffende modellen voor algemene doeleinden

📄AI Act Artikel 4: de opleidingsverplichting uitgelegd→

Het belang van het kunnen bewijzen van compliance

Naast de boetes berust het mechanisme van de AI Act op een fundamenteel principe: de bewijslast ligt bij het bedrijf. Het is niet aan de autoriteit om aan te tonen dat u niet compliant bent — het is aan u om aan te tonen dat u dat wel bent.

Wat “compliance bewijzen” concreet betekent

1. Technische documentatie: voor elk hoog-risico AI-systeem een volledig dossier dat het systeem, zijn doeleinden, prestaties, beperkingen en gebruikte trainingsgegevens beschrijft
2. Complianceregisters: historie van conformiteitsbeoordelingen, interne audits, updates
3. Gebruikslogs: automatische registraties die de beslissingen van AI-systemen traceren (minimale bewaarperiode van zes maanden)
4. Opleidingsbewijzen: certificaten, evaluatieresultaten, deelnamepercentages — die aantonen dat het personeel het door Artikel 4 vereiste geletterdheidsniveau bereikt
5. Meldingsprocedures: gedocumenteerde mechanismen waarmee gebruikers storingen of problematische resultaten kunnen melden

Een meetbare en traceerbare geletterdheidsscore per medewerker vormt een bijzonder sterk bewijselement voor Artikel 4. Evenzo maakt een volledig historiek van gevolgde opleidingen, met data, inhoud en resultaten, het mogelijk om compliance objectief te bewijzen.

De verzwarende factor: de afwezigheid van maatregelen

Bij een controle is de meest ongunstige situatie niet het hebben van een onvolmaakt complianceprogramma — het is er helemaal geen te hebben. De autoriteiten zullen rekening houden met de door het bedrijf geleverde inspanningen. Een gestructureerde aanpak hebben gestart, zelfs een onvolledige, is altijd te verkiezen boven totale inactiviteit.

📄AI-audit in het bedrijf: praktische stap-voor-stap gids→

De risicokalender

De sancties worden geleidelijk van toepassing, in lijn met de inwerkingtreding van de verschillende verplichtingen:

Datum	Geldende verplichtingen	Toepasselijke sancties
1 februari 2025	Verboden praktijken (Artikel 5)	Tot 35 M€ / 7%
2 augustus 2025	AI-geletterdheid (Artikel 4) + Modellen voor algemene doeleinden	Tot 15 M€ / 3%
2 augustus 2026	Hoog-risico AI-systemen	Tot 15 M€ / 3%
2 augustus 2027	Hoog-risicosystemen geïntegreerd in gereguleerde producten	Tot 15 M€ / 3%

De eerste twee deadlines zijn al verstreken. Bedrijven die nog geen maatregelen hebben genomen over verboden praktijken en AI-geletterdheid bevinden zich al in de gevarenzone.

Voorbij de boetes: de indirecte risico’s

De financiële sancties zijn slechts het zichtbare deel. Niet-naleving van de AI Act stelt bloot aan andere, even belangrijke risico’s:

• Reputatierisico: publiekelijk worden geïdentificeerd als niet-compliant met de AI-regelgeving stuurt een desastreus signaal naar klanten, partners en investeerders
• Commercieel risico: compliant bedrijven zullen van hun leveranciers en partners eisen dat zij dat ook zijn — een cascade-effect vergelijkbaar met dat van de AVG
• Operationeel risico: autoriteiten kunnen het uit de markt nemen van een niet-compliant AI-systeem bevelen of het gebruik ervan verbieden — waardoor kritieke bedrijfsprocessen mogelijk worden lamgelegd
• Juridisch risico: personen die getroffen zijn door een niet-compliant AI-systeem kunnen gerechtelijke stappen ondernemen, met de bijbehorende juridische en schadevergoedingskosten