EU AI Act: wat betekent dit voor uw data?

De EU AI Act is sinds 2025 van kracht en wordt gefaseerd ingevoerd tot 2027. Voor data-organisaties verandert er veel — maar minder dan veel mensen denken, mits uw governance al op orde is. Dit stuk vat samen wat er feitelijk verandert voor data-eigenaren en wat een pragmatische voorbereiding eruit ziet.

Wat de Act feitelijk eist (vereenvoudigd)

De EU AI Act categoriseert AI-systemen in vier risico-niveaus:

• Verboden — systemen die bijvoorbeeld sociaal gedrag scoren of emoties detecteren op de werkvloer
• Hoog risico — AI in HR-selectie, kredietbeoordeling, medische triage, kritieke infrastructuur, onderwijs-toelating, biometrische identificatie
• Beperkt risico — chatbots, deep fakes (transparantie-verplichting: gebruiker moet weten dat het AI is)
• Minimaal risico — spam-filters, AI in games

De meeste discussie gaat over hoog risico, en daar liggen ook de zwaarste data-eisen.

Wat dat concreet voor uw data betekent

Voor hoog-risico AI-systemen vereist de Act dat u onder andere kunt aantonen:

1. Welke data het model heeft gebruikt. Niet alleen “we hebben Snowflake gebruikt” — concreet welke datasets, welke kolommen, welke filters. Dit vraagt data lineage van bron tot trainingsset.

2. Hoe die data tot stand is gekomen. Welke transformaties, welke kwaliteitscontroles, welke aannames. Vraagt lineage + documentatie van uw data pipelines.

3. Welke kwaliteit die data heeft. Bias-detectie, representativiteit, volledigheid. Vraagt data quality-monitoring met meetbare metrics per dataset.

4. Wie eigenaar is van de data. Niet alleen technisch (in welk systeem staat het), maar ook organisatorisch (wie neemt beslissingen over wijzigingen, kwaliteit, toegang). Vraagt data stewardship en governance-organisatie.

5. Hoe data wordt beschermd. Toegangscontroles, audit-trail, retentie. Vraagt policy management met enforcement.

Vier van deze vijf zijn — niet toevallig — kerngebieden uit het DAMA DMBoK-raamwerk. Als uw organisatie DAMA-georiënteerd werkt heeft u een voorsprong; zo niet, dan is de EU AI Act een goede aanleiding om dit fundament nu op te bouwen.

Wat dit niet betekent

Een veelvoorkomend misverstand: de Act verbiedt geen AI of vereist niet dat alle data perfect is. Wat de Act vereist is dat u aantoonbaar weet wat er gebeurt en proportioneel kunt verantwoorden waarom u de keuzes maakt die u maakt. Dat is voor data-volwassen organisaties haalbaar.

Een pragmatische voorbereiding

Op basis van wat cimt-klanten doen:

Stap 1 — Inventariseer. Welke AI-systemen draaien in uw organisatie? Classificeer per categorie (verboden / hoog-risico / beperkt / minimaal). Veel organisaties ontdekken dat ze meer AI in productie hebben dan ze dachten — vooral in HR-tooling en marketing-stacks.

Stap 2 — Vul gaps in datafundament. Voor hoog-risico systemen: data catalog, lineage, quality monitoring, stewardship-rollen. Geen big bang — wij adviseren een Governance Quickscan van 1-2 weken om prioriteiten te bepalen.

Stap 3 — Documenteer. Een AI-systeem zonder dossier is een AI-systeem dat juridisch onverdedigbaar is. Dossier = welke data, welke training, welke validatie, welke monitoring. Tools zoals erwin Data Intelligence bevatten hier AI model-certificering voor.

Stap 4 — Embed in proces. Compliance is geen project maar een proces. Nieuwe AI-use-cases moeten standaard door een lichtgewicht governance-review.

Wanneer met cimt praten?

Komt een van deze herkenbaar over:

• “We hebben AI-projecten lopen maar weten niet of we compliant zijn”
• “Onze legal vraagt aantoonbare data lineage en we kunnen die niet leveren”
• “We willen AI opschalen maar elke nieuwe use case loopt vast op data quality”
• “Onze DPO heeft ons gewaarschuwd dat AI Act-deadlines naderen”

Dan is een AI Readiness Assessment of Governance Quickscan een goed startpunt. In 2-4 weken weet u waar u staat en wat de snelste route naar compliant is. Plan een gesprek.