Joris DeeneVeel ondernemingen focussen zich momenteel uitsluitend op de nieuwe AI Act om hun artificiële intelligentie juridisch dicht te timmeren. Dit is echter een misvatting: de AI Act staat niet op zichzelf, maar maakt deel uit van een complex “drieluik” samen met de Digital Markets Act (DMA) en de Data Act (DA). Voor ontwikkelaars en gebruikers van AI betekent dit dat compliance met de ene verordening niet automatisch leidt tot compliance met de andere; in de praktijk creëren deze regels een gelaagd stelsel van verplichtingen dat diep ingrijpt op hoe data mag worden verzameld, gedeeld en gebruikt voor AI-training.
Het Europese digitale speelveld: een trio van verordeningen
De Europese Unie bouwt aan een uitgebreid digitaal regelgevend kader. Waar de AI Act zich primair richt op productveiligheid, fundamentele rechten en risicoclassificatie van AI-systemen, hebben de DMA en de Data Act andere doelen. De DMA fungeert als een mededingingsinstrument om de macht van grote ‘poortwachters’ (zoals Big Tech) in te perken, terwijl de Data Act de toegang tot data uit verbonden apparaten (Internet of Things) democratiseert.
Het raakvlak tussen deze wetten is onvermijdelijk: AI heeft data nodig, en data is precies wat de DMA en DA reguleren.
De AI Act en de Digital Markets Act: botsende belangen?
De Digital Markets Act (DMA) richt zich op zogenoemde ‘poortwachters’: grote digitale platforms die kernplatformdiensten (zoals zoekmachines en sociale netwerken) aanbieden. Deze spelers zijn vaak ook de grootste ontwikkelaars van geavanceerde AI-modellen.
1. Beperkingen op datagebruik versus datakwaliteit
Een interessant spanningsveld ontstaat bij het trainen van AI. De AI Act vereist voor hoog-risico AI-systemen het gebruik van hoogwaardige datasets (artikel 10 AI Act) om fouten en bias te voorkomen. De DMA verbiedt poortwachters echter om persoonsgegevens van verschillende diensten te combineren zonder expliciete toestemming van de gebruiker (artikel 5 DMA).
Hoewel dit op het eerste gezicht tegenstrijdig lijkt – minder data kan leiden tot lagere kwaliteit AI – wordt dit juridisch niet als een conflict gezien. De kwaliteitseis in de AI Act is kwalitatief en niet louter kwantitatief; poortwachters moeten simpelweg de best mogelijke AI bouwen binnen de grenzen van de toegestane data.
2. Het verbod op zelfvoorkeur en AI-rankings
Algoritmes bepalen in grote mate welke producten of diensten u online te zien krijgt. De DMA verbiedt poortwachters om hun eigen diensten te bevoordelen in deze rankings (artikel 6(5) DMA).
Wanneer AI wordt gebruikt om deze rankings te genereren, ontstaat een dubbele transparantieverplichting:
- Volgens de AI Act is transparantie vooral gericht op de gebruiker (deployer) en toezichthouders.
- Volgens de DMA is transparantie gericht op de eindgebruiker en zakelijke gebruikers, zodat zij begrijpen waarom een bepaalde rangschikking tot stand komt.
Belangrijk om te weten is dat een ‘AI-audit’ onder de AI Act niet automatisch bewijst dat u voldoet aan de eerlijkheidsnormen van de DMA. De DMA vereist een specifieke toetsing of er geen sprake is van discriminatie of zelfvoorkeur, iets wat de technische standaarden van de AI Act niet per definitie dekken.
3. Generatieve AI als nieuwe kernplatformdienst?
Op dit moment worden AI-modellen (zoals LLM’s) nog niet expliciet als aparte ‘kernplatformdienst’ genoemd in de DMA. Echter, door de snelle opkomst van diensten zoals ChatGPT, die steeds meer fungeren als toegangspoort tot het internet, ontstaat de discussie of deze systemen onder de DMA moeten vallen.
De Europese Commissie kan bestaande categorieën, zoals ‘virtuele assistenten’ of ‘online zoekmachines’, breed interpreteren om generatieve AI hieronder te laten vallen. Als een AI-dienst een essentiële infrastructuur wordt voor andere bedrijven, kunnen de strenge DMA-verplichtingen in de toekomst dus ook hierop van toepassing worden verklaard.
De Data Act en AI: toegang tot data uit slimme apparaten
Waar de DMA zich richt op giganten, raakt de Data Act (DA) ook kleinere spelers, met name in de sector van het Internet of Things (IoT). De Data Act wil gebruikers de controle teruggeven over data gegenereerd door hun ‘verbonden producten’.
1. Is een AI-systeem een ‘verbonden product’?
De Data Act definieert een verbonden product als een ‘goed’. Omdat software en AI-systemen op zichzelf geen fysieke goederen zijn, vallen zij strikt genomen niet onder deze definitie.
Echter, AI-systemen zijn vaak ingebed in fysieke producten (denk aan een slimme camera, een auto of een robotstofzuiger) of functioneren als een ‘gerelateerde dienst’. In die gevallen zijn de dataverplichtingen van de Data Act wel degelijk van toepassing.
2. Het onderscheid tussen ruwe data en afgeleide data
Een cruciaal onderscheid voor AI-ontwikkelaars is welke data gedeeld moet worden met de gebruiker:
- Beschikbare data: De Data Act verplicht het delen van data die door het product wordt gegenereerd (ruwe data of voorbewerkte data).
- Afgeleide data: Informatie die het resultaat is van aanzienlijke investeringen en verwerking via eigen, complexe algoritmes, valt buiten de deelverplichting.
Voor AI-systemen is deze grens vaak vaag. Input-data (bv. sensordata) valt onder de Data Act, maar de output van een complex AI-model waarschijnlijk niet. Dit onderscheid zal in de praktijk voor veel juridische discussie zorgen en vereist een nauwkeurige ‘data mapping’ binnen uw organisatie.
3. Contractuele valkuilen voor AI-training
De Data Act beperkt wat datahouders (bijvoorbeeld fabrikanten) mogen doen met niet-persoonsgebonden data. Fabrikanten mogen data uit verbonden producten niet zomaar gebruiken om hun eigen AI-modellen te trainen of inzichten te verkrijgen over de economische situatie van de gebruiker, tenzij dit contractueel is vastgelegd.
Bovendien verbiedt de Data Act het delen van deze data met derde partijen voor andere doeleinden dan de uitvoering van het contract. Dit kan een obstakel vormen voor fabrikanten die data willen delen met externe AI-partners voor doorontwikkeling.
Veelgestelde Vragen (FAQ)
Geldt de Digital Markets Act (DMA) voor mijn KMO?
In de regel niet rechtstreeks. De DMA is specifiek gericht op ‘poortwachters’; dit zijn zeer grote ondernemingen met een systemische rol in de interne markt (zoals Alphabet, Amazon, Apple, ByteDance, Meta, Microsoft). Echter, als u als zakelijke gebruiker afhankelijk bent van deze platforms (bijvoorbeeld voor uw app of webshop), biedt de DMA u wel belangrijke rechten en bescherming tegen oneerlijke concurrentie.
Mag ik data uit mijn IoT-apparaten gebruiken om mijn AI te verbeteren?
Onder de Data Act mag u als datahouder niet-persoonsgebonden data (“direct beschikbare gegevens”) alleen gebruiken op basis van een contract met de gebruiker. U mag deze data niet gebruiken om inzichten te verkrijgen die de commerciële positie van de gebruiker ondermijnen. Voor het trainen van AI-modellen is het dus essentieel om duidelijke afspraken te maken in uw gebruikersovereenkomsten.
Wat als de regels van de AI Act en de Data Act elkaar tegenspreken?
Hoewel de wetgevingen verschillende doelen hebben, zijn ze complementair bedoeld. Er is geen directe hiërarchie. In de praktijk betekent dit dat u aan beide moet voldoen. Bijvoorbeeld: u moet zorgen dat uw AI-systeem veilig is (AI Act) én dat de gebruiker toegang heeft tot de gegenereerde data (Data Act). Dit vereist een holistische compliance-strategie.
Conclusie: een geïntegreerde aanpak is noodzakelijk
De tijd van voorbereiden ligt achter ons. Sinds 12 september 2025 is het merendeel van de bepalingen van de Data Act van toepassing. Dit betekent dat contracten die u vandaag afsluit over data-deling en AI-ontwikkeling onmiddellijk moeten voldoen aan de strenge eisen tegen oneerlijke bedingen (hoofdstuk IV van de Data Act).
De interactie tussen de AI Act, de DMA en de nu actieve Data Act creëert een complex juridisch landschap. Voor aanbieders van verbonden producten en AI-diensten is het niet langer een theoretische oefening: de regels gelden nu. Wie vandaag nog werkt met verouderde contracten of datastromen die geen rekening houden met de toegangsrechten van gebruikers, loopt een acuut compliancerisico.
Dutch 
English