De tijd van vrijheid, blijheid in AI is voorbij. AI is intussen een dagelijkse tool voor functies in alle geledingen van organisaties. Het gevolg is nieuwe wetgeving waar ook marketeers het een en ander gaan merken. In deze blog neem ik je mee wat dit de EU AI Act voor jouw marketingactiviteiten betekent.
Allereerst een feitje wat aangeeft dat regelgeving rondom het gebruik van AI geen overbodige luxe is. In 2025 gebruikt 88 procent van marketeers AI in dagelijkse werkzaamheden. En voor wie dat cijfer nog niet genoeg verbaast, zal het komende jaren verder toenemen, aangezien 85 procent aangeeft dat AI in meer of mindere mate bijdraagt aan het behalen van marketingdoelstellingen. Imposante getallen, die aantonen dat het gebruik van AI in marketing anno nu niet meer weg te denken is.
Je denkt misschien: “Ik zie nauwelijks negatieve gevolgen van AI, is zo'n wet dan wel nodig?” Begrijpelijk. Van wat ik kan zien gebruiken vrijwel alle Nederlandse organisaties tools als ChatGPT, Gemini en Dall-E verantwoord en ethisch. Maar dat baseer ik puur op wat ik zelf ervaar, op social media zie en wat in publicaties verschijnt. En het voorspelt niets over toekomstig gebruik, waarin AI breder en autonomer wordt ingezet. Denk bijvoorbeeld aan geautomatiseerde contentcreatie, automatisch posten van social media berichten, analyseren van campagnes, SEO-optimalisaties, uitsturen van gepersonaliseerde (A/B test) e-mails en meer. Misschien gebeurt dit ethisch, maar personalisatie kan ook manipulatief worden wanneer bijvoorbeeld misbruik wordt gemaakt van kwetsbare groepen.
Om AI-gebruik ook in de toekomst in goede banen te leiden, kwam de Europese Commissie in april 2021 met een wetsvoorstel. Per 1 augustus 2024 in de Europese Unie de AI-verordening ook daadwerkelijk ingevoerd. Het doel is om AI nu en komende jaren veilig en betrouwbaar te ontwikkelen en toe te passen. Stapsgewijs worden er hogere eisen gesteld aan de ontwikkeling en het gebruik van AI-systemen binnen Europa, onafhankelijk of deze van Europese, Aziatische of Amerikaanse makelij zijn.
Het goede nieuws voor marketeers is dat de EU AI Act niet bedoeld is om het gebruik aan banden te leggen. Ook blijven de meeste (85%) AI-systemen die in Europa worden gebruikt buiten schot, omdat deze volgens de classificeringsnorm die de EC hanteert weinig tot geen risico’s opwerpen voor Europese burgers. De rest – systemen die wel risico’s opleveren, zie volgende paragraaf voor voorbeelden – hiervan is wél in strijd is met de nieuwe regelgeving. Een organisatie kan bij het gebruik hiervan een boete tot 30 miljoen euro krijgen. Of moet tot 6 procent van de wereldwijde jaaromzet inleveren. Geen halve maatregelen dus.
Waar kun je dan een boete voor krijgen? In de verordening is een lijst opgesteld van wat niet meer mag. AI die discriminatie, uitbuiting van kwetsbaarheden, bedreigingen voor persoonlijke veiligheid en onbalans in macht, beschikbaarheid van hulpbronnen of invloed creëert, wordt expliciet verboden. Dit is de volledige lijst:
Daaronder zit een categorie van risicovolle AI-systemen die niet verboden worden, maar waarvan het gebruik door organisaties wel geadresseerd zal moeten worden. Dat betekent werk aan de winkel voor CIO’s, CTO’s en ook marketingmanagers. Vanaf augustus 2025 gaan nationale toezichthouders (de Autoriteit Persoonsgegevens in Nederland) handhaven op verboden AI-systemen en is er nog een kans om risicovolle aspecten te patchen in de minder risicovolle groep. Daarna, vanaf augustus 2026 geldt verplichte naleving voor alle AI-systemen.
Als je nu denkt: ‘Oh, maar dat valt dan best mee?!’ Klopt. Hoewel een punt als social scoring (3) marketingsystemen kan raken, ligt het zwaartepunt bij de nieuwe regels zoals gezegd vooral bij de aanbieders ervan en grote organisaties met eigen AI-systemen en/of complexe toepassingen. Toch schrijft de nieuwe wet voor dat medewerkers die AI gebruiken, dus ook marketeers, ‘AI-geletterd’ moeten zijn. Wat houdt dit in?
De EU AI Act schrijft voor dat elke organisatie die iets met AI doet, inclusief de zzp’ers die er werken, maatregelen moeten treffen om ervoor te zorgen dat medewerkers over voldoende AI-kennis beschikken. Welke maatregelen en kennis dat dan zijn, daar zegt de wet niets over. Dit mag je dus zelf bepalen.
Het lijkt hiermee voldoende te zijn om je collega’s te wijzen op het in gebruik zijn van AI voor bepaalde processen en activiteiten en eventueel regels mee te geven over documenten die wel en niet naar een chatbot als Claude of Copilot mogen worden gestuurd. Of dat je het gebruik van bepaalde tools verbiedt of afraadt, ofwel omdat ze door Europa als hoog risicovol worden gezien of omdat ze bedrijfsgegevens of klantdata in gevaar brengen. (Denk bijvoorbeeld aan het laten verwerken van Europese klantgegevens op een Amerikaanse AI-server, wat alleen mag volgens de regels die de AVG voorschrijft.)
Niet verplicht, maar verstandig is het om je medewerkers niet alleen mee te nemen in algemene regels en informatie over AI-gebruik (een gedragscode), maar om je communicatie toe te spitsen op specifieke rollen, tools en toepassingen. Een IT’er gebruikt AI namelijk op een compleet andere manier dan een HR-collega. En voor een marketeer kan het ook weer helemaal anders zijn. Verdiep je in de manier waarop deze functies met AI werken, doe een nulmeting, bepaal waar je wilt staan en maak vervolgens workshops en trainingstrajecten op maat. Niet alleen goed om te voldoen aan de Europese wet, maar ook een kans om medewerkers op te leiden in AI en daarmee efficiënter en/of productiever te gaan werken.
Om een beeld te krijgen met wat een test gevraagd kan worden, is deze test van Hogeschool Windesheim een goed startpunt. Het duurt een kwartiertje om de ‘AI Startbekwaamheidstest’ in te vullen. Aspecten als algemene AI-kennis, AI-toepassingen als ChatGPT, privacy, machine learning, prompt engineering en ethische, juridische en maatschappelijke aspecten komen allen aan bod.