De regering heeft in de ministerraad het wetsvoorstel goedgekeurd voor het verantwoord gebruik en het bestuur van kunstmatige intelligentie (KI), een norm die het Spaanse kader afstemt op de Europese AI-verordening. Dit voorstel moet nog de parlementaire procedure in het Congres en de Senaat doorlopen voordat het definitief wet wordt. Het is dus geen geïsoleerde regelgeving of nationale toevalligheid: Spanje ontwikkelt de onderdelen die de AI-verordening aan de lidstaten toevertrouwt, met name toezicht, governance, vergunningen en sanctieregime.
De tekst stuurt een duidelijke boodschap naar bedrijven, overheden en technologische aanbieders: het gebruik van KI wordt niet langer alleen een keuze voor productontwikkeling of efficiëntie. Het wordt ook een kwestie van naleving, traceerbaarheid, menselijke supervisie en aansprakelijkheid. De boetes variëren van 6.000 euro voor lichte overtredingen tot 35 miljoen euro of 7 % van de wereldwijde jaarlijkse omzet voor de ernstigste schendingen verbonden aan verboden praktijken.
Een sanctieregime om de AI-verordening kracht bij te zetten in Nederland
De Europese AI-verordening, die in 2024 wordt aangenomen, is rechtstreeks toepasselijk in heel de Europese Unie, maar vereist dat elke lidstaat haar eigen toezichtssysteem organiseert. Het Spaanse wetsvoorstel vervult deze rol: het definieert autoriteiten, sanctieprocedures, coördinatie tussen toezichthouders en regels voor bijzonder gevoelige toepassingen zoals remote biometrische identificatie in real-time in openbare ruimtes.
De regelgeving classificeert overtredingen als licht, ernstig en zeer ernstig. De strengste overtredingen betreffen verboden praktijken volgens de Europese verordening, zoals bepaalde manipulatieve toepassingen, systemen voor sociale scoring, illegale biometrische classificatie of remote biometrische identificatie buiten de toegestane gevallen.
| Soort overtreding | Voorzienbare sanctie |
|---|---|
| Licht | Van 6.000 tot 500.000 euro of 0,5 % tot 1 % van de wereldwijde omzet |
| Ernstig | Van 500.001 tot 7.500.000 euro of 1 % tot 2 % |
| Zeer ernstig bij hoog-risico systemen | Van 7.500.001 tot 15.000.000 euro of 2 % tot 3 % |
| Zeer ernstig bij verboden praktijken | Van 7.500.001 tot 35.000.000 euro of 2 % tot 7 % |
Het voorstel introduceert ook een belangrijke regel voor concernstructuren: wanneer de overtredende onderneming deel uitmaakt van een groep, wordt het te respecteren omzetvolume voor de sanctiebepaling het groepsomzet, niet alleen dat van de directe dochteronderneming. Hiermee wordt voorkomen dat grote bedrijven de afschrikwekkende werking van boetes ondermijnen door middel van kleine entiteiten.
Voor kleine en middelgrote ondernemingen (kmo’s) en start-ups voorziet de tekst een meer proportioneel behandelding. Waar nodig, kan de boete worden berekend op basis van het lagere bedrag of percentage. Daarnaast kan de toezichthouder in minder ernstige gevallen het proces opschorten als het bedrijf de situatie corrigeert en de schade vergoedt.
De publieke sector bevindt zich in een andere positie: als een overheidsinstantie een overtreding begaat, kan de bevoegde autoriteit de overtreding vaststellen, de instantie waarschuwen en corrigerende maatregelen verplichten, maar het opleggen van administratieve boetes is uitgesloten. Deze uitzondering roept al discussies op, omdat sommige deskundigen en verenigingen menen dat hiermee het daadwerkelijke effect van de wet wordt ondermijnd wanneer misbruik van KI door overheidsdiensten plaatsvindt.
AESIA, AP en sectorale toezichthouders: wie houdt wat in de gaten?
De Spaanse toezichthuis voor artificiële intelligentie, AESIA, wordt versterkt als het centrale aanspreekpunt en een van de hoofdautoriteiten binnen het toezichtsysteem. Ze krijgt bevoegdheden over veel hoog-risico-systemen en over overtredingen op het gebied van transparantie en algemene KI-verplichtingen.
Maar zij werkt niet zelfstandig. Het wetsvoorstel verdeelt verantwoordelijkheden over meerdere autoriteiten. De Spaanse Gegevensbeschermingsautoriteit en regionale gegevensbeschermingsinstanties zullen toezicht houden op toepassingsgebieden zoals biometrie, naleving van rechten, migratie, asiel en grenscontrole. Het Banco de España en de CNMV zullen toezicht uitoefenen op KI-systemen die te maken hebben met solvabiliteit en kredietbeoordelingen. De Directie Generaal Verzekeringen en Pensioenen zal toezien op systemen die worden gebruikt voor risicobeoordeling en prijsstelling in levens- en gezondheidsverzekeringen. Ook het Hoofdbureau van de Rechtspraak en het Centraal Kiesbureau vormen toezichthouders op het gebied van rechtspraak en democratische processen.
Deze structuur weerspiegelt een onaangename realiteit: KI past niet in één loket. Een systeem voor personeelsselectie brengt andere risico’s met zich mee dan één dat wordt ingezet voor het toekennen van krediet, het vaststellen van verzekeringspremies, medische beeldanalyse, kritieke infrastructuurbewaking of het genereren van synthetische content. Daarom zal governance noodzakelijk sectorgericht blijven, zij het gecoördineerd.
Om tegenstrijdige criteria te voorkomen, creëert het wetsvoorstel een gemengde coördinatiecommissie voor markttoezicht, geleid en beheerd door AESIA. Verder voorziet het in mechanismen voor informatie-uitwisseling, jaarlijkse rapportages en technische assistentie tussen de toezichthouders.
Biometrie, deepfakes en synthetische content
Een van de meest gevoelige onderdelen betreft het gebruik van remote biometrische identificatiesystemen in real-time in openbare ruimtes. Het voorstel handhaaft het algemene verbod, maar regelt uitzonderlijke gevallen met het oog op naleving van de wet. Deze toepassingen moeten beperkt blijven tot specifieke personen, vooraf bepaalde doeleinden, geografische en temporele grenzen, en altijd met gerechtelijke toestemming van de administratiefrechtelijke rechtbanken.
De toestemming moet binnen 48 uur worden verleend. In urgente situaties kan het gebruik eerder plaatsvinden, maar bij weigering moet direct worden gestopt en de verzamelde gegevens worden verwijderd. Ook moeten gegevens van andere personen dan de toegestane personen worden verwijderd en zonder uitstel worden vernietigd.
Een ander belangrijk punt betreft inhoud die door KI is gegenereerd of gemanipuleerd. Leveranciers moeten aangeven wanneer een persoon interactie heeft met een KI-systeem, en synthetische audio-, beeld-, video- of tekstresultaten duidelijk markeren zodat de kunstmatige aard ervan kan worden vastgesteld. Ook hebben verantwoordelijken voor de implementatie de plicht tot transparantie bij het gebruik van systemen voor gezichts- of emotieherkenning, biometrische classificatie of het genereren van deepfakes.
Dit beïnvloedt direct sectoren zoals media, reclame, entertainment, sociale media, politieke campagnes, personeelszaken, bankwezen, verzekeringen en klantenservice. De vraag luidt niet langer alleen of een inhoudsitem door KI is gemaakt, maar of het correct wordt geïdentificeerd, gedocumenteerd en gemonitord, vooral wanneer het rechten kan aantasten of verwarring kan zaaien.
Wat moeten bedrijven nu al doen?
Hoewel het wetsvoorstel nog parlementair in behandeling is, zou wachten op publicatie in het Staatsblad (BOE) een fout zijn voor organisaties die al KI inzetten bij relevante processen. De voorbereiding begint met een basisstap: inzicht krijgen in welke KI-systemen worden gebruikt, wie ze heeft aangeschaft, wie ze superviseert, welke gegevens worden gebruikt, welke beslissingen worden ondersteund en welke leveranciers betrokken zijn.
De meeste bedrijven hebben geen bureaucratische structuur nodig, maar wel een degelijk controlemechanisme. Een intern overzicht, risicoclassificatie, minimale documentatie, contractbeoordeling en opleiden van teams kunnen grote problemen voorkomen. KI die wordt gebruikt voor het schrijven van interne e-mails vormt een ander risico dan systemen die worden ingezet voor kandidatenselectie, ontslagaanbevelingen, premieberekeningen of toegang tot essentiële diensten.
| Veld van naleving | Praktische maatregel |
|---|---|
| Inventaris | Registeren van gebruikte, ontwikkelde of geïntegreerde KI-systemen |
| Risico | Elk systeem classificeren volgens de Europese AI-verordening |
| Transparantie | Vermelden van interactie met KI of relevant synthetisch materiaal |
| Menselijke supervisie | Aanstelling van verantwoordelijken met training, autoriteit en interventiecapaciteit | Traceerbaarheid | Bewaren van registraties, technische documentatie en bewijsstukken |
| Leveranciers | Contracten, instructies, verantwoordelijkheden en garanties beoordelen |
| Data | Kwaliteit, relevantie, representativiteit en bescherming van gegevens beoordelen |
| Impact | Evaluaties uitvoeren wanneer rechten worden aangetast |
| Opleiding | AI-kennis opdoen voor technische, juridische, leidinggevende en zakelijke teams |
De regelgeving belemmert niet de innovatie. Wat ze doet, is de lat hoger leggen wanneer AI-initiatieven invloed kunnen hebben op rechten, veiligheid, werkgelegenheid, onderwijs, essentiële diensten of publieke informatie. Voor veel organisaties gaat het risico niet om het gebruik van KI, maar om het gebruiken zonder goed te weten waar, hoe en met welke beheersmaatregelen.
Het wetsvoorstel voorziet ook in strenge voorlopige maatregelen. Bij risico’s voor veiligheid, gezondheid of fundamentele rechten kan de overheid de commercialisering blokkeren, het systeem verwijderen, waarschuwingen uitvaardigen, gebruikers waarschuwen of het systeem zelfs vernietigen of onbruikbaar maken. Bij zeer ernstige overtredingen of incidenten kan volledige verwijdering of loskoppeling van de KI worden verplicht.
De boodschap voor bestuursraden is duidelijk: KI wordt een onderdeel van de corporate risk management agenda. Het is niet meer genoeg dat de technische afdeling tools test of dat een afdeling oplossingen met KI implementeert. Het bestuur moet weten welke systemen worden gebruikt, welke risico’s ze met zich meebrengen en welke bewijzen er zijn om compliance aan te tonen.
Spanje bouwt geen losstaand kader naast de Europese regels, maar vertaalt de AI-verordening naar de nationale administratieve en sanctioneringspraktijk. Hoewel de parlementaire behandeling nog wijzigingen kan brengen, ligt de koers al vast. KI verschuift van een grijs gebied naar een duidelijk gereguleerde werkelijkheid. Vanaf nu moet elke implementatie kunnen uitleggen wat wordt gedaan, waarom, wie toezicht houdt en wat de consequenties zijn bij falen.
Veelgestelde vragen
Is de AI-wet al van kracht?
Nee. Het wetsvoorstel is door de ministerraad goedgekeurd, maar moet nog in het congres en de senaat behandeld worden, en daarna nog worden vastgesteld, ondertekend en gepubliceerd in het Staatsblad (BOE).
Wat is de maximale boete voor verkeerd gebruik van KI?
Voor de ernstigste overtredingen, zoals verboden praktijken, kan de boete oplopen tot 35 miljoen euro of 7 % van de wereldwijde jaaromzet, afhankelijk van wat hoger is.
Welke rol krijgt AESIA?
De Spaanse Toezichtautoriteit voor Kunstmatige Intelligentie, AESIA, wordt het centrale aanspreekpunt en een toezichthoudende autoriteit voor AI in Spanje.
Wat moeten bedrijven nu al doen?
Inventariseren van KI-systemen, risico’s classificeren, leveranciers beoordelen, beslissingen documenteren, teams opleiden, menselijke supervisie regelen en naleving coördineren met GDPR, cybersecurity, intellectueel eigendom en sectorregels.
vía: Digital