Vanaf augustus 2026 is het gedaan met het vrijblijvend experimenteren met AI in Europa. Op die datum wordt het overgrote deel van de AI Act juridisch afdwingbaar en komt er een einde aan de informele fase van AI-adoptie. Organisaties die generatieve AI inzetten, krijgen te maken met strikte eisen rond transparantie, risicoclassificatie, menselijk toezicht en verantwoording. En dat met serieuze boetes als potentieel gevolg. Compliance wordt daarbij al snel gezien als een rem op het maximaal benutten van technologie en groei. Maar dat hoeft het niet te zijn.
Wie de juiste technische fundamenten kiest, beschouwt compliance volgens mij immers eerder als versneller. En wie goed kijkt, ziet dat de grote cloudproviders, elk op hun eigen manier, platforms hebben gebouwd die opvallend veel van de AI Act-vereisten technisch faciliteren. De cloud is dus niet zomaar een plek om AI te draaien. Het is, mits goed ingericht, een omgeving die organisaties helpt om AI beheersbaar, schaalbaar en verantwoord te implementeren.
Hyperscalers zoals AWS, Microsoft Azure en Google Cloud bieden elk een uitgebreid ecosysteem aan tools die organisaties concreet kunnen helpen bij die compliance-uitdaging. In dit stuk gebruik ik AWS en Amazon Bedrock als voorbeeld, aangezien dat het platform is waar ik dagelijks mee werk en waarover ik met kennis van zaken kan spreken. Ik vermoed echter dat de onderliggende principes breed toepasbaar zijn binnen andere cloudomgevingen, maar dan elk met hun specifieke benamingen.
Alles begint bij de modelkeuze
De AI Act verplicht aanbieders en gebruikers om uit te leggen hoe hun systemen werken (artikel 13 voor high-risk systemen), en eindgebruikers moeten weten wanneer ze met AI te maken hebben (artikel 50). Cloudplatformen spelen hierop in met een model-agnostische aanpak. In plaats van één black box bieden ze toegang tot meerdere foundation models van verschillende aanbieders, elk met bijbehorende documentatie en model cards. Hoewel dit een implementatiedetail lijkt, dwingt het organisaties om expliciet na te denken over hun modelkeuzes en die keuzes te onderbouwen. Precies het niveau van verantwoording waar toezichthouders om vragen. Aan de identificatieplicht tegenover eindgebruikers (artikel 50) is relatief eenvoudig te voldoen via system prompt-instructies of UI-aanpassingen.
Een tweede pijler van de AI Act is herleidbaarheid (artikel 12). Wat gebeurde er, wanneer en waarom? Cloudplatformen hebben hier een structureel voordeel: logging en monitoring zijn default ingebakken. Op AWS legt CloudTrail elke API-aanroep vast, terwijl Bedrock Model Invocation Logging prompts, responses en metadata systematisch wegschrijft. Wie heeft het model aangeroepen, met welke input, welke parameters en welke output? Alles is vast te leggen.
Azure biedt vergelijkbare mogelijkheden via Azure Monitor en diagnostische logs binnen Azure OpenAI Service. Google Cloud heeft Cloud Logging en Audit Logs die AI-aanroepen op gelijkaardige wijze bijhouden. De technologie verschilt, maar het principe is hetzelfde: de cloud geeft je de infrastructuur om een audit trail op te bouwen die voldoet aan de logging- en monitoringverplichtingen voor high-risk systemen. De organisatie moet die infrastructuur dan wel bewust inzetten.
Bias en kwaliteitsborging
Voor high-risk toepassingen zoals recrutering, kredietbeoordeling of medische triage moeten organisaties aantonen dat hun systemen geen ongewenste discriminatie veroorzaken (artikel 10 over datagovernance, artikel 15 over nauwkeurigheid en robuustheid). Hier is een nuance op zijn plaats: generatieve AI-modellen bevatten geen ingebouwde bias-detectie in een klassieke, statistische zin.
Cloudproviders bieden wel mechanismen om bias in de praktijk te beperken. Op AWS is er de integratie met SageMaker Clarify voor bias-analyse en feature attribution, aangevuld met retrieval-augmented generation (RAG) via gecontroleerde kennisbronnen. Azures Responsible AI-tooling en Google Clouds Model Cards en Vertex Explainable AI bewandelen een vergelijkbaar pad. Het gemeenschappelijke principe: je vertrouwt niet blind op een generiek model, maar stuurt op context, brondata en aantoonbare kwaliteit.
De AI Act stelt duidelijke grenzen aan wat AI wel en niet mag (artikel 5 over verboden praktijken en de strenge eisen voor high-risk systemen). Cloudplatformen bieden runtime-mechanismen om die grenzen te bewaken. In Bedrock heet dit Guardrails: contentfilters voor schadelijke categorieën, het blokkeren van verboden topics, PII-redactie voor persoonsgegevens en contextual grounding om hallucinaties te detecteren wanneer een model afwijkt van de aangeleverde brondata. Azure Content Safety en Google Clouds safety filters vullen dezelfde rol in op hun respectieve platformen. De details kennen uiteraard hun nuances, maar de architectuurkeuze is identiek: geen post-hoc moderatie, maar grenzen die als ontwerpkeuze in de runtime zijn ingebakken.
Artikel 14 van de AI Act stelt dat high-risk systemen niet volledig autonoom mogen opereren in kritische processen. Cloudplatformen maken het relatief eenvoudig om AI te integreren in workflows met menselijke goedkeuring. Een model genereert een voorstel, een medewerker keurt het goed, past het aan of wijst het af. Dat klinkt vanzelfsprekend, maar in de praktijk ontbreekt deze stap nog vaak. Door human-in-the-loop expliciet in de architectuur op te nemen – bijvoorbeeld via orchestratietools zoals AWS Step Functions, Azure Logic Apps of Google Cloud Workflows – sluit je direct aan op artikel 14 en bouw je tegelijk een correctiemechanisme in dat het systeem op termijn verbetert.
Datasoevereiniteit en Europese compliance
Europese regelgeving stelt scherpe eisen aan gegevensverwerking en -bescherming. Cloudproviders hebben hierop geanticipeerd. De grote drie bieden allen de mogelijkheid om data en workloads binnen de EU te houden, met encryptie in transit en at rest, strikte toegangscontrole en door de klant beheerde sleutels. Cruciaal voor generatieve AI: inputdata wordt bij enterprise-aanbiedingen van de grote cloudproviders niet gebruikt om onderliggende modellen te hertrainen. Voor wie nog verder wil gaan in datasoevereiniteit, biedt AWS een European Sovereign Cloud: een afgeschermde, in Europa gevestigde en door Europees initiatieven lopen voor overheden en regulated industries. De cloud hoeft dus geen blinde vlek te zijn voor organisaties die werken met persoonsgegevens of bedrijfskritische informatie.
Al het bovenstaande laat zien dat cloudproviders veel meer bieden dan rekenkracht voor AI. Ze bieden een ecosysteem van tools die organisaties helpen om AI beheersbaar, herleidbaar en verantwoord te maken. En dat is precies waar de AI Act om draait. Niet het verbieden van AI, maar het afdwingen van verantwoordelijkheid.
Tegelijkertijd is het belangrijk om daar niet in door te schieten. Hoe krachtig de technologie ook is, compliance blijft een organisatorische verantwoordelijkheid. Een cloudplatform kan audit trails leveren, maar je bepaalt wat je logt en hoe je dat gebruikt. Het kan guardrails afdwingen, maar je definieert wat wel en niet toegestaan is. Het integreert met bias-detectie, maar jij beslist wanneer een verschil acceptabel is en wanneer niet. De AI Act is dus geen puur IT-vraagstuk, maar een governance-vraagstuk. De cloud reikt je hierin de bouwstenen aan. Maar bouwen moet je uiteraard nog altijd zelf.
Dit is een ingezonden bijdrage van Jeroen Jacobs, managing Partner bij Cloudar.Klik hier voor meer informatie over de oplossingen van het bedrijf.