EU AI Act Compliance
Verordening (EU) 2024/1689 — publieke conformiteitsverklaring
Laatst bijgewerkt: 24 april 2026 · Versie 1.0 · Volgende heraudit: 24 april 2027
1. Samenvatting
TwentyTwo Labs voldoet aan alle op ons toepasselijke artikelen van de EU AI Act (Verordening (EU) 2024/1689). Onze AI Medewerkers (Riley, Scotti, en branchevarianten voor horeca, tandartsen en dienstverlening) zijn geclassificeerd als Limited Risk. Voor deze categorie geldt artikel 50: de plicht om elke gebruiker transparant te informeren dat zij met AI communiceren. Deze plicht voeren wij uit bij elk eerste contactmoment via chat of telefoon.
Deze pagina dient als publieke verantwoording. Alle onderliggende documenten (risk register, DPIA's, verwerkersovereenkomst-template, AI-geletterdheid, incident-procedure) zijn beschikbaar in onze publieke git-repository en opvraagbaar via privacy@22labs.nl.
2. Risicoclassificatie
Onder de AI Act zijn er vier risicocategorieën: unacceptable, high, limited en minimal. Onze AI Medewerkers vallen onder Limited Risk.
Waarom Limited Risk?
- Geen high-risk toepassing: geen onderwijs-, werk-, krediet-, rechtshandhavings-, migratie- of rechtsprekende besluiten.
- Geen biometrische identificatie op afstand.
- Geen emotion recognition op werkplek of in onderwijs.
- Geen social scoring of profilering met rechtsgevolg.
- Conversatie-AI: artikel 50 (transparantieplicht) is de relevante verplichting.
De volledige risicoanalyse per AI Medewerker staat in het AI Act Risk Register.
3. Verplichtingen en status
| Artikel | Onderwerp | Status |
|---|---|---|
| Art. 4 | AI-geletterdheid personeel + deployers | Conform |
| Art. 5 | Verboden praktijken niet toegepast | Conform |
| Art. 13 | Informatie aan gebruikers | Conform |
| Art. 26 | Deployer-verplichtingen (toezicht, logging) | Conform |
| Art. 50 lid 1 | Transparantie: gebruiker weet dat het AI is | Conform |
| Art. 50 lid 4 | Synthetische stem / deepfake-disclosure | Conform |
| Art. 72 | Post-market monitoring + incident log | Conform |
| AVG Art. 28 | Verwerkersovereenkomst per tenant | Conform |
| AVG Art. 33 | Datalek-meldplicht 72u | Conform |
| AVG Art. 35 | DPIA (tandartsen + best practice per branche) | Conform |
| AVG Art. 7 + ePrivacy | Cookie-consent | Conform |
4. Hoe herken je een gesprek met onze AI?
Wij passen artikel 50 toe via vaste openingsregels die in elk contactmoment worden afgedwongen door de Master Orchestrator (interne routinglaag):
- WhatsApp (Riley, B2B Sales): "Hoi! Ik ben Riley, de AI-assistent van TwentyTwo Labs..."
- WhatsApp (horeca/tandartsen/dienstverlening): "Goedemiddag, u spreekt met de AI-assistent van [bedrijfsnaam]..."
- Telefoon (Scotti voice): "Goedemiddag, u spreekt met de AI-assistent van [bedrijfsnaam]. Mijn stem is kunstmatig gegenereerd."
- Website-chat: chat-bubble toont "AI-assistent Riley" als sender-naam.
Elke klant kan op elk moment vragen om een menselijke medewerker. Die verzoeken worden direct geëscaleerd naar de verantwoordelijke tenant.
5. AI-modellen die wij inzetten
Wij zijn deployer van general-purpose AI, niet provider. Dat betekent dat de zwaarste verplichtingen onder artikel 53-55 bij de modelbouwers liggen. Wij documenteren welke modellen wij inzetten en waarvoor:
- Anthropic Claude (Sonnet 4.6 / Opus 4.7) — chat, reasoning, tool-calling.
- Deepgram Nova-3 / Flux — speech-to-text voor voice-agents.
- ElevenLabs v2 — text-to-speech voor voice-agents.
Alle drie hebben contractueel vastgelegd dat jouw data niet wordt gebruikt voor modeltraining. Volledig GPAI-register: gpai-model-register.md.
6. Jouw rechten als eindgebruiker
- Recht op informatie: deze pagina en onze privacyverklaring.
- Recht om menselijke interactie te vragen: zeg simpelweg "mens" en we schakelen door.
- Recht op inzage, rectificatie, wissing en andere AVG-rechten via privacy@22labs.nl met 30-dagen-SLA.
- Recht om klacht in te dienen bij de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl) of het AI Office (ai-office@ec.europa.eu).
7. Bewijsdossier (publiek raadpleegbaar)
Alle onderliggende documenten staan in onze publieke repository:
- AI Act Compliance Attestation (conformiteitsverklaring)
- AI Act Risk Register
- Prohibited Practices Check (Art. 5)
- AI Disclosure Wording (Art. 50)
- AI-geletterdheid (Art. 4)
- GPAI Model Register
- AI Incident Log
- Escalatieprocedure AP + AI Office
- DPIA Tandartsen (Art. 9 gezondheidsgegevens)
- DPIA Horeca
- DPIA Dienstverlening
- DPIA Riley Sales
- DPA-template (Art. 28 AVG)
8. Contact
Voor vragen over AI Act-compliance, privacy, of een verzoek tot audit:
- AI-compliance: privacy@22labs.nl
- Algemeen: info@22labs.nl
- Telefoon: +31 97 010 205 522
- Post: TwentyTwo Labs, 's-Hertogenbosch, Nederland (KvK 42012636)
9. Veelgestelde vragen
Voldoet TwentyTwo Labs aan de EU AI Act?
Ja. TwentyTwo Labs voldoet aan alle op ons toepasselijke artikelen van Verordening (EU) 2024/1689 (EU AI Act). Onze AI Medewerkers vallen onder de risicocategorie Limited Risk (artikel 50 — transparantieplicht). Wij publiceren een formele conformiteitsverklaring op deze pagina en onderhouden een compleet bewijsdossier in onze publieke git-repository.
Onder welke risicoklasse van de AI Act valt jullie systeem?
Limited Risk. Onze AI Medewerkers voeren conversaties voor afspraakbeheer en klantenservice. Zij nemen geen besluiten met juridisch of significant effect, voeren geen profilering of kredietbeoordeling uit, gebruiken geen biometrie en doen niet aan emotion recognition. Daarom geldt alleen de transparantieplicht van artikel 50: elke klant krijgt te horen dat ze met AI praten.
Hoe weet een klant dat hij met een AI praat?
In elk eerste WhatsApp-bericht en binnen de eerste vijf seconden van elk telefoongesprek noemt de AI Medewerker expliciet dat het een AI-assistent is. Bij voice-agents wordt daarnaast vermeld dat de stem kunstmatig is gegenereerd. Klanten kunnen op elk moment vragen om een menselijke medewerker.
Hebben jullie een DPIA?
Ja. Voor tandartspraktijken (Art. 9 AVG gezondheidsgegevens) hebben wij een volledige Data Protection Impact Assessment. Voor horeca, dienstverlening en B2B sales hebben wij pre-DPIA-assessments uitgevoerd als best practice. Alle DPIA's zijn beschikbaar in de publieke repository.
Gebruiken jullie klantdata om AI-modellen te trainen?
Nee. Wij hebben contractueel vastgelegd met alle LLM- en spraakproviders (Anthropic, Deepgram, ElevenLabs) dat jouw data niet gebruikt wordt voor modeltraining. Wij zijn deployer van deze modellen, geen provider.
Wat gebeurt er als de AI een fout maakt?
Wij loggen elk incident in een intern incident-register. Bij impact op persoonsgegevens melden wij binnen 72 uur bij de Autoriteit Persoonsgegevens (AVG Art. 33). Bij een ernstig AI-incident melden wij binnen 15 dagen bij de nationale toezichthouder onder AI Act Art. 73. Getroffen klanten worden direct geïnformeerd.