EU AI Act Compliance
Verordening (EU) 2024/1689 — publieke conformiteitsverklaring
Laatst bijgewerkt: 6 mei 2026 · Versie 1.1 · Volgende heraudit: 24 april 2027
1. Samenvatting
TwentyTwo Labs voldoet aan alle op ons toepasselijke artikelen van de EU AI Act (Verordening (EU) 2024/1689). Onze AI Medewerkers (Riley, Scotti, en branchevarianten voor horeca, tandartsen en dienstverlening) zijn geclassificeerd als Limited Risk. Voor deze categorie geldt artikel 50: de plicht om elke gebruiker transparant te informeren dat zij met AI communiceren. Deze plicht voeren wij uit bij elk eerste contactmoment via chat of telefoon.
Deze pagina dient als publieke verantwoording. Alle onderliggende documenten (risk register, DPIA's, verwerkersovereenkomst-template, AI-geletterdheid, incident-procedure) maken deel uit van een intern bewijsdossier en zijn op aanvraag beschikbaar voor klanten en auditoren via privacy@22labs.nl.
2. Risicoclassificatie
Onder de AI Act zijn er vier risicocategorieën: unacceptable, high, limited en minimal. Onze AI Medewerkers vallen onder Limited Risk.
Waarom Limited Risk?
- Geen high-risk toepassing: geen onderwijs-, werk-, krediet-, rechtshandhavings-, migratie- of rechtsprekende besluiten.
- Geen biometrische identificatie op afstand.
- Geen emotion recognition op werkplek of in onderwijs.
- Geen social scoring of profilering met rechtsgevolg.
- Conversatie-AI: artikel 50 (transparantieplicht) is de relevante verplichting.
De volledige risicoanalyse per AI Medewerker is op aanvraag beschikbaar voor klanten en auditoren via privacy@22labs.nl. Reactietijd: binnen 5 werkdagen.
3. Verplichtingen en status
| Artikel | Onderwerp | Status |
|---|---|---|
| Art. 4 | AI-geletterdheid personeel + deployers | Conform |
| Art. 5 | Verboden praktijken niet toegepast | Conform |
| Art. 13 | Informatie aan gebruikers | Conform |
| Art. 26 | Deployer-verplichtingen (toezicht, logging) | Conform |
| Art. 50 lid 1 | Transparantie: gebruiker weet dat het AI is | Conform |
| Art. 50 lid 4 | Synthetische stem / deepfake-disclosure | Conform |
| Art. 72 | Post-market monitoring + incident log | Conform |
| AVG Art. 28 | Verwerkersovereenkomst per tenant | Conform |
| AVG Art. 33 | Datalek-meldplicht 72u | Conform |
| AVG Art. 35 | DPIA (tandartsen + best practice per branche) | Conform |
| AVG Art. 7 + ePrivacy | Cookie-consent | Conform |
4. Hoe herken je een gesprek met onze AI?
Wij passen artikel 50 toe via vaste openingsregels die in elk contactmoment worden afgedwongen door onze conversatie-orchestratielaag:
- WhatsApp (Riley, B2B Sales): "Hoi! Ik ben Riley, de AI-assistent van TwentyTwo Labs..."
- WhatsApp (horeca/tandartsen/dienstverlening): "Goedemiddag, u spreekt met de AI-assistent van [bedrijfsnaam]..."
- Telefoon (Scotti voice): "Goedemiddag, u spreekt met de AI-assistent van [bedrijfsnaam]. Mijn stem is kunstmatig gegenereerd."
- Website-chat: chat-bubble toont "AI-assistent Riley" als sender-naam.
Elke klant kan op elk moment vragen om een menselijke medewerker. Die verzoeken worden direct geëscaleerd naar de verantwoordelijke tenant.
5. AI-modellen die wij inzetten
Wij zijn deployer van general-purpose AI, niet provider. Dat betekent dat de zwaarste verplichtingen onder artikel 53-55 bij de modelbouwers liggen. Wij zetten gespecialiseerde foundation-providers in voor:
- Chat & reasoning: general-purpose LLM via een vooraanstaande Europese verwerkingsroute.
- Speech-to-Text: gespecialiseerde STT-provider voor voice-agents.
- Text-to-Speech: gespecialiseerde TTS-provider voor voice-agents.
Met al onze foundation-providers is contractueel vastgelegd dat jouw data niet wordt gebruikt voor modeltraining. De volledige sub-verwerkerslijst (inclusief vendor-namen) staat in onze privacyverklaring. Het volledige GPAI-register is op aanvraag beschikbaar voor klanten en auditoren via privacy@22labs.nl.
6. Jouw rechten als eindgebruiker
- Recht op informatie: deze pagina en onze privacyverklaring.
- Recht om menselijke interactie te vragen: zeg simpelweg "mens" en we schakelen door.
- Recht op inzage, rectificatie, wissing en andere AVG-rechten via privacy@22labs.nl met 30-dagen-SLA.
- Recht om klacht in te dienen bij de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl) of het AI Office (ai-office@ec.europa.eu).
7. Bewijsdossier (op aanvraag)
Wij onderhouden een compleet intern bewijsdossier dat op aanvraag beschikbaar is voor klanten en auditoren. Het dossier bevat de volgende documenten:
- AI Act Compliance Attestation (conformiteitsverklaring)
- AI Act Risk Register
- Prohibited Practices Check (Art. 5)
- AI Disclosure Wording (Art. 50)
- AI-geletterdheid (Art. 4)
- GPAI Model Register
- AI Incident Log
- Escalatieprocedure AP + AI Office
- DPIA Tandartsen (Art. 9 gezondheidsgegevens)
- DPIA Horeca
- DPIA Dienstverlening
- DPIA Riley Sales
- DPA-template (Art. 28 AVG)
Aanvragen via privacy@22labs.nl. Reactietijd: binnen 5 werkdagen voor klanten en auditoren.
8. Contact
Voor vragen over AI Act-compliance, privacy, of een verzoek tot audit:
- AI-compliance: privacy@22labs.nl
- Algemeen: info@22labs.nl
- Post: TwentyTwo Labs, 's-Hertogenbosch, Nederland (KvK 42012636)
9. Veelgestelde vragen
Voldoet TwentyTwo Labs aan de EU AI Act?
Ja. TwentyTwo Labs voldoet aan alle op ons toepasselijke artikelen van Verordening (EU) 2024/1689 (EU AI Act). Onze AI Medewerkers vallen onder de risicocategorie Limited Risk (artikel 50 — transparantieplicht). Wij publiceren een formele conformiteitsverklaring op deze pagina en onderhouden een compleet intern bewijsdossier, op aanvraag beschikbaar voor klanten en auditoren via privacy@22labs.nl.
Onder welke risicoklasse van de AI Act valt jullie systeem?
Limited Risk. Onze AI Medewerkers voeren conversaties voor afspraakbeheer en klantenservice. Zij nemen geen besluiten met juridisch of significant effect, voeren geen profilering of kredietbeoordeling uit, gebruiken geen biometrie en doen niet aan emotion recognition. Daarom geldt alleen de transparantieplicht van artikel 50: elke klant krijgt te horen dat ze met AI praten.
Hoe weet een klant dat hij met een AI praat?
In elk eerste WhatsApp-bericht en binnen de eerste vijf seconden van elk telefoongesprek noemt de AI Medewerker expliciet dat het een AI-assistent is. Bij voice-agents wordt daarnaast vermeld dat de stem kunstmatig is gegenereerd. Klanten kunnen op elk moment vragen om een menselijke medewerker.
Hebben jullie een DPIA?
Ja. Voor tandartspraktijken (Art. 9 AVG gezondheidsgegevens) hebben wij een volledige Data Protection Impact Assessment. Voor horeca, dienstverlening en B2B sales hebben wij pre-DPIA-assessments uitgevoerd als best practice. Alle DPIA's zijn op aanvraag beschikbaar voor klanten en auditoren via privacy@22labs.nl.
Gebruiken jullie klantdata om AI-modellen te trainen?
Nee. Wij hebben contractueel vastgelegd met alle LLM-, STT- en TTS-providers dat jouw data niet gebruikt wordt voor modeltraining. Wij zijn deployer van deze modellen, geen provider.
Wat gebeurt er als de AI een fout maakt?
Wij loggen elk incident in een intern incident-register. Bij impact op persoonsgegevens melden wij binnen 72 uur bij de Autoriteit Persoonsgegevens (AVG Art. 33). Bij een ernstig AI-incident melden wij binnen 15 dagen bij de nationale toezichthouder onder AI Act Art. 73. Getroffen klanten worden direct geïnformeerd.