Verbod op social scoring onder de AI Act (artikel 5): wat mag wel, wat niet?

Toen de Europese Commissie haar voorstel voor de AI Act presenteerde, was social scoring het politiek meest beladen onderwerp. Het Chinese Social Credit System diende als afschrikwekkend voorbeeld: een door de overheid georkestreerd puntensysteem dat burgers beloont of beperkt op basis van hun gedrag. Het verbod dat uiteindelijk in artikel 5 lid 1 sub c van de AI Act is opgenomen, gaat echter verder dan dat. Het richt zich niet alleen op overheden, maar ook op private partijen, en raakt aan business modellen die in Europa al lang bestaan: van loyaliteitsprogramma's tot trust scores op marktplaatsen en dynamic pricing in de retail.

In dit artikel zetten we het verbod uitvoerig op een rij: wat de wettekst precies inhoudt, welke kenmerken een AI-systeem onder het verbod brengen, hoe het zich verhoudt tot reguliere kredietscoring, en welke grensgevallen in 2026 de meeste hoofdbrekens kosten.

Wat verbiedt artikel 5 lid 1 sub c?

De wettekst verbiedt het in de handel brengen, in gebruik nemen of gebruiken van AI-systemen die natuurlijke personen of groepen evalueren of classificeren over een bepaalde periode op basis van hun sociaal gedrag of hun bekende, afgeleide of voorspelde persoonlijke of persoonlijkheidskenmerken, waarbij de sociale score leidt tot een of beide van de volgende gevolgen:

• nadelige of ongunstige behandeling van personen of groepen in een sociale context die geen verband houdt met de context waarin de gegevens oorspronkelijk zijn gegenereerd of verzameld;
• nadelige of ongunstige behandeling die ongerechtvaardigd of onevenredig is ten opzichte van het sociale gedrag of de ernst daarvan.

Vier elementen moeten dus samenkomen om onder het verbod te vallen. Het gaat om (1) een AI-systeem, dat (2) natuurlijke personen evalueert of classificeert, (3) op basis van sociaal gedrag of persoonseigenschappen, met (4) gevolgen die cross-domein zijn of onevenredig zwaar.

Geldt het ook in private context?

Het korte antwoord: ja. Het verbod is uitdrukkelijk niet beperkt tot publieke autoriteiten. Het oorspronkelijke Commissie-voorstel uit 2021 sprak nog alleen over scoring door of namens overheden, maar tijdens de trialoog tussen Commissie, Raad en Europees Parlement is de reikwijdte verbreed naar elke partij die een AI-systeem in de handel brengt of inzet. De achterliggende reden: ook private bedrijven met grote dataverzamelingen, denk aan socialmediaplatforms, verzekeraars en e-commercereuzen, kunnen een de-facto sociaal puntensysteem opbouwen dat consumenten in hun keuzevrijheid en grondrechten raakt.

Het verbod richt zich dus zowel op B2C als op B2B, voor zover natuurlijke personen (consumenten, werknemers, sollicitanten, klanten) worden geevalueerd. Een puur zakelijke risicoscore over een rechtspersoon valt daarbuiten, een score over de directeur-grootaandeelhouder als natuurlijke persoon weer wel.

Welke kenmerken maken het verboden?

De wettekst noemt expliciet vier risicokenmerken. Een AI-systeem valt eerder onder het verbod naarmate meer van deze elementen aanwezig zijn:

1. Opgebouwd over de tijd: de score is geen momentopname maar wordt door observatie van gedrag in de loop van weken, maanden of jaren opgebouwd.
2. Sociaal gedrag of inferenties: de score is gebaseerd op gedragingen in het maatschappelijk verkeer (online posts, social interactie, betaalmoraal in een ongerelateerde context) of op afgeleide kenmerken (politieke voorkeur, leefstijl).
3. Cross-domein gevolgen: de score wordt gebruikt om beslissingen te nemen in een ander domein dan waar de data vandaan komt. Voorbeeld: social media-gedrag dat een ziektekostenverzekeraar gebruikt voor premiestelling.
4. Onevenredig nadeel: de gevolgen zijn disproportioneel ten opzichte van het gedrag, bijvoorbeeld een levenslange uitsluiting van financiele dienstverlening na een eenmalige betalingsachterstand.

Wat mag wel: reguliere kredietscoring

De Europese wetgever heeft expliciet ruimte gelaten voor reguliere financiele scoringspraktijken. In overweging 31 van de AI Act staat dat het verbod niet bedoeld is om reguliere beoordelingen van natuurlijke personen voor specifieke doeleinden te raken, zoals kredietwaardigheidsbeoordeling of risicoanalyse voor financiele dienstverlening, mits die beoordeling gebeurt in lijn met EU-recht en op basis van relevante en evenredige criteria.

Concreet: een banken-AI die kredietwaardigheid beoordeelt op basis van inkomen, schulden, betaalhistorie en BKR-registratie valt buiten het social scoring-verbod. Wel is dit kredietscoringssysteem een hoog-risico AI-systeem onder Bijlage III, punt 5(b) van de AI Act. Dat betekent een hele reeks aanvullende verplichtingen vanaf 2 augustus 2026: risicobeheersysteem, datakwaliteitsbeheer, technische documentatie, transparantie, menselijk toezicht en conformiteitsbeoordeling.

Wat mag niet: cross-domein scoring

Op het andere uiteinde van het spectrum staan AI-systemen die data uit het ene domein gebruiken om gevolgen in een totaal ander domein op te leggen. Een aantal concrete scenario's die in onze visie onmiskenbaar onder het verbod vallen:

Grensgevallen: loyaliteitsprogramma's, dynamic pricing, trust scores

Tussen evident verboden en evident toegestaan ligt een grijs gebied dat in 2026 het meest om juridisch advies vraagt.

Loyaliteitsprogramma's die punten geven op basis van aankopen en korting bieden op toekomstige aankopen vallen meestal buiten het verbod. De data (aankoopgeschiedenis) en het gevolg (korting in dezelfde winkel) zijn direct gerelateerd, en het nadeel voor wie niet meedoet is evenredig. Het wordt risicovoller als een retailer de loyaliteits-data deelt met derden voor kredietscoring of verzekeringen.

Dynamic pricing waarbij prijzen aan individuele consumenten worden aangepast op basis van koopgedrag is een snelgroeiende praktijk. Volgens de Europese richtsnoeren van januari 2025 wordt dit risicovoller naarmate (a) de prijsdifferentiatie groter is, (b) de data uit een ander domein komt en (c) consumenten geen alternatief hebben. Eenzijdig premieverhogingen voor klanten die op een ander platform negatief over een bedrijf hebben gepost, valt in onze visie onder het verbod.

Trust scores op marktplaatsen zoals Airbnb, Bol.com Verkooppartner of Marktplaats Verkoper zijn op zich toelaatbaar zolang ze betrekking hebben op het gedrag binnen het platform en gevolgen hebben binnen datzelfde platform (zichtbaarheid, ranking, account-suspensie). Cross-platform-delen of gebruik voor onverbonden doeleinden brengt ze in het verboden gebied.

Verhouding met consumentenbescherming

Het social scoring-verbod staat niet op zichzelf. Het overlapt op meerdere punten met bestaande consumentenbeschermingsregels. De Richtlijn 2005/29/EG over oneerlijke handelspraktijken verbiedt al misleidende of agressieve commerciele praktijken, en de Digital Services Act stelt eisen aan platformtransparantie. De AVG verbiedt geautomatiseerde besluitvorming met aanmerkelijke gevolgen zonder uitdrukkelijke toestemming of wettelijke grondslag (artikel 22 AVG).

Voor bedrijven is het belangrijk te beseffen dat een AI-systeem dat niet onder het social scoring-verbod valt, alsnog op een of meer van deze andere regels kan stuiten. Een score-gebaseerde beslissing met aanmerkelijke financiele of juridische gevolgen vraagt op zijn minst om een DPIA, een AVG-grondslag en transparantieverplichtingen onder artikel 50 AI Act.

Concrete voorbeelden uit Europese guidance

De Europese Commissie publiceerde in februari 2025 niet-bindende richtsnoeren over de verboden AI-praktijken. Daarin worden enkele expliciete voorbeelden gegeven van wat de Commissie als verboden ziet:

• Een AI-systeem van een telecomprovider dat een score opbouwt uit betaalgeschiedenis, klacht-frequentie en socialmediasentiment, en gebruikt wordt om klantenservice-prioriteit toe te kennen.
• Een AI-systeem van een verhuurder die kandidaten scoort op basis van hun social-media-aanwezigheid en koopgedrag bij derde partijen.
• Een platformbreed reputatiesysteem dat consumenten een algemene betrouwbaarheidsscore geeft op basis van interacties in onverbonden dienstverlening.

Het Bureau van de Hoge Vertegenwoordiger voor de fundamentele rechten van de EU heeft daarnaast aangegeven dat ook AI in arbeidsbemiddeling die kandidaten scoort op niet-relevante persoonseigenschappen onder het verbod kan vallen.

Boetes en handhaving

Overtreding van artikel 5 valt in de zwaarste boetecategorie van de AI Act: tot 35 miljoen euro of 7 procent van de wereldwijde jaaromzet, waarbij het hoogste bedrag geldt. Voor de grote platforms en multinationals kan dit oplopen tot miljarden. De Autoriteit Persoonsgegevens, in Nederland coordinator namens de Directie Coordinatie Algoritmes, is bevoegd om sancties op te leggen, naast eventuele AVG-boetes voor onrechtmatige verwerking.

Daarnaast staat een bedrijf bloot aan civielrechtelijke aansprakelijkheid jegens betrokken consumenten, klachten bij de Consumentenbond en het Europese Bureau van Consumentenorganisaties, en aan markttoezicht in alle EU-lidstaten waar het systeem operationeel is.

Wat doet u als organisatie nu?

Voor bedrijven met klantgerichte AI-systemen is in 2026 een aantal stappen onontbeerlijk:

1. Algoritmes inventariseren in een AI-register: welke scoring- of profileringsmechanismen draaien er, met welke input en welke output?
2. Scoring-mechanismen toetsen op cross-domein effect: komt de data uit hetzelfde domein als waar de gevolgen vallen? Is de uitkomst evenredig?
3. Transparantie naar betrokkenen: kunt u uitleggen welke factoren tot welke uitkomst leiden? Krijgt de betrokkene een verklaring en een bezwaarmogelijkheid?
4. DPIA uitvoeren op elk systeem dat aanmerkelijke gevolgen voor consumenten heeft.
5. Contracten met leveranciers toetsen: garandeert de leverancier dat het systeem voldoet aan artikel 5, of staat er een aansprakelijkheidsbeperking die u het risico in de schoenen schuift?