Als uw bedrijf de afgelopen achttien maanden heeft gebruikt om een nalevingsprogramma voor de Colorado AI Act op te bouwen rond risicobeheersbeleid, jaarlijkse effectbeoordelingen en zorgplichten met betrekking tot algoritmische discriminatie, dan zijn de regels zojuist veranderd. Op 14 mei 2026 ondertekende de gouverneur van Colorado, Jared Polis, Senate Bill 26-189, die de oorspronkelijke Colorado AI Act introk en verving voordat de belangrijkste verplichtingen ooit van kracht werden. Het nieuwe kader laat de zorgplichtnorm, de vereiste voor een formeel risicobeheersprogramma en het mandaat voor jaarlijkse effectbeoordelingen vallen. In plaats daarvan komt een beperkter transparantieregime dat is opgebouwd rond kennisgevingen vóór gebruik, bekendmakingen na een nadelige uitkomst en een klein pakket consumentenrechten die zijn gekoppeld aan "gereguleerde geautomatiseerde besluitvormingstechnologie".
Voor oprichters, HR-leiders, kredietverstrekkers, verzekeraars, zorgbeheerders, verhuurders en SaaS-exploitanten die advieskosten hebben gemaakt voor het oorspronkelijke SB 24-205-kader, is de natuurlijke reactie opluchting. Die opluchting moet echter getemperd worden. De nieuwe wet legt nog steeds reële verplichtingen op aan bedrijven van bijna elke omvang, brengt nog steeds handhavingsrisico's met zich mee van de procureur-generaal van Colorado en vereist nog steeds dat u in kaart brengt waar geautomatiseerde besluitvormingstechnologie invloed heeft op beslissingen met wezenlijke gevolgen in uw activiteiten. De nalevingslast is lichter, maar niet nul, en de ingangsdatum van 1 januari 2027 komt sneller dichterbij dan de meeste teams verwachten zodra budgetcycli en heronderhandelingen met leveranciers worden meegerekend.
Deze gids bespreekt wat er is veranderd, wat er is overgebleven, wie onder de wet valt, wat u specifiek moet doen vóór 1 januari 2027 en hoe u de verplichtingen in Colorado kunt coördineren met de lappendeken van andere staats- en federale AI-regels die nu gelden voor bedrijven die in meerdere rechtsgebieden actief zijn.
Wat er is gebeurd met de oorspronkelijke Colorado AI Act
De oorspronkelijke Colorado AI Act, gecodificeerd als SB 24-205, werd ondertekend in mei 2024 en zou op 1 februari 2026 in werking treden. Het was de eerste uitgebreide AI-wet op staatsniveau in de Verenigde Staten en was losjes gemodelleerd naar de risicogebaseerde aanpak van de AI-verordening van de Europese Unie. Het oorspronkelijke kader kreeg aanhoudende kritiek van technologiebedrijven, zakelijke groepen en partijoverschrijdende wetgevers die betoogden dat het innovatie in de staat zou bestraffen, kosten zou opleggen die niet in verhouding staan tot het werkelijke risico op algoritmische discriminatie, en kleine bedrijven zou dwingen om governanceprogramma's op te zetten die vergelijkbaar zijn met die van gereguleerde financiële instellingen.
Tijdens de wetgevende sessie van 2025 verlengde de Algemene Vergadering de ingangsdatum van 1 februari 2026 naar 30 juni 2026 om wetgevers de tijd te geven het statuut te herzien. In mei 2026 werd SB 26-189 aangenomen en ondertekend, waarmee de oorspronkelijke wet werd ingetrokken en vervangen door een aanzienlijk beperkter kader dat op 1 januari 2027 in werking treedt. De procureur-generaal van Colorado is verplicht om de implementerende regelgeving tegen diezelfde datum te voltooien, en het kantoor heeft aangegeven dat de handhaving pas zal beginnen zodra de regelgeving voltooid is en bedrijven een redelijke kans hebben gehad om zich aan te passen.
Het praktische resultaat voor uw nalevingsteam: alle documentatie, pakketten voor leveranciersdue-diligence of sjablonen voor effectbeoordelingen die u hebt opgesteld tegen het SB 24-205-kader, behouden hun waarde als basis, maar u moet ze herijken aan de SB 26-189-verplichtingen in plaats van de oorspronkelijke zorgplichtnorm.
Wat bleef en wat verdween
Het begrijpen van het verschil tussen de oude en de nieuwe wet is belangrijk omdat consultants en leveranciers nog steeds SB 24-205-kaders verkopen. Hier is wat er weg is, wat er nieuw is en wat behouden is gebleven.
Verwijderd uit de oorspronkelijke wet:
- De zorgplicht om consumenten te beschermen tegen algoritmische discriminatie
- De vereiste voor een formeel risicobeheersbeleid en -programma
- Het mandaat voor jaarlijkse effectbeoordelingen met betrekking tot doel, gegevensinvoer, beperking, monitoring en discriminatierisico
- De verplichting tot ontdekking en openbaarmaking binnen 90 dagen gekoppeld aan ontdekte algoritmische discriminatie
- Het vrijstellingskader voor kleine gebruikers met de test met vier criteria (dit is geherstructureerd, niet letterlijk behouden)
Nieuw onder SB 26-189:
- Een beperkter toepassingsgebied rond "gereguleerde geautomatiseerde besluitvormingstechnologie" in plaats van "hoogrisico kunstmatige intelligentiesystemen"
- Een tweestaps-kennisgevingskader: kennisgeving vóór gebruik voorafgaand aan inzet bij een beslissing met wezenlijke gevolgen, plus bekendmaking na een nadelige uitkomst binnen 30 dagen
- Een recht voor consumenten op toegang tot en correctie van persoonsgegevens die door de gereguleerde ADMT worden gebruikt
- Een recht om betekenisvolle menselijke beoordeling van beslissingen met wezenlijke gevolgen aan te vragen, indien technisch haalbaar
- Een toegankelijkheidsvereiste dat alle kennisgevingen consumenten met een beperking en beperkte Engelse taalvaardigheid bereiken
- Een veilige haven (safe harbor) die gebruikers toestaat om aan de kennisgeving vóór gebruik te voldoen via een prominente openbare publicatie die zich redelijkerwijs in de nabijheid van de interactie met de consument bevindt
In essentie behouden:
- De lijst met categorieën van beslissingen met wezenlijke gevolgen: onderwijs, werkgelegenheid, financiële of leendiensten, essentiële overheidsdiensten, gezondheidszorg, huisvesting, verzekeringen en juridische diensten
- Exclusieve handhaving door de procureur-generaal van Colorado zonder particulier recht op actie
- Behandeling van overtredingen als misleidende handelspraktijken onder de Colorado Consumer Protection Act
- Het algemene onderscheid tussen ontwikkelaars (die ADMT bouwen of wezenlijk wijzigen) en gebruikers (die het gebruiken om beslissingen met wezenlijke gevolgen te nemen over consumenten in Colorado)
Wie valt er binnen het toepassingsgebied
De nieuwe wet is van toepassing op elke ontwikkelaar of exploitant van gedekte geautomatiseerde besluitvormingstechnologie (ADMT) die besluiten met aanzienlijke gevolgen voor consumenten in Colorado neemt of materieel beïnvloedt. De geografie wordt bepaald door de woonplaats van de consument, niet door de locatie van uw bedrijf. Een remote-first SaaS-bedrijf met het hoofdkantoor in Austin of een wervingsbureau in New York dat kandidaten plaatst bij werkgevers in Colorado, valt dus direct binnen het toepassingsgebied.
Een besluit met aanzienlijke gevolgen onder SB 26-189 is elk besluit dat een materieel juridisch of vergelijkbaar significant effect heeft op de verstrekking, weigering, kosten of voorwaarden van diensten in acht categorieën: onderwijsinschrijving of -kansen, werkgelegenheid of arbeidskansen, financiële of leningdiensten, een essentiële overheidsdienst, gezondheidszorg, huisvesting, verzekeringen of juridische diensten. De lijst omvat de meeste beslissingen met grote belangen die kleine en middelgrote bedrijven dagelijks over mensen nemen.
Praktijkvoorbeelden van gedekte use-cases zijn onder meer cv-screeningstools die sollicitanten scoren, kredietbeoordelingsmodellen die leningen goedkeuren of afwijzen, prijsstellingsmodules voor verzekeringen die premies bepalen, screeningstools voor huurders die huuraanvragers filteren, klinische beslissingsondersteuning die invloed heeft op welke patiënten worden ingepland of doorverwezen, AI-tutoren of toelatingsinstrumenten die worden gebruikt door online onderwijsaanbieders, en intake- of triage-instrumenten bij juridische loketten of websites van advocatenkantoren. Chatbots voor de klantenservice, marketingpersonalisatie, interne productiviteitstools en generatieve AI die wordt gebruikt voor het opstellen van content vallen over het algemeen buiten het toepassingsgebied, tenzij ze een materieel effect hebben op een van de genoemde besluiten met aanzienlijke gevolgen.
De informatieplicht vóór gebruik
Voordat een exploitant een gedekte ADMT gebruikt om een besluit met aanzienlijke gevolgen materieel te beïnvloeden, moet de exploitant de consument een duidelijke en opvallende kennisgeving geven dat ADMT wordt of zal worden gebruikt. De kennisgeving moet in begrijpelijke taal het doel van het systeem beschrijven, het type besluit met aanzienlijke gevolgen waarop het betrekking heeft, en hoe de consument de door de wet toegekende rechten kan uitoefenen.
De "safe harbor" (veilige haven) is hier van belang. In plaats van een individuele kennisgeving op het moment van elke interactie, staat de wet u toe aan deze verplichting te voldoen via een prominente openbare publicatie die redelijkerwijs toegankelijk is op de punten van consumenteninteractie. In de praktijk betekent dit dat een duidelijk gelinkte AI-informatiepagina op uw aanmeldingsportaal, uw aanvraagproces voor leningen, uw landingspagina voor huurderscreening of uw portaal voor patiëntenregistratie over het algemeen volstaat, mits de link visueel dicht bij de relevante transactie staat en de tekst is geschreven voor een leek.
Drie valkuilen bij het opstellen om te vermijden. Ten eerste, verberg de informatie niet in een algemeen privacybeleid; de wet vereist dat deze redelijkerwijs nabij de relevante transactie staat. Ten tweede, vertrouw niet op jargon uit de sector zoals "geautomatiseerde besluitvormingstechnologie" of "ADMT" zonder dit toe te lichten; de toegankelijkheidseis heeft betrekking op cognitieve en taalkundige toegankelijkheid, niet alleen op compatibiliteit met schermlezers. Ten derde, schrijf geen kennisgevingen die de rol van AI in de besluitvorming verbloemen; vage taal zoals "we kunnen technologie gebruiken om ons te helpen" zal niet voldoen aan een standaard voor begrijpelijke taal die standhoudt bij een controle door de procureur-generaal.
De 30-dagen bekendmaking bij een nadelige uitkomst
Wanneer een gedekte ADMT een besluit met aanzienlijke gevolgen materieel beïnvloedt dat resulteert in een nadelige uitkomst voor de consument, moet de exploitant binnen 30 dagen na het besluit een beschrijving in begrijpelijke taal geven van de rol van de ADMT. Een nadelige uitkomst omvat de afwijzing van een aanvraag, de beëindiging van een bestaande dienst, aanzienlijk minder gunstige prijzen of elk besluit dat een voordeel vermindert dat de consument anders zou ontvangen.
De bekendmaking vereist geen openbaarmaking van bedrijfsgeheimen, modelgewichten of eigen algoritmen. Wat wel vereist is, is een beschrijving die een redelijke consument kan begrijpen van wat het systeem heeft overwogen, welke rol het speelde in het besluit, welke categorieën persoonsgegevens het heeft verwerkt en hoe de consument zijn rechten op toegang, correctie en menselijke beoordeling kan uitoefenen. Sectorspecifieke variatie in de inhoud is toegestaan, dus de bekendmaking van een nadelig besluit door een geldverstrekker kan aansluiten bij bestaande formats van de Equal Credit Opportunity Act Regulation B, en de bekendmaking van een zorgverlener kan voortbouwen op bestaande normen voor patiëntencommunicatie.
Coördineer dit met aangrenzende federale bekendmakingsverplichtingen in plaats van het als een parallel traject te behandelen. Als u al een kennisgeving van nadelige gevolgen verstuurt op grond van de Fair Credit Reporting Act, een Equal Credit Opportunity Act-kennisgeving van genomen maatregelen of een HIPAA-conforme communicatie, breid dan de bestaande kennisgeving uit in plaats van een redundante Colorado-specifieke brief op te stellen. De termijn van 30 dagen onder SB 26-189 is over het algemeen compatibel met de timing van die federale kennisgevingen, hoewel u de deadlines per geval in kaart moet brengen omdat er uitzonderingen bestaan.
Consumentenrechten op toegang, correctie en menselijke beoordeling
Onder het nieuwe kader vallen drie consumentenrechten. Consumenten kunnen verzoeken om toegang tot de persoonsgegevens die de gedekte ADMT over hen heeft verwerkt. Consumenten kunnen verzoeken om correctie van onjuiste persoonsgegevens. En consumenten kunnen verzoeken om een betekenisvolle menselijke beoordeling van het besluit met aanzienlijke gevolgen wanneer dit technisch haalbaar is.
De rechten op toegang en correctie overlappen aanzienlijk met rechten die al bestaan onder de Colorado Privacy Act (CPA) voor persoonsgegevens in het algemeen. Operationeel gezien is de meest efficiënte aanpak het uitbreiden van uw bestaande CPA-workflow voor verzoeken van betrokkenen om ADMT-specifieke verzoeken af te handelen, in plaats van een apart kanaal op te zetten. Breng in kaart welke systemen welke categorieën persoonsgegevens bevatten die in ADMT worden gebruikt, train uw privacy- of HR-intaketeam op de nieuwe categorieën en documenteer uw reactietermijnen.
Het recht op menselijke beoordeling is het meest interessante vraagstuk op het gebied van naleving. De wet vereist een betekenisvolle menselijke beoordeling wanneer dit technisch haalbaar is, wat niet hetzelfde is als een menselijke "rubber-stempel" van de algoritmische output. Een betekenisvolle beoordeling vereist doorgaans dat een persoon met de bevoegdheid om het besluit terug te draaien daadwerkelijk de omstandigheden van de consument onderzoekt, informatie buiten de algoritmische score om in overweging neemt en de praktische mogelijkheid heeft om tot een andere conclusie te komen. De kwalificatie "technisch haalbaar" verontschuldigt gevallen waarin het onderliggende besluit helemaal niet zinvol door een mens kan worden beoordeeld, maar het is geen excuus voor louter ongemak of kosten.
Verplichtingen voor Ontwikkelaars
Ontwikkelaars van gereguleerde ADMT hebben parallelle verplichtingen die gericht zijn op het verstrekken van de benodigde informatie aan implementeerders om stroomafwaarts te kunnen voldoen aan de regelgeving. Het oorspronkelijke SB 24-205-kader vereiste dat ontwikkelaars uitgebreide documentatie bijhielden over bronnen van trainingsgegevens, prestatiestatistieken, beoogde use-cases en bekende risico's op algoritmische discriminatie. Onder SB 26-189 zijn deze verplichtingen teruggeschroefd, maar niet opgeheven.
Een ontwikkelaar moet implementeerders voorzien van voldoende documentatie zodat de implementeerder aan zijn kennisgevings- en openbaarmakingsverplichtingen kan voldoen, inclusief een beschrijving van de beoogde use-cases van de ADMT, de categorieën persoonsgegevens die worden verwerkt, de categorieën outputs die worden gegenereerd en bekende beperkingen die relevant zijn voor de context van besluiten met wezenlijke gevolgen. Ontwikkelaars moeten ook een openbare verklaring publiceren waarin de aangeboden gereguleerde ADMT wordt samengevat en waarin staat hoe zij risico's beheersen die verbonden zijn aan besluiten met wezenlijke gevolgen.
Als u AI-tools verkoopt of in licentie geeft die worden gebruikt door implementeerders in Colorado, is het gesprek over de leverancierscontracten al begonnen. Verwacht dat klanten (implementeerders) zullen vragen om gestandaardiseerde modelkaarten, datasets en ADMT-specifieke contractuele verklaringen. Loop hierop vooruit door een ADMT-toelichting van één pagina op te stellen die u als bijlage kunt toevoegen aan hoofdovereenkomsten (MSA's) en verlengingspakketten.
Overwegingen voor Kleine Ondernemingen
De oorspronkelijke vrijstelling voor kleine implementeerders in SB 24-205 was een test met vier criteria die implementeerders met minder dan 50 fte-medewerkers onder strikte voorwaarden vrijstelde van de verplichting tot effectbeoordeling. SB 26-189 herstructureert de behandeling van kleine ondernemingen in plaats van de vrijstelling letterlijk te behouden, omdat de onderliggende verplichting tot effectbeoordeling niet meer bestaat.
Voor de meeste kleine en middelgrote implementeerders is de praktische nalevingslast onder de nieuwe wet werkelijk bescheiden: onderhoud een duidelijke ADMT-informatiepagina die redelijk toegankelijk is op het punt van interactie met de consument, zet een proces op voor de afhandeling van nadelige uitkomsten binnen 30 dagen, breid uw bestaande workflow voor verzoeken van betrokkenen uit naar toegang en correctie van ADMT-gegevens, en documenteer een proces voor menselijke beoordeling voor besluiten waarop het algoritme wezenlijke invloed heeft. De meeste goed geleide bedrijven kunnen dit in een paar weken gericht werk opzetten, vooral als ze al een programma voor de Colorado Privacy Act hebben.
De grootste kostenposten voor kleine bedrijven zijn niet de kennisgevingen zelf, maar het voorafgaande werk om te inventariseren waar gereguleerde ADMT aanwezig is in de bedrijfsvoering. Een veelvoorkomende verrassing is de ontdekking dat een standaard SaaS-tool met door de leverancier ingebouwde AI-functies fungeert als gereguleerde ADMT voor besluiten met wezenlijke gevolgen, ook al heeft het implementerende bedrijf zichzelf nooit beschouwd als een partij die AI inzet. Platforms voor de screening van huurders, geautomatiseerde acceptatie-wizards, door AI ondersteunde wervingstools en modules voor klinische besluitvormingsondersteuning in elektronische patiëntendossiers zijn allemaal veelvoorkomende verrassingen.
Hoe dit samenhangt met andere AI- en privacywetgeving
Colorado wetgeeft niet in een vacuüm, en een gecoördineerd nalevingsprogramma is aanzienlijk goedkoper om uit te voeren dan een reeks silo's per staat. De belangrijkste coördinatiepunten om te plannen voor 2026 en 2027:
Colorado Privacy Act. De CPA geeft consumenten in Colorado al rechten op toegang tot, correctie van en verwijdering van gegevens, en legt al verplichtingen op aan verwerkingsverantwoordelijken met betrekking tot opt-out voor profilering en effectbeoordelingen voor gegevensbescherming bij "profilering ter bevordering van besluiten die juridische of vergelijkbare significante gevolgen hebben." Uw CPA-programma is de natuurlijke basis voor uw SB 26-189-programma, omdat de workflows voor verzoeken van betrokkenen, sjablonen voor leverancierscontracten en de infrastructuur voor consumenteninformatie elkaar grotendeels overlappen.
NYC Local Law 144. New York City vereist jaarlijkse onafhankelijke bias-audits voor geautomatiseerde tools voor arbeidsbeslissingen die worden gebruikt om inwoners van NYC te screenen. SB 26-189 vereist geen bias-audit, maar de documentatie die voor een LL 144-audit wordt geproduceerd, is nuttig bewijsmateriaal dat u het risico op algoritmische discriminatie hebt overwogen als de procureur-generaal van Colorado daarom vraagt.
Illinois AI Video Interview Act en California AB 2930. Beide leggen AI-kennisgevingsverplichtingen op in de context van werving die overlappen met de openbaarmakingsverplichtingen in de arbeidssituatie in Colorado. Stel één uniforme AI-kennisgeving voor werving op die aan alle drie voldoet, in plaats van drie afzonderlijke kennisgevingen.
EU AI Act. Als u ook gebruikers in de EU bedient, zijn de documentatievereisten voor systemen met een hoog risico en de vereisten voor menselijk toezicht van de EU AI Act aanzienlijk strenger dan het nieuwe kader van Colorado. De EU-documentatie kan over het algemeen met lichte aanpassingen voldoen aan de verplichtingen in Colorado.
Handhaving door EEOC en DOJ. De technische ondersteuning van de EEOC van mei 2023 over Title VII met betrekking tot AI-selectieprocedures bij werving en de handhavingsprioriteiten van het ministerie van Justitie (DOJ) op basis van de ADA creëren beide federale risico's op anti-discriminatie bij AI-gebruik in arbeidssituaties, onafhankelijk van staatsinformatiewetten. Naleving van de kennisgevingsverplichtingen van Colorado vrijwaart u niet van federale handhaving op het gebied van burgerrechten.
NIST AI RMF. Het afstemmen van uw interne governance op het NIST AI Risk Management Framework 1.0 is wettelijk niet vereist door SB 26-189, maar wordt breed geaccepteerd als een verdedigbare basis door toezichthouders in verschillende rechtsgebieden en door zakelijke klanten die due diligence uitvoeren bij AI-leveranciers.
Een praktisch stappenplan van twaalf weken voor naleving
Voor een kleine of middelgrote onderneming die vanaf nul begint, is het werk om klaar te zijn voor 1 januari 2027 onderverdeeld in vier fasen.
Weken 1 tot en met 3 - Inventarisatie. Identificeer elk hulpmiddel, elke leverancier of elk intern systeem dat een beslissing neemt of materieel beïnvloedt in de acht categorieën van ingrijpende beslissingen over consumenten in Colorado. Denk ook aan ingebouwde AI-functies in SaaS-oplossingen van derden. Classificeer voor elk systeem of het onder ADMT valt en documenteer wie de ontwikkelaar is.
Weken 4 tot en met 6 - Afstemming met leveranciers. Neem contact op met elke ontwikkelaar van ADMT die onder de wetgeving valt en vraag om het documentatiepakket dat zij verstrekken ter ondersteuning van uw meldings- en informatieverplichtingen. Onderhandel over eventuele contractwijzigingen die nodig zijn voor vrijwaring, ondersteuning bij gegevenscorrectie en medewerking bij de reactie op nadelige uitkomsten.
Weken 7 tot en met 9 - Ontwerp van kennisgevingen en processen. Stel de pagina met de voorafgaande kennisgeving op, evenals de sjablonen voor de bekendmaking van nadelige uitkomsten, de uitbreidingen van de workflow voor verzoeken van betrokkenen en het menselijke beoordelingsproces. Onderwerp elk onderdeel aan een beoordeling op begrijpelijk taalgebruik en toegankelijkheid. Train medewerkers van de klantenservice, HR en acceptatie.
Weken 10 tot en met 12 - Lancering en voorbereiding van de audit. Publiceer de kennisgevingen, neem de nieuwe processen in gebruik en stel het documentatiedossier samen waar een onderzoeker van de procureur-generaal om zou kunnen vragen: contracten met leveranciers, screenshots van kennisgevingen, logboeken van reacties, verslagen van menselijke beoordelingen en presentielijsten van trainingen. Plan een interne audit voor over zes maanden.
Een team dat medio 2026 begint, heeft een comfortabele marge. Een team dat wacht tot het vierde kwartaal zal moeten haasten, vooral gezien de cyclus voor contractwijzigingen met leveranciers, die op ondernemingsniveau doorgaans 60 tot 90 dagen in beslag neemt.
Houd uw nalevingsrecords net zo transparant als uw boekhouding
Of u nu ADMT-inventarissen in kaart brengt, bekendmakingen van nadelige uitkomsten bijhoudt of het audit-bestendige documentatiedossier opbouwt waar een onderzoeker van de procureur-generaal om zou kunnen vragen, voor nalevingsrecords geldt hetzelfde principe als voor financiële records: transparantie, versiebeheer en de mogelijkheid om elk cijfer op elk gewenst moment te reconstrueren zijn belangrijker dan het formaat. Beancount.io biedt plain-text accounting die u volledig inzicht geeft in uw financiële gegevens, zonder "black boxes" en zonder vendor lock-in. Ga gratis aan de slag en ontdek waarom ontwikkelaars, financiële teams en compliance-gerichte operators overstappen op plain-text accounting.
Bronnen: