Voorbereiden op de EU AI Act 2026
Kort antwoord
De EU AI Act is de eerste uitgebreide AI-wetgeving ter wereld en treedt gefaseerd in werking vanaf 2024. In augustus 2026 gelden de meeste verplichtingen. Bedrijven moeten hun AI-systemen classificeren naar risiconiveau, documentatie opstellen en zorgen voor menselijk toezicht. Start nu met een AI-inventarisatie om verrassingen te voorkomen.
Inhoudsopgave
Wat is de EU AI Act?
De EU AI Act (Artificial Intelligence Act) is een Europese verordening die regels stelt voor de ontwikkeling en het gebruik van AI-systemen. Het is de eerste uitgebreide AI-wetgeving ter wereld en geldt voor alle bedrijven die AI gebruiken of aanbieden in de EU.
De wet hanteert een risicogebaseerde aanpak: hoe hoger het risico van een AI-systeem, hoe strenger de eisen. Dit betekent dat niet elk bedrijf dezelfde verplichtingen heeft.
Voor wie geldt de AI Act?
- Aanbieders: bedrijven die AI-systemen ontwikkelen of op de markt brengen
- Gebruikers: bedrijven die AI-systemen inzetten in hun bedrijfsvoering
- Importeurs: bedrijven die AI van buiten de EU importeren
- Distributeurs: bedrijven die AI-systemen doorverkopen
De wet geldt ook voor bedrijven buiten de EU als hun AI-systemen in de EU worden gebruikt.
De vier risicocategorieën
De AI Act verdeelt AI-systemen in vier categorieën op basis van risico. Dit bepaalt welke regels voor jou gelden.
| Categorie | Omschrijving | Voorbeelden |
|---|---|---|
| Onaanvaardbaar risico | Verboden AI-toepassingen | Social scoring, manipulatieve AI, emotieherkenning op werk |
| Hoog risico | Strenge eisen en conformiteitsbeoordeling | AI voor werving, kredietbeoordeling, medische diagnose |
| Beperkt risico | Transparantieverplichtingen | Chatbots, deepfakes, emotieherkenning |
| Minimaal risico | Geen specifieke verplichtingen | Spamfilters, AI in games, aanbevelingssystemen |
Hoog-risico AI nader bekeken
De meeste verplichtingen gelden voor hoog-risico AI. Dit zijn systemen die worden ingezet op gebieden als:
- Biometrische identificatie en categorisatie
- Beheer van kritieke infrastructuur
- Onderwijs en beroepsopleiding (toegang, beoordeling)
- Werkgelegenheid en personeelsbeheer (werving, promoties)
- Toegang tot publieke diensten en uitkeringen
- Rechtshandhaving en migratiebeheer
- Rechtspraak en democratische processen
Belangrijke deadlines
De AI Act treedt gefaseerd in werking. Dit zijn de belangrijkste data:
| Datum | Wat gaat in |
|---|---|
| 1 augustus 2024 | AI Act officieel van kracht |
| 2 februari 2025 | Verbod op AI met onaanvaardbaar risico |
| 2 augustus 2025 | Regels voor general-purpose AI (zoals ChatGPT) |
| 2 augustus 2026 | Volledige toepassing, inclusief hoog-risico AI |
| 2 augustus 2027 | Aanvullende regels voor specifieke hoog-risico systemen |
Let op: Augustus 2026 is de belangrijkste deadline voor de meeste bedrijven. Begin nu met voorbereiden om tijdig compliant te zijn.
Verplichtingen per rol
Voor aanbieders van hoog-risico AI
- Risicomanagementsysteem opzetten en onderhouden
- Data governance waarborgen (kwaliteit trainingsdata)
- Technische documentatie opstellen
- Automatische logging implementeren
- Transparantie-informatie voor gebruikers verstrekken
- Menselijk toezicht mogelijk maken
- Nauwkeurigheid, robuustheid en cybersecurity garanderen
- Conformiteitsbeoordeling uitvoeren
- CE-markering aanbrengen
- Registreren in EU-database
Voor gebruikers van hoog-risico AI
- AI-systeem gebruiken volgens de instructies van de aanbieder
- Menselijk toezicht organiseren met competente personen
- Inputdata controleren op relevantie
- Monitoring uitvoeren en incidenten melden
- Logs bewaren (minimaal 6 maanden)
- Informeren van werknemers en betrokkenen
- Data protection impact assessment uitvoeren waar nodig
Voor beperkt-risico AI (transparantie)
- Gebruikers informeren dat ze met AI communiceren (chatbots)
- AI-gegenereerde content labelen (deepfakes, synthetische media)
- Bij emotieherkenning: personen informeren
Stappenplan voor compliance
Volg deze stappen om je bedrijf voor te bereiden op de AI Act:
AI-inventarisatie maken
Breng alle AI-systemen in kaart die je gebruikt of ontwikkelt. Denk aan chatbots, automatische beslissystemen, voorspelmodellen en tools van derden.
Risicocategorie bepalen
Classificeer elk AI-systeem volgens de vier risicocategorieën. Wees eerlijk en documenteer je afwegingen.
Gap-analyse uitvoeren
Vergelijk je huidige situatie met de vereisten. Identificeer wat er ontbreekt: documentatie, processen, technische maatregelen.
Governance inrichten
Wijs verantwoordelijkheden toe, stel een AI-beleid op en richt processen in voor menselijk toezicht en incidentmelding.
Documentatie opstellen
Maak de vereiste technische documentatie, gebruiksinstructies en risicoanalyses. Dit kost tijd, begin op tijd.
Leveranciers beoordelen
Controleer of je AI-leveranciers compliant zijn. Vraag naar hun conformiteitsverklaringen en neem bepalingen op in contracten.
Training en bewustwording
Zorg dat medewerkers begrijpen wat de AI Act inhoudt en wat hun rol is. AI-geletterdheid wordt verplicht.
Boetes bij overtreding
De AI Act kent forse boetes, vergelijkbaar met de AVG:
| Overtreding | Maximale boete |
|---|---|
| Verboden AI-praktijken | €35 miljoen of 7% wereldwijde omzet |
| Niet-naleving hoog-risico verplichtingen | €15 miljoen of 3% wereldwijde omzet |
| Onjuiste informatie verstrekken | €7,5 miljoen of 1% wereldwijde omzet |
Voor MKB en startups gelden lagere maxima, maar de boetes kunnen nog steeds aanzienlijk zijn.
Speciale regels voor MKB
De EU heeft rekening gehouden met kleinere bedrijven. Er zijn verzachtende maatregelen:
- Regulatory sandboxes: testomgevingen waar MKB kan experimenteren onder toezicht
- Lagere boetes: proportioneel aan bedrijfsgrootte
- Vereenvoudigde documentatie: waar mogelijk minder administratieve lasten
- Ondersteuning: lidstaten moeten MKB helpen met compliance
- Gratis toegang: tot AI-testfaciliteiten en guidelines
Tip: Houd de website van de Autoriteit Persoonsgegevens en RVO in de gaten voor Nederlandse ondersteuningsprogramma's.
Veelgestelde vragen
Geldt de AI Act ook voor ChatGPT?
Ja, ChatGPT en vergelijkbare modellen vallen onder "general-purpose AI". OpenAI moet aan transparantie-eisen voldoen. Als gebruiker heb je beperkte verplichtingen, tenzij je het inzet voor hoog-risico toepassingen.
Moet ik een AI-register bijhouden?
Aanbieders van hoog-risico AI moeten hun systemen registreren in een EU-database. Als gebruiker is een intern register niet verplicht maar wel verstandig voor overzicht en compliance.
Wat is AI-geletterdheid?
De AI Act verplicht dat personeel voldoende kennis heeft van AI om verantwoord met de systemen te werken. Dit betekent training en bewustwording binnen je organisatie.
Hoe verhoudt de AI Act zich tot de AVG?
Beide wetten gelden naast elkaar. AI-systemen die persoonsgegevens verwerken moeten aan beide voldoen. De AI Act voegt eisen toe rond transparantie, uitlegbaarheid en menselijk toezicht.
Wie handhaaft de AI Act in Nederland?
Nederland moet een toezichthouder aanwijzen. Waarschijnlijk wordt dit de Autoriteit Persoonsgegevens of een nieuwe instantie. Dit wordt in 2025 duidelijk.
Mag ik AI gebruiken voor sollicitatiescreening?
Ja, maar dit is hoog-risico AI. Je moet voldoen aan strenge eisen: menselijk toezicht, non-discriminatie, transparantie naar sollicitanten en gedocumenteerde besluitvorming.
Samenvatting
- • De EU AI Act is de eerste AI-wetgeving ter wereld en geldt vanaf augustus 2026 volledig
- • AI-systemen worden ingedeeld in vier risicocategorieën: verboden, hoog, beperkt en minimaal
- • Hoog-risico AI (werving, krediet, medisch) krijgt de strengste eisen
- • Begin nu met een AI-inventarisatie en gap-analyse
- • MKB krijgt ondersteuning en lagere boetes, maar moet wel compliant zijn
- • Boetes kunnen oplopen tot €35 miljoen of 7% van de wereldwijde omzet