EU AI Act: wat moet jouw bedrijf doen voor augustus 2026?
De EU AI Act deadline nadert. Ontdek welke verplichtingen er zijn, of jouw AI-systemen eronder vallen en hoe je compliant wordt.
Augustus 2026 is de kritieke deadline voor de EU AI Act. De meeste verplichtingen voor hoog-risico AI-systemen worden dan afdwingbaar. Driekwart van de Europese bedrijven is nog niet voorbereid. Als jij niet hebt geïnventariseerd welke AI-systemen je gebruikt en hoe die geclassificeerd worden, is er werk aan de winkel — en de tijd dringt.
Dit artikel gaat niet opnieuw uit van nul. We gaan ervan uit dat je weet dat de EU AI Act bestaat. Wat we hier behandelen: wat er per augustus 2026 concreet van jou wordt verwacht, welke verplichtingen al gelden, en hoe je de komende maanden slim besteedt als compliance nog geen prioriteit had.
Wat is al van kracht — en wat verandert in augustus 2026?
De EU AI Act trad op 1 augustus 2024 in werking, maar wordt gefaseerd ingevoerd. Niet alles geldt tegelijk. Hier is wat nu al afdwingbaar is en wat er per augustus 2026 bijkomt.
| Datum | Wat geldt er? |
|---|---|
| Augustus 2024 | Verordening van kracht. Definities, toepassingsgebied en algemene beginselen. |
| Februari 2025 | Verbod op onaanvaardbare AI al van kracht. Social scoring, manipulatieve AI, realtime biometrische surveillance in publieke ruimtes zijn verboden. |
| Augustus 2025 | Verplichtingen voor aanbieders van AI-modellen voor algemeen gebruik (GPAI) — denk aan grote taalmodellen. Geldt primair voor OpenAI, Anthropic, Google en vergelijkbare partijen. |
| Augustus 2026 | Hoog-risico systemen moeten volledig compliant zijn: documentatie, conformiteitsbeoordeling, risicobeheer, menselijk toezicht, logging. Dit treft deployers én providers. |
| Augustus 2027 | Resterende overgangsbepalingen voor bepaalde bestaande hoog-risico systemen die al vóór 2 augustus 2026 op de markt waren. |
Het gaat dus niet om één groot moment. Maar augustus 2026 is de datum die het meeste impact heeft op gewone bedrijven die AI inzetten in hun dagelijkse processen. De verboden uit februari 2025 zijn hopelijk al niet jouw probleem. De GPAI-regels uit augustus 2025 zijn voor modelaanbieders. Augustus 2026 is voor jou.
Hoog-risico AI: de categorie die telt.
Hoog-risico AI-systemen zijn systemen met aanzienlijke impact op mensen. De EU AI Act definieert acht domeinen waarin systemen als hoog risico worden geclassificeerd. Voor bedrijven in de sectoren bouw, vastgoed, energie en zakelijke dienstverlening zijn met name drie domeinen relevant.
Werkgelegenheid en personeelsbeheer.
AI die wordt ingezet bij werving, selectie, prestatiemanagement of beëindiging van arbeidsrelaties valt onder hoog risico. Een CV-screeningssysteem dat kandidaten rankt, een tool die werktijden analyseert en anomalieën rapporteert aan HR, of een algoritme dat bonusaanbevelingen doet: allemaal hoog risico. Als jij zulke tools gebruikt — ook als je ze niet zelf hebt gebouwd — gelden de verplichtingen voor deployers.
Kritieke infrastructuur.
AI-systemen die worden ingezet bij het beheer van kritieke infrastructuur — energienetten, waterbeheer, verkeersmanagement — vallen hier ook onder. Energiebedrijven die AI inzetten voor voorspellend onderhoud of netbeheer moeten dit meenemen in hun risicobeoordeling.
Toegang tot essentiële diensten.
AI die (mede)beslist over kredietverlening, verzekeringen of aanvragen voor sociale voorzieningen valt in deze categorie. Financiële dienstverleners en bedrijven met geautomatiseerde goedkeuringsprocessen voor klantaanvragen moeten dit inventariseren.
Jouw verplichtingen als gebruiker van AI.
De EU AI Act maakt onderscheid tussen providers (die AI-systemen bouwen en op de markt brengen) en deployers (die bestaande AI-systemen inzetten in hun eigen organisatie). De meeste MKB-bedrijven zijn deployers. Je koopt een tool in, integreert die in je processen, en draagt daarmee ook verantwoordelijkheid.
Voor deployers van hoog-risico AI gelden deze verplichtingen per augustus 2026:
- Gebruik het systeem conform de instructies van de provider. Wijk je af van de bedoelde use case, dan word je zelf gedeeltelijk provider — met bijbehorende verplichtingen.
- Zorg voor betekenisvol menselijk toezicht. Een mens moet de output van het systeem kunnen beoordelen en overrulen vóórdat een beslissing effect heeft op een persoon.
- Voer een risicobeoordeling uit vóór ingebruikname. Documenteer wat het systeem doet, welke data het verwerkt, en welke risico's er zijn.
- Monitor de werking van het systeem actief. Rapporteer ernstige incidenten of onverwacht gedrag aan de provider en, waar vereist, aan de bevoegde autoriteit.
- Bewaar logs van de werking van het systeem gedurende minimaal zes maanden na gebruik.
- Informeer betrokken werknemers of gebruikers dat ze te maken hebben met een hoog-risico AI-systeem.
Heb je zelf AI-systemen gebouwd of laten bouwen? Dan ben je ook provider, en gelden aanvullende eisen: technische documentatie, conformiteitsbeoordeling, registratie in de EU-database voor AI-systemen, en CE-markering voor bepaalde categorieën. Dat is een substantieel traject van gemiddeld 3–6 maanden voor een bestaand systeem.
Wat kost niet-naleving?
De maximale boetes zijn aanzienlijk: tot 35 miljoen euro of 7% van de wereldwijde jaaromzet voor de zwaarste overtredingen (verboden AI). Voor hoog-risico AI die niet aan de eisen voldoet: tot 15 miljoen euro of 3% van de jaaromzet. Voor het verstrekken van onjuiste informatie aan toezichthouders: 7,5 miljoen euro of 1,5%.
Handhaving in de eerste fase zal zich richten op de meest risicovolle systemen en op structurele nalatigheid. Maar dat betekent niet dat je de deadline gerust kunt negeren. Elk EU-lidstaat wijst een nationale toezichthouder aan — in Nederland wordt dat vermoedelijk de Autoriteit Persoonsgegevens of een nieuw in te richten autoriteit. De aanwijzing is in 2026 verwacht.
Actieplan voor de komende maanden.
Er zijn nog iets meer dan twee maanden tot de deadline. Dat is krap voor een volledig compliance-traject voor hoog-risico systemen, maar ruim genoeg om de basis op orde te hebben. Dit is een realistisch plan.
Week 1–2: inventariseer.
Stel een lijst op van alle AI-systemen die binnen jouw organisatie worden gebruikt of ontwikkeld. Denk ruimer dan je denkt: AI-functies in HR-software, CRM-systemen, planningstools, contenttools, en productieplanning vallen er allemaal onder. Ga per systeem na: wie de leverancier is, wat het systeem doet, welke data het verwerkt, en of het invloed heeft op beslissingen die mensen raken.
Week 3–4: classificeer.
Gebruik de acht domeinen uit de EU AI Act als toetssteen per systeem. Voor de meeste systemen zal de classificatie snel duidelijk zijn: spamfilters, aanbevelingsalgoritmen, contenttools — minimaal of beperkt risico. Systemen die (mede)beslissen over mensen in HR, krediet of infrastructuur — hoog risico. Documenteer de classificatie en de redenering.
Week 5–8: pak hoog-risico systemen aan.
Voor elk hoog-risico systeem: voer de risicobeoordeling uit, stel menselijk toezicht in, controleer of de logging op orde is, en controleer of jouw leverancier een conformiteitsverklaring heeft (of wanneer die beschikbaar is). Als je zelf ontwikkelaar bent: start de technische documentatie nu.
Week 9–12: beperkt risico afronden en beleid vastleggen.
Voor chatbots en andere beperkt-risico systemen: zorg dat transparantie-meldingen op orde zijn. Stel intern beleid vast voor het gebruik van AI: wie mag welke systemen inzetten, hoe worden nieuwe AI-tools geëvalueerd, en wie is verantwoordelijk voor naleving. Dit is ook het moment voor een korte training voor relevante medewerkers.
| Systeemtype | Prioriteit | Actie voor augustus 2026 |
|---|---|---|
| Verboden AI (social scoring, manipulatief) | Onmiddellijk | Gebruik stoppen |
| Hoog risico — HR, krediet, infrastructuur | Hoog | Risicobeoordeling, menselijk toezicht, logging, conformiteitscheck leverancier |
| Beperkt risico — chatbots, AI-content | Middel | Transparantiemelding implementeren, register bijhouden |
| Minimaal risico — spamfilters, aanbevelingen | Laag | Geen verplichte actie |
Veelgestelde vragen.
Geldt de EU AI Act ook voor AI-tools die we als SaaS inkopen?
Ja. Als deployer ben je verantwoordelijk voor het gebruik van het systeem, ongeacht of je het zelf hebt gebouwd. De provider is verantwoordelijk voor de technische conformiteit van het systeem zelf. Vraag jouw leverancier om een conformiteitsverklaring voor systemen die als hoog risico classificeren.
Ons bedrijf is klein. Gelden de regels ook voor ons?
Ja, maar er zijn vrijstellingen en vereenvoudigingen voor micro-ondernemingen (minder dan 10 medewerkers, minder dan 2 miljoen euro omzet). Voor kleine bedrijven (tot 50 medewerkers) geldt een vereenvoudigde documentatieplicht. De kernverplichtingen — menselijk toezicht, transparantie, risicobeoordeling — gelden echter voor iedereen.
Wat als onze leverancier nog geen conformiteitsverklaring heeft?
Vraag wanneer die beschikbaar is. Als de leverancier geen concreet antwoord geeft vóór de deadline, overweeg dan alternatieven. Als deployer kun je niet onbeperkt aansprakelijkheid doorschuiven naar de leverancier — je hebt eigen verantwoordelijkheid voor de keuze en het gebruik van systemen.
Wil je weten of jouw AI-systemen als hoog risico worden geclassificeerd, of hoe je een risicobeoordeling opzet? We denken graag mee. Laten we het over jouw specifieke situatie hebben — 30 minuten, vrijblijvend.