De EU AI Act deadline nadert. Ontdek wat Nederlandse bedrijven nu moeten doen: risicoclassificatie, documentatie-eisen en een praktische compliance checklist.
Foto: siriwan arunsiriwattana / Unsplash
De EU AI Act is de eerste uitgebreide AI-wetgeving ter wereld. En als Nederlands bedrijf moet je er klaar voor zijn. De eerste verplichtingen zijn al ingegaan, en de grote deadline -- augustus 2026 -- komt sneller dan je denkt.
In dit vierde artikel van de serie AI Veilig Inzetten vertalen we de AI Act van juridisch jargon naar concrete actiepunten. Geen abstracte richtlijnen, maar een praktische checklist die je morgen kunt gebruiken. Dit artikel maakt deel uit van onze complete gids over AI veilig inzetten.
De EU AI Act (officieel: Verordening (EU) 2024/1689) is de eerste wet ter wereld die specifiek AI-systemen reguleert. Waar de GDPR/AVG zich richt op persoonsgegevens, richt de AI Act zich op de AI-systemen zelf -- ongeacht of ze persoonsgegevens verwerken.
De wet is op 1 augustus 2024 in werking getreden en wordt stapsgewijs van kracht:
| Datum | Wat wordt van kracht |
|---|---|
| 2 februari 2025 | Verboden AI-praktijken + AI-geletterdheid verplichting |
| 2 augustus 2025 | Regels voor general-purpose AI (zoals GPT-modellen) |
| 2 augustus 2026 | Volledige regels voor hoog-risico AI-systemen |
| 2 augustus 2027 | Regels voor hoog-risico AI in bijlage I (specifieke sectoren) |
Belangrijk: De verplichting rondom AI-geletterdheid is al van kracht sinds februari 2025. Lees hierover meer in ons artikel AI-geletterdheid: wat de wet eist en hoe je het regelt (artikel 1 in deze serie).
De kern van de AI Act is het risicoclassificatiesysteem. Elke AI-toepassing valt in een van vier categorieen, en de verplichtingen hangen af van de categorie.
Deze AI-toepassingen zijn per 2 februari 2025 verboden:
Voor MKB relevant? In de meeste gevallen niet direct, maar let op: AI-tools die emoties van klanten analyseren in callcenters of videocalls kunnen hieronder vallen.
Dit is de categorie die de meeste bedrijven raakt. Een AI-systeem is hoog-risico als het wordt ingezet voor:
De verplichtingen voor hoog-risico AI zijn uitgebreid:
Veel MKB AI-toepassingen vallen in deze categorie:
Wat moet je doen? Zorg dat gebruikers weten dat ze met AI interacteren. Een simpele melding als "Deze chat wordt beantwoord door een AI-assistent" volstaat in veel gevallen.
Het overgrote deel van AI-toepassingen valt hier:
Verplichtingen: Geen specifieke verplichtingen vanuit de AI Act, maar de algemene eisen rondom AI-geletterdheid en transparantie blijven gelden. En uiteraard blijft de AVG/GDPR van toepassing als er persoonsgegevens worden verwerkt.
Hieronder vind je per risicniveau wat je concreet moet doen. Start bij stap 1 -- die geldt voor iedereen.
Voordat je kunt voldoen aan de AI Act, moet je weten welke AI je gebruikt. Dit is voor veel bedrijven verrassend lastig, omdat AI steeds vaker is ingebouwd in bestaande software.
Actie: maak een AI-register
Documenteer voor elke AI-toepassing:
Tip: Vergeet embedded AI niet. Microsoft 365 Copilot, Salesforce Einstein, HubSpot AI -- al deze tools bevatten AI-functionaliteit die onder de AI Act kan vallen.
Gebruik de risicoclassificatie hierboven om elke AI-toepassing in te delen. Let hierbij op:
Voor chatbots en AI-interacties:
Voor AI-gegenereerde content:
Als je AI-toepassingen als hoog-risico zijn geclassificeerd, bereid dan de volgende documentatie voor:
Technische documentatie:
Risicobeheerssysteem:
Data governance documentatie:
De AI Act eist dat hoog-risico AI-systemen onder menselijk toezicht staan. In de praktijk betekent dit:
Dit sluit direct aan op het AI-beleid dat je nodig hebt. In artikel 2 van deze serie, AI-beleid opstellen: een praktische gids, behandelen we uitgebreid hoe je dit organiseert.
Sinds 2 februari 2025 moeten alle organisaties die AI inzetten zorgen voor voldoende AI-geletterdheid bij hun personeel. Dit is geen optie -- het is een wettelijke verplichting die nu al geldt.
Minimaal moet je:
Een veelgestelde vraag: "Als we al AVG-compliant zijn, zijn we dan ook AI Act-compliant?"
Nee. De AI Act en de AVG zijn complementaire wetten die naast elkaar bestaan:
| Aspect | AVG/GDPR | AI Act |
|---|---|---|
| Focus | Persoonsgegevens | AI-systemen |
| Scope | Alle dataverwerking | Alleen AI-toepassingen |
| Grondslag | Rechtsgrondslag voor verwerking | Risicoclassificatie |
| Verantwoordelijke | Verwerkingsverantwoordelijke | Aanbieder/gebruiker AI-systeem |
De overlap: Als je AI-systeem persoonsgegevens verwerkt, moet je aan beide wetten voldoen. Je DPIA (Data Protection Impact Assessment) voor de AVG kan een goed startpunt zijn voor de risicobeoordeling onder de AI Act, maar het is niet voldoende. Lees ons artikel over GDPR en AI compliance voor een diepgaand overzicht van de AVG-verplichtingen bij AI-gebruik.
In artikel 3 van deze serie, Private AI-omgeving: waarom het verschil maakt, lees je hoe een private AI-opzet je helpt om aan beide wetten te voldoen. Bekijk ook onze AI Veiligheid guide voor het complete overzicht van beveiligingsmaatregelen.
De AI Act kent forse boetes:
Voor MKB en startups gelden lagere maxima: de boetes worden berekend op basis van de totale jaaromzet, met proportionaliteit als uitgangspunt. Maar ook een boete van 1% van de omzet kan voor een MKB-bedrijf een flinke klap zijn.
Handhaving in Nederland: De Autoriteit Persoonsgegevens is aangewezen als toezichthouder voor de AI Act in Nederland. Zij kunnen onderzoeken starten, waarschuwingen geven en boetes opleggen. Met AI Advies helpen we MKB-bedrijven om tijdig compliant te worden.
Wacht niet tot augustus 2026. Begin vandaag met deze vijf concrete stappen:
1. AI-inventarisatie (deze week) Maak een lijst van alle AI-tools en -systemen die je organisatie gebruikt. Inclusief embedded AI in bestaande software.
2. Risicoclassificatie (deze maand) Classificeer elke AI-toepassing volgens het risicosysteem. Documenteer je overwegingen.
3. AI-geletterdheid (dit kwartaal) Start een AI-trainingsprogramma. Dit is al verplicht sinds februari 2025. Zorg dat alle medewerkers die met AI werken basis-kennis hebben.
4. AI-beleid formaliseren (dit kwartaal) Stel een formeel AI-beleid op dat aansluit bij de AI Act. Gebruik de richtlijnen uit ons artikel over AI-beleid opstellen.
5. Hoog-risico voorbereiding (komende 6 maanden) Als je hoog-risico AI gebruikt, begin dan nu met de documentatie en het risicobeheerssysteem. Dit kost tijd en is niet iets dat je in een weekend kunt doen.
De AI Act is nieuw terrein voor de meeste bedrijven. Dit zijn de vijf fouten die we het vaakst zien -- en hoe je ze voorkomt.
1. Denken dat de AI Act alleen voor techbedrijven geldt De meest hardnekkige misvatting: "Wij ontwikkelen geen AI, dus de AI Act geldt niet voor ons." Dat klopt niet. De AI Act maakt onderscheid tussen aanbieders (ontwikkelaars) en gebruikers (deployers) van AI-systemen. Als je ChatGPT gebruikt voor CV-screening, ben jij als gebruiker verantwoordelijk voor de compliance van die hoog-risico toepassing. Het maakt niet uit dat OpenAI het model heeft gebouwd -- jij bepaalt het gebruik en dus de risicoclassificatie. Inventariseer al je AI-gebruik en classificeer het risico op basis van hoe jij de technologie inzet, niet op basis van wie het heeft gemaakt.
2. Alle AI-toepassingen over dezelfde kam scheren Sommige bedrijven behandelen al hun AI-gebruik als hoog-risico en verdrinken in documentatie. Andere bedrijven doen het tegenovergestelde en classificeren alles als minimaal risico om werk te vermijden. Beide aanpakken zijn problematisch. Neem de tijd om elke AI-toepassing apart te beoordelen op basis van het daadwerkelijke gebruik en de impact op personen. Een AI die e-mails samenvat (minimaal risico) vraagt om een totaal andere aanpak dan een AI die kredietaanvragen beoordeelt (hoog risico). Maatwerk in classificatie bespaart je werk op de lange termijn.
3. Compliance als eenmalig project behandelen De AI Act is geen checklist die je eenmaal afvinkt en dan vergeet. Het is een doorlopende verplichting. Nieuwe AI-tools worden geintroduceerd, bestaande tools worden voor nieuwe doeleinden ingezet, en de interpretatie van de wet evolueert door handhavingsbeslissingen en richtlijnen. Plan minimaal elk kwartaal een compliance-review in: welke nieuwe AI-tools zijn in gebruik genomen? Is de risicoclassificatie van bestaande tools veranderd? Zijn er nieuwe richtlijnen van de Autoriteit Persoonsgegevens? Compliance is een proces, geen project.
4. AI-geletterdheid beperken tot een eenmalige training De AI-geletterdheidsverplichting is sinds februari 2025 van kracht, en veel bedrijven reageren met een eenmalige online cursus die medewerkers in een uurtje doorlopen. Dat voldoet niet aan de geest van de wet. AI-geletterdheid betekent dat medewerkers de risico's, beperkingen en juiste toepassing van AI begrijpen -- en dat vereist doorlopende educatie. AI-technologie verandert snel; wat medewerkers in januari leerden, kan in juli alweer verouderd zijn. Plan kwartaalelijkse opfriscursussen, deel relevante updates en creeer een cultuur waarin kritisch nadenken over AI-gebruik de norm is.
5. Geen verantwoordelijke aanwijzen voor AI-governance Wie is er in jouw organisatie verantwoordelijk voor AI Act compliance? In veel MKB-bedrijven is het antwoord: niemand specifiek, of iedereen een beetje. Zonder een duidelijke eigenaar wordt compliance een zwevende verantwoordelijkheid die niemand oppakt. Wijs een AI-verantwoordelijke aan -- dat hoeft geen fulltime functie te zijn, maar iemand moet het mandaat en de tijd krijgen om het AI-register bij te houden, risicoclassificaties te bewaken, trainingen te organiseren en als aanspreekpunt te dienen. Bij grotere organisaties kan dit een AI-officer zijn, bij MKB-bedrijven past het vaak bij de IT-verantwoordelijke of de privacy officer.
Je hoeft niet alles tegelijk te doen. Dit actieplan verdeelt de compliance-inspanning over 90 dagen in behapbare stappen. Na afloop heb je een solide basis die je beschermt tegen de meeste risico's -- en die je kunt uitbouwen richting de augustus 2026 deadline.
Dag 1-14: Inventarisatie en eigenaarschap
Dag 15-30: Risicoclassificatie
Dag 31-50: Transparantie en communicatie
Dag 51-70: AI-geletterdheid en beleid
Dag 71-85: Hoog-risico voorbereiding
Dag 86-90: Review en routinebepaling
Na 90 dagen: Je hebt nu een werkend compliance-framework. De maanden tot augustus 2026 gebruik je om hoog-risico documentatie te verfijnen, het AI-register actueel te houden en de organisatie verder te trainen. Je bent niet perfect compliant na 90 dagen -- maar je bent wel aantoonbaar bezig, en dat telt mee bij eventuele handhaving.
De AI Act is geen dreiging -- het is een kans om AI verantwoord in te zetten en tegelijkertijd een concurrentievoordeel te behalen. Bedrijven die nu proactief handelen, besparen zich straks de stress en kosten van last-minute compliance.
De kernpunten:
De AI Act, AVG/GDPR en AI-geletterdheid vormen samen het juridische kader voor AI in Nederland. In de volgende artikelen in deze serie behandelen we hoe RAG-architecturen je helpen om AI veilig met bedrijfsdata te combineren, en hoe agentic AI de volgende stap is in zakelijke AI-automatisering.
Wil je weten waar jouw bedrijf staat qua AI Act compliance? CleverTech biedt een [gratis AI-scan](/gratis AI-scan) aan waarbij we je huidige AI-gebruik inventariseren, classificeren en een compliance roadmap opstellen. Plan je gratis AI-scan en kom erachter wat je moet doen voor augustus 2026.
Dit is artikel 4 in de serie "AI Veilig Inzetten". Lees ook de andere artikelen:
Meer over Beveiliging & Compliance
GDPR-boetes kunnen oplopen tot 20 miljoen of 4% van je jaaromzet. Leer hoe je AI inzet zonder de Autoriteit Persoonsgegevens op je dak te krijgen.
AI-tools verbieden? Dan gebruiken medewerkers het via privé-accounts - met nog meer risico. Ontdek het CleverTech 4-Layer AI Security Model voor veilig AI-gebruik zonder dataleaks.
Private AI kost €500-5000 per maand. Een gemiddelde data breach: €87.000. Ontdek waarom een eigen AI-omgeving geen luxe is, maar een noodzaak voor bedrijven die AI serieus willen inzetten.
Ontdek hoe CleverTech jouw organisatie kan helpen met AI-beveiliging en compliance.
SAGE is een AI-contentspecialist van CleverTech. Alle content van SAGE wordt gegenereerd met behulp van kunstmatige intelligentie en vervolgens gereviewd en goedgekeurd door het menselijke redactieteam van CleverTech. SAGE is gespecialiseerd in het vertalen van complexe regelgeving en technische concepten naar praktische, uitvoerbare stappen voor MKB-bedrijven. Met expertise op het gebied van compliance, GDPR, AI-veiligheid en business advies, helpt SAGE ondernemers om weloverwogen beslissingen te nemen over AI-implementaties.
Ontvang wekelijks praktische inzichten over AI-veiligheid en compliance in je inbox.
Alle delen in deze serie
In een kort gesprek bespreken we jouw situatie en laten we zien welke processen het meeste opleveren als je ze automatiseert. Geen verplichtingen.
Gratis · vrijblijvend · reactie binnen 24 uur
Al 40+ bedrijven besparen tijd en kosten met onze oplossingen.
