AI Act voor Nederlandse Bedrijven: Praktische Compliance Checklist

De EU AI Act is de eerste uitgebreide AI-wetgeving ter wereld. En als Nederlands bedrijf moet je er klaar voor zijn. De eerste verplichtingen zijn al ingegaan, en de grote deadline -- augustus 2026 -- komt sneller dan je denkt.

In dit vierde artikel van de serie AI Veilig Inzetten vertalen we de AI Act van juridisch jargon naar concrete actiepunten. Geen abstracte richtlijnen, maar een praktische checklist die je morgen kunt gebruiken. Dit artikel maakt deel uit van onze complete gids over AI veilig inzetten.

Wat is de AI Act precies?

De EU AI Act (officieel: Verordening (EU) 2024/1689) is de eerste wet ter wereld die specifiek AI-systemen reguleert. Waar de GDPR/AVG zich richt op persoonsgegevens, richt de AI Act zich op de AI-systemen zelf -- ongeacht of ze persoonsgegevens verwerken.

De wet is op 1 augustus 2024 in werking getreden en wordt stapsgewijs van kracht:

Datum	Wat wordt van kracht
2 februari 2025	Verboden AI-praktijken + AI-geletterdheid verplichting
2 augustus 2025	Regels voor general-purpose AI (zoals GPT-modellen)
2 augustus 2026	Volledige regels voor hoog-risico AI-systemen
2 augustus 2027	Regels voor hoog-risico AI in bijlage I (specifieke sectoren)

Belangrijk: De verplichting rondom AI-geletterdheid is al van kracht sinds februari 2025. Lees hierover meer in ons artikel AI-geletterdheid: wat de wet eist en hoe je het regelt (artikel 1 in deze serie).

Het risicoclassificatiesysteem: waar valt jouw AI?

De kern van de AI Act is het risicoclassificatiesysteem. Elke AI-toepassing valt in een van vier categorieen, en de verplichtingen hangen af van de categorie.

Onacceptabel risico (verboden)

Deze AI-toepassingen zijn per 2 februari 2025 verboden:

• Social scoring door overheden -- een Chinese-stijl puntensysteem op basis van gedrag
• Emotieherkenning op de werkvloer of in het onderwijs (behalve voor medische of veiligheidsredenen)
• Biometrische classificatie op basis van gevoelige kenmerken (ras, religie, seksuele orientatie)
• Manipulatieve AI die bewust gedrag van mensen beinvloedt om schade te veroorzaken
• Predictive policing op basis van profilering
• Ongericht scrapen van gezichtsbeelden van internet of bewakingscamera's

Voor MKB relevant? In de meeste gevallen niet direct, maar let op: AI-tools die emoties van klanten analyseren in callcenters of videocalls kunnen hieronder vallen.

Hoog risico

Dit is de categorie die de meeste bedrijven raakt. Een AI-systeem is hoog-risico als het wordt ingezet voor:

• HR en werving: CV-screening, geautomatiseerde sollicitatiebeoordeling, performance evaluatie
• Kredietbeoordeling: Geautomatiseerde beslissingen over leningen of verzekeringen
• Onderwijs: Geautomatiseerde toetsing of toelatingsbeslissingen
• Essientiele diensten: Toegang tot overheidsuitkeringen, hulpdiensten
• Biometrie: Gezichtsherkenning, vingerafdrukscanning (niet-real-time)
• Kritieke infrastructuur: AI in water-, gas- of elektriciteitsnetwerken

De verplichtingen voor hoog-risico AI zijn uitgebreid:

1. Risicobeheerssysteem opzetten en documenteren
2. Data governance -- kwaliteitseisen aan trainingsdata
3. Technische documentatie opstellen
4. Logging en traceerbaarheid inbouwen
5. Transparantie naar gebruikers
6. Menselijk toezicht garanderen
7. Nauwkeurigheid, robuustheid en cybersecurity waarborgen
8. Registratie in de EU-database voor hoog-risico AI

Beperkt risico (transparantieverplichtingen)

Veel MKB AI-toepassingen vallen in deze categorie:

• Chatbots: Gebruikers moeten weten dat ze met AI praten
• AI-gegenereerde content: Deepfakes, AI-teksten en AI-beelden moeten als zodanig worden gemarkeerd
• Emotieherkenningssystemen: Gebruikers moeten geinformeerd worden (waar toegestaan)

Wat moet je doen? Zorg dat gebruikers weten dat ze met AI interacteren. Een simpele melding als "Deze chat wordt beantwoord door een AI-assistent" volstaat in veel gevallen.

Minimaal risico

Het overgrote deel van AI-toepassingen valt hier:

• AI-gestuurde spamfilters
• AI voor interne procesoptimalisatie
• Aanbevelingssystemen voor producten
• AI-vertalingen
• AI-ondersteunde teksteditors

Verplichtingen: Geen specifieke verplichtingen vanuit de AI Act, maar de algemene eisen rondom AI-geletterdheid en transparantie blijven gelden. En uiteraard blijft de AVG/GDPR van toepassing als er persoonsgegevens worden verwerkt.

De praktische compliance checklist

Hieronder vind je per risicniveau wat je concreet moet doen. Start bij stap 1 -- die geldt voor iedereen.

Stap 1: Inventariseer je AI-gebruik (alle risiconiveaus)

Voordat je kunt voldoen aan de AI Act, moet je weten welke AI je gebruikt. Dit is voor veel bedrijven verrassend lastig, omdat AI steeds vaker is ingebouwd in bestaande software.

Actie: maak een AI-register

Documenteer voor elke AI-toepassing:

• Naam en leverancier van het systeem
• Waarvoor het wordt gebruikt
• Welke data het verwerkt
• Wie er toegang toe heeft
• Welke beslissingen het ondersteunt of neemt
• Voorlopige risicoclassificatie

Tip: Vergeet embedded AI niet. Microsoft 365 Copilot, Salesforce Einstein, HubSpot AI -- al deze tools bevatten AI-functionaliteit die onder de AI Act kan vallen.

Stap 2: Classificeer het risico

Gebruik de risicoclassificatie hierboven om elke AI-toepassing in te delen. Let hierbij op:

• Een AI-tool kan in meerdere categorieen vallen, afhankelijk van het gebruik. Dezelfde LLM die onschuldig samenvattingen maakt (minimaal risico) wordt hoog-risico als je hem gebruikt voor CV-screening.
• Twijfel je? Classificeer hoger. Het is beter om te streng te zijn dan te soepel.
• Raadpleeg bij twijfel de lijsten in Bijlage I en III van de AI Act.

Stap 3: Transparantieverplichtingen (beperkt + hoog risico)

Voor chatbots en AI-interacties:

• Voeg een duidelijke melding toe dat gebruikers met AI communiceren
• Maak het onderscheid helder tussen AI-gegenereerde en menselijke antwoorden
• Bied een optie om een menselijke medewerker te spreken

Voor AI-gegenereerde content:

• Label AI-gegenereerde teksten, beelden en video's
• Implementeer watermarking waar mogelijk
• Documenteer het gebruik van AI in je content-creatieproces

Stap 4: Documentatie voor hoog-risico AI

Als je AI-toepassingen als hoog-risico zijn geclassificeerd, bereid dan de volgende documentatie voor:

Technische documentatie:

• Beschrijving van het systeem en het beoogde doel
• Ontwikkelingsproces en trainingsdata specificaties
• Performance metrics en nauwkeurigheidscijfers
• Bekende beperkingen en risico's

Risicobeheerssysteem:

• Identificatie van bekende en voorzienbare risico's
• Maatregelen om risico's te mitigeren
• Testresultaten en validatie
• Post-market monitoring plan

Data governance documentatie:

• Bronnen en kwaliteit van trainingsdata
• Bias-analyse en mitigatiemaatregelen
• Procedures voor data-updates

Stap 5: Menselijk toezicht organiseren (hoog risico)

De AI Act eist dat hoog-risico AI-systemen onder menselijk toezicht staan. In de praktijk betekent dit:

• Wijs een verantwoordelijke aan per hoog-risico AI-systeem
• Zorg dat medewerkers de AI-output kunnen overrulen
• Implementeer escalatieprocedures voor onverwachte resultaten
• Train medewerkers in het herkennen van fouten en bias

Dit sluit direct aan op het AI-beleid dat je nodig hebt. In artikel 2 van deze serie, AI-beleid opstellen: een praktische gids, behandelen we uitgebreid hoe je dit organiseert.

Stap 6: AI-geletterdheid waarborgen (alle niveaus)

Sinds 2 februari 2025 moeten alle organisaties die AI inzetten zorgen voor voldoende AI-geletterdheid bij hun personeel. Dit is geen optie -- het is een wettelijke verplichting die nu al geldt.

Minimaal moet je:

• AI-trainingen aanbieden aan alle medewerkers die met AI werken
• Documenteren welke trainingen zijn gevolgd
• Regelmatig evalueren of de kennis up-to-date is

De relatie tussen AI Act en AVG/GDPR

Een veelgestelde vraag: "Als we al AVG-compliant zijn, zijn we dan ook AI Act-compliant?"

Nee. De AI Act en de AVG zijn complementaire wetten die naast elkaar bestaan:

Aspect	AVG/GDPR	AI Act
Focus	Persoonsgegevens	AI-systemen
Scope	Alle dataverwerking	Alleen AI-toepassingen
Grondslag	Rechtsgrondslag voor verwerking	Risicoclassificatie
Verantwoordelijke	Verwerkingsverantwoordelijke	Aanbieder/gebruiker AI-systeem

De overlap: Als je AI-systeem persoonsgegevens verwerkt, moet je aan beide wetten voldoen. Je DPIA (Data Protection Impact Assessment) voor de AVG kan een goed startpunt zijn voor de risicobeoordeling onder de AI Act, maar het is niet voldoende. Lees ons artikel over GDPR en AI compliance voor een diepgaand overzicht van de AVG-verplichtingen bij AI-gebruik.

In artikel 3 van deze serie, Private AI-omgeving: waarom het verschil maakt, lees je hoe een private AI-opzet je helpt om aan beide wetten te voldoen. Bekijk ook onze AI Veiligheid guide voor het complete overzicht van beveiligingsmaatregelen.

Boetes en sancties

De AI Act kent forse boetes:

• Verboden AI-praktijken: tot 35 miljoen euro of 7% van de wereldwijde jaaromzet
• Overige overtredingen: tot 15 miljoen euro of 3% van de jaaromzet
• Verkeerde informatie verstrekken: tot 7,5 miljoen euro of 1% van de jaaromzet

Voor MKB en startups gelden lagere maxima: de boetes worden berekend op basis van de totale jaaromzet, met proportionaliteit als uitgangspunt. Maar ook een boete van 1% van de omzet kan voor een MKB-bedrijf een flinke klap zijn.

Handhaving in Nederland: De Autoriteit Persoonsgegevens is aangewezen als toezichthouder voor de AI Act in Nederland. Zij kunnen onderzoeken starten, waarschuwingen geven en boetes opleggen. Met CleverAI Advies helpen we MKB-bedrijven om tijdig compliant te worden.

5 stappen om nu te beginnen

Wacht niet tot augustus 2026. Begin vandaag met deze vijf concrete stappen:

1. AI-inventarisatie (deze week) Maak een lijst van alle AI-tools en -systemen die je organisatie gebruikt. Inclusief embedded AI in bestaande software.

2. Risicoclassificatie (deze maand) Classificeer elke AI-toepassing volgens het risicosysteem. Documenteer je overwegingen.

3. AI-geletterdheid (dit kwartaal) Start een AI-trainingsprogramma. Dit is al verplicht sinds februari 2025. Zorg dat alle medewerkers die met AI werken basis-kennis hebben.

4. AI-beleid formaliseren (dit kwartaal) Stel een formeel AI-beleid op dat aansluit bij de AI Act. Gebruik de richtlijnen uit ons artikel over AI-beleid opstellen.

5. Hoog-risico voorbereiding (komende 6 maanden) Als je hoog-risico AI gebruikt, begin dan nu met de documentatie en het risicobeheerssysteem. Dit kost tijd en is niet iets dat je in een weekend kunt doen.

Samenvatting

De AI Act is geen dreiging -- het is een kans om AI verantwoord in te zetten en tegelijkertijd een concurrentievoordeel te behalen. Bedrijven die nu proactief handelen, besparen zich straks de stress en kosten van last-minute compliance.

De kernpunten:

1. De eerste verplichtingen gelden al -- AI-geletterdheid en verboden praktijken zijn sinds februari 2025 van kracht
2. Inventariseer je AI-gebruik -- je kunt niet compliant zijn als je niet weet welke AI je gebruikt
3. Classificeer het risico -- de meeste MKB AI-toepassingen vallen in minimaal of beperkt risico
4. Documenteer alles -- de AI Act draait om aantoonbaarheid
5. Begin nu -- augustus 2026 is dichterbij dan je denkt

De AI Act, AVG/GDPR en AI-geletterdheid vormen samen het juridische kader voor AI in Nederland. In de volgende artikelen in deze serie behandelen we hoe RAG-architecturen je helpen om AI veilig met bedrijfsdata te combineren, en hoe agentic AI de volgende stap is in zakelijke AI-automatisering.

Wil je weten waar jouw bedrijf staat qua AI Act compliance? CleverTech biedt een [gratis AI-scan](/gratis AI-scan) aan waarbij we je huidige AI-gebruik inventariseren, classificeren en een compliance roadmap opstellen. Plan je gratis AI-scan en kom erachter wat je moet doen voor augustus 2026.

---

Dit is artikel 4 in de serie "AI Veilig Inzetten". Lees ook de andere artikelen:

• AI-geletterdheid: wat de wet eist (Artikel 1)
• AI-beleid opstellen: praktische gids (Artikel 2)
• Private AI-omgeving: waarom MKB kiest voor eigen AI (Artikel 3)
• Wat is RAG? AI slim maken met eigen data (Artikel 5)
• Agentic AI: jouw digitale medewerkers (Artikel 6)