Wanneer moet mijn bedrijf voldoen aan de AI Act?

De AI Act wordt stapsgewijs van kracht. Verboden AI-praktijken en AI-geletterdheid zijn al verplicht sinds 2 februari 2025. Regels voor general-purpose AI gelden vanaf augustus 2025. De volledige regels voor hoog-risico AI-systemen gelden vanaf 2 augustus 2026. Begin nu met voorbereiden, want de eerste verplichtingen zijn al van kracht.

Hoe hoog zijn de boetes onder de AI Act?

De boetes zijn fors: tot 35 miljoen euro of 7% van de wereldwijde jaaromzet voor verboden AI-praktijken, tot 15 miljoen euro of 3% voor overige overtredingen, en tot 7,5 miljoen euro of 1% voor het verstrekken van verkeerde informatie. Voor MKB gelden lagere maxima, maar ook 1% van de omzet kan een flinke impact hebben.

Valt mijn AI-chatbot onder de AI Act?

Ja, een AI-chatbot valt minimaal onder de categorie beperkt risico. Dit betekent dat je verplicht bent om gebruikers te informeren dat ze met AI communiceren. Als de chatbot beslissingen neemt die significante impact hebben op personen (bijv. kredietbeoordeling), kan het als hoog-risico worden geclassificeerd met uitgebreidere verplichtingen.

Is AVG/GDPR compliance voldoende voor de AI Act?

Nee, de AI Act en de AVG zijn complementaire wetten die naast elkaar bestaan. De AVG richt zich op persoonsgegevens, de AI Act op AI-systemen zelf. Als je AI persoonsgegevens verwerkt, moet je aan beide wetten voldoen. Je bestaande DPIA kan een startpunt zijn, maar is niet voldoende voor AI Act compliance.

Hoeveel tijd kost het om een AI-register op te stellen voor mijn bedrijf?

Een eerste AI-inventarisatie kost een MKB-bedrijf met 20-50 medewerkers gemiddeld 2 tot 4 werkdagen. Je brengt alle AI-tools in kaart, inclusief embedded AI in bestaande software zoals Microsoft 365 Copilot of CRM-systemen. Daarna kost de risicoclassificatie nog eens 1 tot 2 dagen. Plan vervolgens 1 dag per kwartaal in om het register actueel te houden. De meeste bedrijven ontdekken tijdens dit proces 8 tot 12 AI-tools waarvan ze het bestaan niet wisten.

AI Act Nederland: Praktische Compliance Checklist 2026

§01 Artikel

De EU AI Act is de eerste uitgebreide AI-wetgeving ter wereld. En als Nederlands bedrijf moet je er klaar voor zijn. De eerste verplichtingen zijn al ingegaan, en de grote deadline -- augustus 2026 -- komt sneller dan je denkt.

In dit vierde artikel van de serie AI Veilig Inzetten vertalen we de AI Act van juridisch jargon naar concrete actiepunten. Geen abstracte richtlijnen, maar een praktische checklist die je morgen kunt gebruiken. Dit artikel maakt deel uit van onze AI-beveiliging en compliance gids.

Wat is de AI Act precies?

De EU AI Act (officieel: Verordening (EU) 2024/1689) is de eerste wet ter wereld die specifiek AI-systemen reguleert. Waar de GDPR/AVG zich richt op persoonsgegevens, richt de AI Act zich op de AI-systemen zelf -- ongeacht of ze persoonsgegevens verwerken.

De wet is op 1 augustus 2024 in werking getreden (zie artikel 113 van de Verordening over inwerkingtreding en toepassing) en wordt stapsgewijs van kracht:

Datum	Wat wordt van kracht
2 februari 2025	Verboden AI-praktijken (Art 5) + AI-geletterdheid (Art 4)
2 augustus 2025	Regels voor general-purpose AI (Art 51-56) + governance (AI Office, nationale toezichthouders)
2 augustus 2026	Volledige regels voor hoog-risico AI-systemen (Bijlage III) + transparantie (Art 50)
2 augustus 2027	Regels voor hoog-risico AI die deel uitmaken van producten onder Bijlage I sectorale wetgeving (o.a. medische hulpmiddelen, speelgoed, voertuigen)

Belangrijk: De verplichting rondom AI-geletterdheid is al van kracht sinds februari 2025. Lees hierover meer in ons artikel AI-geletterdheid: wat de wet eist en hoe je het regelt (artikel 1 in deze serie).

Het risicoclassificatiesysteem: waar valt jouw AI?

De kern van de AI Act is het risicoclassificatiesysteem. Elke AI-toepassing valt in een van vier categorieen, en de verplichtingen hangen af van de categorie.

Onacceptabel risico (verboden)

Deze AI-toepassingen zijn per 2 februari 2025 verboden op grond van artikel 5 van de AI Act:

Social scoring door overheden -- een Chinese-stijl puntensysteem op basis van gedrag (Art 5(1)(c))
Emotieherkenning op de werkvloer of in het onderwijs (behalve voor medische of veiligheidsredenen) (Art 5(1)(f))
Biometrische classificatie op basis van gevoelige kenmerken (ras, religie, seksuele orientatie) (Art 5(1)(g))
Manipulatieve AI die bewust gedrag van mensen beinvloedt om schade te veroorzaken (Art 5(1)(a))
Predictive policing op basis van profilering (Art 5(1)(d))
Ongericht scrapen van gezichtsbeelden van internet of bewakingscamera's (Art 5(1)(e))

Voor MKB relevant? In de meeste gevallen niet direct, maar let op: AI-tools die emoties van klanten analyseren in callcenters of videocalls kunnen hieronder vallen.

Hoog risico

Dit is de categorie die de meeste bedrijven raakt. Een AI-systeem is hoog-risico op grond van artikel 6 jo. Bijlage III van de AI Act als het wordt ingezet voor:

HR en werving: CV-screening, geautomatiseerde sollicitatiebeoordeling, performance evaluatie
Kredietbeoordeling: Geautomatiseerde beslissingen over leningen of verzekeringen
Onderwijs: Geautomatiseerde toetsing of toelatingsbeslissingen
Essientiele diensten: Toegang tot overheidsuitkeringen, hulpdiensten
Biometrie: Gezichtsherkenning, vingerafdrukscanning (niet-real-time)
Kritieke infrastructuur: AI in water-, gas- of elektriciteitsnetwerken

De verplichtingen voor hoog-risico AI zijn uitgebreid (Hoofdstuk III, afdeling 2 van de AI Act, artikelen 8 t/m 15):

Risicobeheerssysteem opzetten en documenteren (Art 9)
Data governance -- kwaliteitseisen aan trainingsdata (Art 10)
Technische documentatie opstellen (Art 11 + Bijlage IV)
Logging en traceerbaarheid inbouwen (Art 12)
Transparantie naar gebruikers (Art 13)
Menselijk toezicht garanderen (Art 14)
Nauwkeurigheid, robuustheid en cybersecurity waarborgen (Art 15)
Registratie in de EU-database voor hoog-risico AI (Art 71)

Beperkt risico (transparantieverplichtingen)

Veel MKB AI-toepassingen vallen in deze categorie. De transparantieverplichtingen staan in artikel 50 van de AI Act en gelden vanaf 2 augustus 2026:

Chatbots: Gebruikers moeten weten dat ze met AI praten (Art 50(1))
AI-gegenereerde content: Deepfakes, AI-teksten en AI-beelden moeten als zodanig worden gemarkeerd (Art 50(2) en 50(4))
Emotieherkenningssystemen: Gebruikers moeten geinformeerd worden (waar toegestaan) (Art 50(3))

Wat moet je doen? Zorg dat gebruikers weten dat ze met AI interacteren. Een simpele melding als "Deze chat wordt beantwoord door een AI-assistent" volstaat in veel gevallen.

Minimaal risico

Het overgrote deel van AI-toepassingen valt hier:

AI-gestuurde spamfilters
AI voor interne procesoptimalisatie
Aanbevelingssystemen voor producten
AI-vertalingen
AI-ondersteunde teksteditors

Verplichtingen: Geen specifieke verplichtingen vanuit de AI Act, maar de algemene eisen rondom AI-geletterdheid en transparantie blijven gelden. En uiteraard blijft de AVG/GDPR van toepassing als er persoonsgegevens worden verwerkt.

De praktische compliance checklist

Hieronder vind je per risicniveau wat je concreet moet doen. Start bij stap 1 -- die geldt voor iedereen.

Stap 1: Inventariseer je AI-gebruik (alle risiconiveaus)

Voordat je kunt voldoen aan de AI Act, moet je weten welke AI je gebruikt. Dit is voor veel bedrijven verrassend lastig, omdat AI steeds vaker is ingebouwd in bestaande software.

Actie: maak een AI-register

Documenteer voor elke AI-toepassing:

Naam en leverancier van het systeem
Waarvoor het wordt gebruikt
Welke data het verwerkt
Wie er toegang toe heeft
Welke beslissingen het ondersteunt of neemt
Voorlopige risicoclassificatie

Tip: Vergeet embedded AI niet. Microsoft 365 Copilot, Salesforce Einstein, HubSpot AI -- al deze tools bevatten AI-functionaliteit die onder de AI Act kan vallen.

Stap 2: Classificeer het risico

Gebruik de risicoclassificatie hierboven om elke AI-toepassing in te delen. Let hierbij op:

Een AI-tool kan in meerdere categorieen vallen, afhankelijk van het gebruik. Dezelfde LLM die onschuldig samenvattingen maakt (minimaal risico) wordt hoog-risico als je hem gebruikt voor CV-screening.
Twijfel je? Classificeer hoger. Het is beter om te streng te zijn dan te soepel.
Raadpleeg bij twijfel de lijsten in Bijlage I (sectorale productveiligheidswetgeving) en Bijlage III (stand-alone hoog-risico use cases) van de AI Act.

Stap 3: Transparantieverplichtingen (beperkt + hoog risico)

Voor chatbots en AI-interacties:

Voeg een duidelijke melding toe dat gebruikers met AI communiceren
Maak het onderscheid helder tussen AI-gegenereerde en menselijke antwoorden
Bied een optie om een menselijke medewerker te spreken

Voor AI-gegenereerde content:

Label AI-gegenereerde teksten, beelden en video's
Implementeer watermarking waar mogelijk
Documenteer het gebruik van AI in je content-creatieproces

Stap 4: Documentatie voor hoog-risico AI

Als je AI-toepassingen als hoog-risico zijn geclassificeerd, bereid dan de volgende documentatie voor:

Technische documentatie:

Beschrijving van het systeem en het beoogde doel
Ontwikkelingsproces en trainingsdata specificaties
Performance metrics en nauwkeurigheidscijfers
Bekende beperkingen en risico's

Risicobeheerssysteem:

Identificatie van bekende en voorzienbare risico's
Maatregelen om risico's te mitigeren
Testresultaten en validatie
Post-market monitoring plan

Data governance documentatie:

Bronnen en kwaliteit van trainingsdata
Bias-analyse en mitigatiemaatregelen
Procedures voor data-updates

Stap 5: Menselijk toezicht organiseren (hoog risico)

De AI Act eist dat hoog-risico AI-systemen onder menselijk toezicht staan. In de praktijk betekent dit:

Wijs een verantwoordelijke aan per hoog-risico AI-systeem
Zorg dat medewerkers de AI-output kunnen overrulen
Implementeer escalatieprocedures voor onverwachte resultaten
Train medewerkers in het herkennen van fouten en bias

Dit sluit direct aan op het AI-beleid dat je nodig hebt. In artikel 2 van deze serie, AI-beleid opstellen: een praktische gids, behandelen we uitgebreid hoe je dit organiseert.

Stap 6: AI-geletterdheid waarborgen (alle niveaus)

Sinds 2 februari 2025 moeten alle organisaties die AI inzetten zorgen voor voldoende AI-geletterdheid bij hun personeel. Dit is geen optie -- het is een wettelijke verplichting op grond van artikel 4 van de AI Act die nu al geldt. De Autoriteit Persoonsgegevens publiceert guidance over de AI-verordening en verwacht aantoonbare invulling van deze verplichting.

Minimaal moet je:

AI-trainingen aanbieden aan alle medewerkers die met AI werken
Documenteren welke trainingen zijn gevolgd
Regelmatig evalueren of de kennis up-to-date is

De relatie tussen AI Act en AVG/GDPR

Een veelgestelde vraag: "Als we al AVG-compliant zijn, zijn we dan ook AI Act-compliant?"

Nee. De AI Act en de AVG zijn complementaire wetten die naast elkaar bestaan:

Aspect	AVG/GDPR	AI Act
Focus	Persoonsgegevens	AI-systemen
Scope	Alle dataverwerking	Alleen AI-toepassingen
Grondslag	Rechtsgrondslag voor verwerking	Risicoclassificatie
Verantwoordelijke	Verwerkingsverantwoordelijke	Aanbieder/gebruiker AI-systeem

De overlap: Als je AI-systeem persoonsgegevens verwerkt, moet je aan beide wetten voldoen. Je DPIA (Data Protection Impact Assessment) voor de AVG kan een goed startpunt zijn voor de risicobeoordeling onder de AI Act, maar het is niet voldoende. Lees ons artikel over GDPR en AI compliance voor een diepgaand overzicht van de AVG-verplichtingen bij AI-gebruik.

In artikel 3 van deze serie, Private AI-omgeving: waarom het verschil maakt, lees je hoe een private AI-opzet je helpt om aan beide wetten te voldoen. Bekijk ook onze handleiding veilig AI inzetten voor het complete overzicht van beveiligingsmaatregelen.

Boetes en sancties

De AI Act kent forse boetes, vastgelegd in artikel 99 van de Verordening:

Verboden AI-praktijken (Art 5): tot 35 miljoen euro of 7% van de wereldwijde jaaromzet (Art 99(3))
Overtredingen van andere verplichtingen (o.a. Art 8-15, 25, 48, 50): tot 15 miljoen euro of 3% van de jaaromzet (Art 99(4))
Verkeerde, onvolledige of misleidende informatie aan toezichthouders: tot 7,5 miljoen euro of 1% van de jaaromzet (Art 99(5))

Voor MKB en startups geldt expliciet dat van beide bedragen (absoluut of percentage) het laagste wordt toegepast in plaats van het hoogste (Art 99(6)) -- dat tempert de impact, maar ook een boete van 1% van de omzet kan voor een MKB-bedrijf een flinke klap zijn. Voor aanbieders van general-purpose AI modellen kent artikel 101 een apart sanctieregime tot 3% van de jaaromzet of 15 miljoen euro.

Handhaving in Nederland: De Autoriteit Persoonsgegevens (AP) is aangewezen als coördinerend toezichthouder op algoritmes en AI. Zij kunnen onderzoeken starten, waarschuwingen geven en boetes opleggen. Sectorspecifieke toezichthouders zoals AFM (financiële sector), DNB en IGJ (zorg) blijven verantwoordelijk binnen hun domein. Op rijksoverheid.nl staat de nationale uitvoeringsroute voor de AI-verordening beschreven. Met AI Advies helpen we MKB-bedrijven om tijdig compliant te worden.

5 stappen om nu te beginnen

Wacht niet tot augustus 2026. Begin vandaag met deze vijf concrete stappen:

1. AI-inventarisatie (deze week) Maak een lijst van alle AI-tools en -systemen die je organisatie gebruikt. Inclusief embedded AI in bestaande software.

2. Risicoclassificatie (deze maand) Classificeer elke AI-toepassing volgens het risicosysteem. Documenteer je overwegingen.

3. AI-geletterdheid (dit kwartaal) Start een AI-trainingsprogramma. Dit is al verplicht sinds februari 2025 op grond van Art 4. Het Europese AI Office publiceert voorbeelden en templates via een living repository. Zorg dat alle medewerkers die met AI werken basis-kennis hebben.

4. AI-beleid formaliseren (dit kwartaal) Stel een formeel AI-beleid op dat aansluit bij de AI Act. Gebruik de richtlijnen uit ons artikel over AI-beleid opstellen.

5. Hoog-risico voorbereiding (komende 6 maanden) Als je hoog-risico AI gebruikt, begin dan nu met de documentatie en het risicobeheerssysteem. Dit kost tijd en is niet iets dat je in een weekend kunt doen.

AI Act compliance-fouten die boetes opleveren

De AI Act is nieuw terrein voor de meeste bedrijven. Dit zijn de vijf fouten die we het vaakst zien -- en hoe je ze voorkomt.

1. Denken dat de AI Act alleen voor techbedrijven geldt De meest hardnekkige misvatting: "Wij ontwikkelen geen AI, dus de AI Act geldt niet voor ons." Dat klopt niet. De AI Act maakt onderscheid tussen aanbieders (ontwikkelaars) en gebruikers (deployers) van AI-systemen. Als je ChatGPT gebruikt voor CV-screening, ben jij als gebruiker verantwoordelijk voor de compliance van die hoog-risico toepassing. Het maakt niet uit dat OpenAI het model heeft gebouwd -- jij bepaalt het gebruik en dus de risicoclassificatie. Inventariseer al je AI-gebruik en classificeer het risico op basis van hoe jij de technologie inzet, niet op basis van wie het heeft gemaakt.

2. Alle AI-toepassingen over dezelfde kam scheren Sommige bedrijven behandelen al hun AI-gebruik als hoog-risico en verdrinken in documentatie. Andere bedrijven doen het tegenovergestelde en classificeren alles als minimaal risico om werk te vermijden. Beide aanpakken zijn problematisch. Neem de tijd om elke AI-toepassing apart te beoordelen op basis van het daadwerkelijke gebruik en de impact op personen. Een AI die e-mails samenvat (minimaal risico) vraagt om een totaal andere aanpak dan een AI die kredietaanvragen beoordeelt (hoog risico). Maatwerk in classificatie bespaart je werk op de lange termijn.

3. Compliance als eenmalig project behandelen De AI Act is geen checklist die je eenmaal afvinkt en dan vergeet. Het is een doorlopende verplichting. Nieuwe AI-tools worden geintroduceerd, bestaande tools worden voor nieuwe doeleinden ingezet, en de interpretatie van de wet evolueert door handhavingsbeslissingen en richtlijnen. Plan minimaal elk kwartaal een compliance-review in: welke nieuwe AI-tools zijn in gebruik genomen? Is de risicoclassificatie van bestaande tools veranderd? Zijn er nieuwe richtlijnen van de Autoriteit Persoonsgegevens? Compliance is een proces, geen project.

4. AI-geletterdheid beperken tot een eenmalige training De AI-geletterdheidsverplichting is sinds februari 2025 van kracht, en veel bedrijven reageren met een eenmalige online cursus die medewerkers in een uurtje doorlopen. Dat voldoet niet aan de geest van de wet. AI-geletterdheid betekent dat medewerkers de risico's, beperkingen en juiste toepassing van AI begrijpen -- en dat vereist doorlopende educatie. AI-technologie verandert snel; wat medewerkers in januari leerden, kan in juli alweer verouderd zijn. Plan kwartaalelijkse opfriscursussen, deel relevante updates en creeer een cultuur waarin kritisch nadenken over AI-gebruik de norm is.

5. Geen verantwoordelijke aanwijzen voor AI-governance Wie is er in jouw organisatie verantwoordelijk voor AI Act compliance? In veel MKB-bedrijven is het antwoord: niemand specifiek, of iedereen een beetje. Zonder een duidelijke eigenaar wordt compliance een zwevende verantwoordelijkheid die niemand oppakt. Wijs een AI-verantwoordelijke aan -- dat hoeft geen fulltime functie te zijn, maar iemand moet het mandaat en de tijd krijgen om het AI-register bij te houden, risicoclassificaties te bewaken, trainingen te organiseren en als aanspreekpunt te dienen. Bij grotere organisaties kan dit een AI-officer zijn, bij MKB-bedrijven past het vaak bij de IT-verantwoordelijke of de privacy officer.

Aan de slag: AI Act-Proof in 90 Dagen

Je hoeft niet alles tegelijk te doen. Dit actieplan verdeelt de compliance-inspanning over 90 dagen in behapbare stappen. Na afloop heb je een solide basis die je beschermt tegen de meeste risico's -- en die je kunt uitbouwen richting de augustus 2026 deadline.

Dag 1-14: Inventarisatie en eigenaarschap

Wijs een AI-verantwoordelijke aan (of neem die rol zelf op je)
Maak een compleet AI-register: lijst alle AI-tools op, inclusief embedded AI in bestaande software (Microsoft 365 Copilot, CRM-AI-functies, marketing automation)
Noteer per tool: wie gebruikt het, waarvoor, welke data wordt ingevoerd en welke beslissingen worden ondersteund
Resultaat: een volledig overzicht van je AI-landschap

Dag 15-30: Risicoclassificatie

Classificeer elke AI-toepassing in een van de vier risicocategorieen
Controleer specifiek op hoog-risico toepassingen: gebruik je AI voor CV-screening, kredietbeoordeling, automatische besluitvorming die personen raakt?
Documenteer je overwegingen bij elke classificatie (waarom hoog/beperkt/minimaal?)
Identificeer eventuele verboden toepassingen en stop die onmiddellijk
Resultaat: een geclassificeerd AI-register met onderbouwing

Dag 31-50: Transparantie en communicatie

Implementeer transparantiemeldingen bij alle chatbots en AI-interacties met klanten
Label AI-gegenereerde content waar nodig
Stel een interne communicatie op: informeer alle medewerkers over de AI Act, wat het betekent en wat er van hen wordt verwacht
Update je privacybeleid en algemene voorwaarden waar AI-gebruik wordt vermeld
Resultaat: transparantie naar klanten en bewustzijn bij medewerkers

Dag 51-70: AI-geletterdheid en beleid

Organiseer een AI-geletterdheidsstraining voor alle medewerkers die met AI werken (dit is al verplicht sinds februari 2025)
Stel een formeel AI-beleid op met richtlijnen voor verantwoord AI-gebruik (gebruik ons artikel over AI-beleid opstellen als basis)
Documenteer welke trainingen zijn gevolgd en door wie
Plan kwartaalelijkse opfrismomenten in de agenda
Resultaat: getrainde medewerkers en een formeel AI-beleid

Dag 71-85: Hoog-risico voorbereiding

Start met de technische documentatie voor eventuele hoog-risico AI-toepassingen
Wijs een verantwoordelijke aan per hoog-risico systeem die het menselijk toezicht waarborgt
Implementeer logging en traceerbaarheid voor hoog-risico systemen
Begin met een risicobeheerssysteem: identificeer risico's, definieer mitigatiemaatregelen
Resultaat: een fundament voor hoog-risico compliance

Dag 86-90: Review en routinebepaling

Voer een complete review uit: is het AI-register compleet? Zijn alle classificaties onderbouwd? Zijn de transparantiemaatregelen actief?
Stel een kwartaalschema op voor doorlopende compliance: AI-register bijwerken, classificaties herzien, trainingen plannen
Bereid een management-samenvatting voor met de status, openstaande punten en het plan richting augustus 2026
Resultaat: een werkend compliance-framework met een routinematig vervolgproces

Na 90 dagen: Je hebt nu een werkend compliance-framework. De maanden tot augustus 2026 gebruik je om hoog-risico documentatie te verfijnen, het AI-register actueel te houden en de organisatie verder te trainen. Je bent niet perfect compliant na 90 dagen -- maar je bent wel aantoonbaar bezig, en dat telt mee bij eventuele handhaving.

Samenvatting

De AI Act is geen dreiging -- het is een kans om AI verantwoord in te zetten en tegelijkertijd een concurrentievoordeel te behalen. Bedrijven die nu proactief handelen, besparen zich straks de stress en kosten van last-minute compliance.

De kernpunten:

De eerste verplichtingen gelden al -- AI-geletterdheid en verboden praktijken zijn sinds februari 2025 van kracht
Inventariseer je AI-gebruik -- je kunt niet compliant zijn als je niet weet welke AI je gebruikt
Classificeer het risico -- de meeste MKB AI-toepassingen vallen in minimaal of beperkt risico
Documenteer alles -- de AI Act draait om aantoonbaarheid
Begin nu -- augustus 2026 is dichterbij dan je denkt

De AI Act, AVG/GDPR en AI-geletterdheid vormen samen het juridische kader voor AI in Nederland. In de volgende artikelen in deze serie behandelen we hoe RAG-architecturen je helpen om AI veilig met bedrijfsdata te combineren, en hoe agentic AI de volgende stap is in zakelijke AI-automatisering.

Wil je weten waar jouw bedrijf staat qua AI Act compliance? CleverTech biedt een Vind de juiste aanpak aan waarbij we je huidige AI-gebruik inventariseren, classificeren en een compliance roadmap opstellen. Bekijk onze AI-compliance diensten en kom erachter wat je moet doen voor augustus 2026.

Dit is artikel 4 in de serie "AI Veilig Inzetten". Lees ook de andere artikelen:

AI-geletterdheid: wat de wet eist (Artikel 1)
AI-beleid opstellen: praktische gids (Artikel 2)
Private AI-omgeving: waarom MKB kiest voor eigen AI (Artikel 3)
Wat is RAG? AI slim maken met eigen data (Artikel 5)
Agentic AI: jouw digitale medewerkers (Artikel 6)

Opgesteld met AI-tools en gecontroleerd door het redactieteam van CleverTech — tech-leads met ervaring in AI, procesautomatisering en IT-consulting.

§01 Artikel

Wat is de AI Act precies?

De wet is op 1 augustus 2024 in werking getreden (zie artikel 113 van de Verordening over inwerkingtreding en toepassing) en wordt stapsgewijs van kracht:

Datum	Wat wordt van kracht
2 februari 2025	Verboden AI-praktijken (Art 5) + AI-geletterdheid (Art 4)
2 augustus 2025	Regels voor general-purpose AI (Art 51-56) + governance (AI Office, nationale toezichthouders)
2 augustus 2026	Volledige regels voor hoog-risico AI-systemen (Bijlage III) + transparantie (Art 50)
2 augustus 2027	Regels voor hoog-risico AI die deel uitmaken van producten onder Bijlage I sectorale wetgeving (o.a. medische hulpmiddelen, speelgoed, voertuigen)

Het risicoclassificatiesysteem: waar valt jouw AI?

De kern van de AI Act is het risicoclassificatiesysteem. Elke AI-toepassing valt in een van vier categorieen, en de verplichtingen hangen af van de categorie.

Onacceptabel risico (verboden)

Deze AI-toepassingen zijn per 2 februari 2025 verboden op grond van artikel 5 van de AI Act:

Social scoring door overheden -- een Chinese-stijl puntensysteem op basis van gedrag (Art 5(1)(c))
Emotieherkenning op de werkvloer of in het onderwijs (behalve voor medische of veiligheidsredenen) (Art 5(1)(f))
Biometrische classificatie op basis van gevoelige kenmerken (ras, religie, seksuele orientatie) (Art 5(1)(g))
Manipulatieve AI die bewust gedrag van mensen beinvloedt om schade te veroorzaken (Art 5(1)(a))
Predictive policing op basis van profilering (Art 5(1)(d))
Ongericht scrapen van gezichtsbeelden van internet of bewakingscamera's (Art 5(1)(e))

Voor MKB relevant? In de meeste gevallen niet direct, maar let op: AI-tools die emoties van klanten analyseren in callcenters of videocalls kunnen hieronder vallen.

Hoog risico

Dit is de categorie die de meeste bedrijven raakt. Een AI-systeem is hoog-risico op grond van artikel 6 jo. Bijlage III van de AI Act als het wordt ingezet voor:

HR en werving: CV-screening, geautomatiseerde sollicitatiebeoordeling, performance evaluatie
Kredietbeoordeling: Geautomatiseerde beslissingen over leningen of verzekeringen
Onderwijs: Geautomatiseerde toetsing of toelatingsbeslissingen
Essientiele diensten: Toegang tot overheidsuitkeringen, hulpdiensten
Biometrie: Gezichtsherkenning, vingerafdrukscanning (niet-real-time)
Kritieke infrastructuur: AI in water-, gas- of elektriciteitsnetwerken

De verplichtingen voor hoog-risico AI zijn uitgebreid (Hoofdstuk III, afdeling 2 van de AI Act, artikelen 8 t/m 15):

Risicobeheerssysteem opzetten en documenteren (Art 9)
Data governance -- kwaliteitseisen aan trainingsdata (Art 10)
Technische documentatie opstellen (Art 11 + Bijlage IV)
Logging en traceerbaarheid inbouwen (Art 12)
Transparantie naar gebruikers (Art 13)
Menselijk toezicht garanderen (Art 14)
Nauwkeurigheid, robuustheid en cybersecurity waarborgen (Art 15)
Registratie in de EU-database voor hoog-risico AI (Art 71)

Beperkt risico (transparantieverplichtingen)

Veel MKB AI-toepassingen vallen in deze categorie. De transparantieverplichtingen staan in artikel 50 van de AI Act en gelden vanaf 2 augustus 2026:

Chatbots: Gebruikers moeten weten dat ze met AI praten (Art 50(1))
AI-gegenereerde content: Deepfakes, AI-teksten en AI-beelden moeten als zodanig worden gemarkeerd (Art 50(2) en 50(4))
Emotieherkenningssystemen: Gebruikers moeten geinformeerd worden (waar toegestaan) (Art 50(3))

Wat moet je doen? Zorg dat gebruikers weten dat ze met AI interacteren. Een simpele melding als "Deze chat wordt beantwoord door een AI-assistent" volstaat in veel gevallen.

Minimaal risico

Het overgrote deel van AI-toepassingen valt hier:

AI-gestuurde spamfilters
AI voor interne procesoptimalisatie
Aanbevelingssystemen voor producten
AI-vertalingen
AI-ondersteunde teksteditors

De praktische compliance checklist

Hieronder vind je per risicniveau wat je concreet moet doen. Start bij stap 1 -- die geldt voor iedereen.

Stap 1: Inventariseer je AI-gebruik (alle risiconiveaus)

Voordat je kunt voldoen aan de AI Act, moet je weten welke AI je gebruikt. Dit is voor veel bedrijven verrassend lastig, omdat AI steeds vaker is ingebouwd in bestaande software.

Actie: maak een AI-register

Documenteer voor elke AI-toepassing:

Naam en leverancier van het systeem
Waarvoor het wordt gebruikt
Welke data het verwerkt
Wie er toegang toe heeft
Welke beslissingen het ondersteunt of neemt
Voorlopige risicoclassificatie

Tip: Vergeet embedded AI niet. Microsoft 365 Copilot, Salesforce Einstein, HubSpot AI -- al deze tools bevatten AI-functionaliteit die onder de AI Act kan vallen.

Stap 2: Classificeer het risico

Gebruik de risicoclassificatie hierboven om elke AI-toepassing in te delen. Let hierbij op:

Een AI-tool kan in meerdere categorieen vallen, afhankelijk van het gebruik. Dezelfde LLM die onschuldig samenvattingen maakt (minimaal risico) wordt hoog-risico als je hem gebruikt voor CV-screening.
Twijfel je? Classificeer hoger. Het is beter om te streng te zijn dan te soepel.
Raadpleeg bij twijfel de lijsten in Bijlage I (sectorale productveiligheidswetgeving) en Bijlage III (stand-alone hoog-risico use cases) van de AI Act.

Stap 3: Transparantieverplichtingen (beperkt + hoog risico)

Voor chatbots en AI-interacties:

Voeg een duidelijke melding toe dat gebruikers met AI communiceren
Maak het onderscheid helder tussen AI-gegenereerde en menselijke antwoorden
Bied een optie om een menselijke medewerker te spreken

Voor AI-gegenereerde content:

Label AI-gegenereerde teksten, beelden en video's
Implementeer watermarking waar mogelijk
Documenteer het gebruik van AI in je content-creatieproces

Stap 4: Documentatie voor hoog-risico AI

Als je AI-toepassingen als hoog-risico zijn geclassificeerd, bereid dan de volgende documentatie voor:

Technische documentatie:

Beschrijving van het systeem en het beoogde doel
Ontwikkelingsproces en trainingsdata specificaties
Performance metrics en nauwkeurigheidscijfers
Bekende beperkingen en risico's

Risicobeheerssysteem:

Identificatie van bekende en voorzienbare risico's
Maatregelen om risico's te mitigeren
Testresultaten en validatie
Post-market monitoring plan

Data governance documentatie:

Bronnen en kwaliteit van trainingsdata
Bias-analyse en mitigatiemaatregelen
Procedures voor data-updates

Stap 5: Menselijk toezicht organiseren (hoog risico)

De AI Act eist dat hoog-risico AI-systemen onder menselijk toezicht staan. In de praktijk betekent dit:

Wijs een verantwoordelijke aan per hoog-risico AI-systeem
Zorg dat medewerkers de AI-output kunnen overrulen
Implementeer escalatieprocedures voor onverwachte resultaten
Train medewerkers in het herkennen van fouten en bias

Dit sluit direct aan op het AI-beleid dat je nodig hebt. In artikel 2 van deze serie, AI-beleid opstellen: een praktische gids, behandelen we uitgebreid hoe je dit organiseert.

Stap 6: AI-geletterdheid waarborgen (alle niveaus)

Minimaal moet je:

AI-trainingen aanbieden aan alle medewerkers die met AI werken
Documenteren welke trainingen zijn gevolgd
Regelmatig evalueren of de kennis up-to-date is

De relatie tussen AI Act en AVG/GDPR

Een veelgestelde vraag: "Als we al AVG-compliant zijn, zijn we dan ook AI Act-compliant?"

Nee. De AI Act en de AVG zijn complementaire wetten die naast elkaar bestaan:

Aspect	AVG/GDPR	AI Act
Focus	Persoonsgegevens	AI-systemen
Scope	Alle dataverwerking	Alleen AI-toepassingen
Grondslag	Rechtsgrondslag voor verwerking	Risicoclassificatie
Verantwoordelijke	Verwerkingsverantwoordelijke	Aanbieder/gebruiker AI-systeem

Boetes en sancties

De AI Act kent forse boetes, vastgelegd in artikel 99 van de Verordening:

Verboden AI-praktijken (Art 5): tot 35 miljoen euro of 7% van de wereldwijde jaaromzet (Art 99(3))
Overtredingen van andere verplichtingen (o.a. Art 8-15, 25, 48, 50): tot 15 miljoen euro of 3% van de jaaromzet (Art 99(4))
Verkeerde, onvolledige of misleidende informatie aan toezichthouders: tot 7,5 miljoen euro of 1% van de jaaromzet (Art 99(5))

5 stappen om nu te beginnen

Wacht niet tot augustus 2026. Begin vandaag met deze vijf concrete stappen:

1. AI-inventarisatie (deze week) Maak een lijst van alle AI-tools en -systemen die je organisatie gebruikt. Inclusief embedded AI in bestaande software.

2. Risicoclassificatie (deze maand) Classificeer elke AI-toepassing volgens het risicosysteem. Documenteer je overwegingen.

4. AI-beleid formaliseren (dit kwartaal) Stel een formeel AI-beleid op dat aansluit bij de AI Act. Gebruik de richtlijnen uit ons artikel over AI-beleid opstellen.

AI Act compliance-fouten die boetes opleveren

De AI Act is nieuw terrein voor de meeste bedrijven. Dit zijn de vijf fouten die we het vaakst zien -- en hoe je ze voorkomt.

Aan de slag: AI Act-Proof in 90 Dagen

Dag 1-14: Inventarisatie en eigenaarschap

Wijs een AI-verantwoordelijke aan (of neem die rol zelf op je)
Maak een compleet AI-register: lijst alle AI-tools op, inclusief embedded AI in bestaande software (Microsoft 365 Copilot, CRM-AI-functies, marketing automation)
Noteer per tool: wie gebruikt het, waarvoor, welke data wordt ingevoerd en welke beslissingen worden ondersteund
Resultaat: een volledig overzicht van je AI-landschap

Dag 15-30: Risicoclassificatie

Classificeer elke AI-toepassing in een van de vier risicocategorieen
Controleer specifiek op hoog-risico toepassingen: gebruik je AI voor CV-screening, kredietbeoordeling, automatische besluitvorming die personen raakt?
Documenteer je overwegingen bij elke classificatie (waarom hoog/beperkt/minimaal?)
Identificeer eventuele verboden toepassingen en stop die onmiddellijk
Resultaat: een geclassificeerd AI-register met onderbouwing

Dag 31-50: Transparantie en communicatie

Implementeer transparantiemeldingen bij alle chatbots en AI-interacties met klanten
Label AI-gegenereerde content waar nodig
Stel een interne communicatie op: informeer alle medewerkers over de AI Act, wat het betekent en wat er van hen wordt verwacht
Update je privacybeleid en algemene voorwaarden waar AI-gebruik wordt vermeld
Resultaat: transparantie naar klanten en bewustzijn bij medewerkers

Dag 51-70: AI-geletterdheid en beleid

Organiseer een AI-geletterdheidsstraining voor alle medewerkers die met AI werken (dit is al verplicht sinds februari 2025)
Stel een formeel AI-beleid op met richtlijnen voor verantwoord AI-gebruik (gebruik ons artikel over AI-beleid opstellen als basis)
Documenteer welke trainingen zijn gevolgd en door wie
Plan kwartaalelijkse opfrismomenten in de agenda
Resultaat: getrainde medewerkers en een formeel AI-beleid

Dag 71-85: Hoog-risico voorbereiding

Start met de technische documentatie voor eventuele hoog-risico AI-toepassingen
Wijs een verantwoordelijke aan per hoog-risico systeem die het menselijk toezicht waarborgt
Implementeer logging en traceerbaarheid voor hoog-risico systemen
Begin met een risicobeheerssysteem: identificeer risico's, definieer mitigatiemaatregelen
Resultaat: een fundament voor hoog-risico compliance

Dag 86-90: Review en routinebepaling

Voer een complete review uit: is het AI-register compleet? Zijn alle classificaties onderbouwd? Zijn de transparantiemaatregelen actief?
Stel een kwartaalschema op voor doorlopende compliance: AI-register bijwerken, classificaties herzien, trainingen plannen
Bereid een management-samenvatting voor met de status, openstaande punten en het plan richting augustus 2026
Resultaat: een werkend compliance-framework met een routinematig vervolgproces

Samenvatting

De kernpunten:

De eerste verplichtingen gelden al -- AI-geletterdheid en verboden praktijken zijn sinds februari 2025 van kracht
Inventariseer je AI-gebruik -- je kunt niet compliant zijn als je niet weet welke AI je gebruikt
Classificeer het risico -- de meeste MKB AI-toepassingen vallen in minimaal of beperkt risico
Documenteer alles -- de AI Act draait om aantoonbaarheid
Begin nu -- augustus 2026 is dichterbij dan je denkt

Dit is artikel 4 in de serie "AI Veilig Inzetten". Lees ook de andere artikelen:

AI-geletterdheid: wat de wet eist (Artikel 1)
AI-beleid opstellen: praktische gids (Artikel 2)
Private AI-omgeving: waarom MKB kiest voor eigen AI (Artikel 3)
Wat is RAG? AI slim maken met eigen data (Artikel 5)
Agentic AI: jouw digitale medewerkers (Artikel 6)

Opgesteld met AI-tools en gecontroleerd door het redactieteam van CleverTech — tech-leads met ervaring in AI, procesautomatisering en IT-consulting.

AI Act Nederland: Praktische Compliance Checklist 2026

Benieuwd hoe dit werkt bij jou?

AI Act Nederland: Praktische Compliance Checklist 2026

Benieuwd hoe dit werkt bij jou?