Recente berichten

Op 1 augustus 2024 trad de eerste alomvattende Europese wet voor kunstmatige intelligentie in werking: de EU AI Act (Verordening (EU) 2024/1689). Voor juristen, ondernemers en beleidsmakers betekent deze verordening wat de AVG ooit was voor privacy: een fundamentele verschuiving van vrijblijvende richtlijnen naar bindende handhaving met stevige boetes.

Toch weet een groot deel van het Nederlandse bedrijfsleven nog nauwelijks wat er op hen afkomt. Bovendien is de regelgeving in beweging: in mei 2026 bereikte de EU een politiek akkoord over de AI Omnibus, een pakket wijzigingen dat een aantal cruciale deadlines heeft verschoven. In dit artikel leggen we daarom de actuele stand van zaken uit: welke regels gelden er al, welke deadlines zijn gewijzigd, welke AI-toepassingen zijn verboden en wat zijn de gevolgen als u zich niet aanpast? Liever snel inzicht? Lees dan de FAQ onderaan!

Wat dit moment bovendien bijzonder maakt, is niet alleen de omvang van de wetgeving, maar ook de snelheid waarmee de regels worden aangescherpt. De combinatie van verboden die al van kracht zijn, een transparantiedeadline die direct voor de deur staat, gewijzigde hoog-risico-termijnen en een nieuw Nederlands toezichtmodel tekent een breder beeld dan een louter administratieve verplichting. De centrale vraag is dan ook: hoe robuust reageert uw organisatie als de toezichthouder voor de deur staat?

Wat is de EU AI Act en voor wie geldt die?

De EU AI Act is de eerste bindende Europese wet die kunstmatige intelligentie reguleert op basis van risico. De verordening geldt voor iedereen die binnen de Europese Unie AI-systemen ontwikkelt, op de markt brengt of gebruikt, ook als u de technologie niet zelf bouwt. Voor de meeste Nederlandse mkb-ondernemers is juist dat laatste punt relevant: wie een AI-tool van een externe leverancier gebruikt in zijn bedrijfsvoering, valt eveneens onder de wet.

De wet hanteert bovendien een risicogerichte benadering. Hoe groter het potentiële gevaar voor mensen, grondrechten of veiligheid, hoe strenger de eisen. Concreet onderscheidt de verordening vier risicocategorieën:

  • Onaanvaardbaar risico (verboden): AI-systemen die mensen manipuleren, sociale scoring uitvoeren of massa-surveillance mogelijk maken.
  • Hoog risico: AI-systemen in sectoren als onderwijs, werving, medische zorg, kredietverlening en rechtshandhaving.
  • Beperkt risico (transparantieverplichtingen): Systemen die content genereren of met mensen communiceren, zoals chatbots en deepfakes.
  • Minimaal risico: De meeste AI-toepassingen, zoals spamfilters of aanbevelingsalgoritmen.

Omdat de wet zo breed is opgezet, vervult de Autoriteit Persoonsgegevens in Nederland een coördinerende rol bij het toezicht op de naleving.

Definitie – EU AI Act

Wat is de EU AI Act precies?

De EU AI Act (Verordening (EU) 2024/1689) is de eerste bindende Europese wet die kunstmatige intelligentie reguleert. De verordening werkt met een risicogerichte aanpak en geldt voor aanbieders én gebruikers van AI-systemen binnen de EU. Door de AI Omnibus (politiek akkoord mei 2026) zijn bovendien verschillende deadlines gewijzigd ten opzichte van de oorspronkelijke tekst.

  • 2 februari 2025: Verbod op AI-systemen met onaanvaardbaar risico van kracht.
  • 2 augustus 2025: Verplichtingen voor aanbieders van general-purpose AI-modellen (GPAI) van kracht.
  • 2 augustus 2026: Transparantieplicht voor chatbots, deepfakes en AI-gegenereerde content.
  • 2 december 2027: Volledige handhaving hoog-risico AI-systemen (Bijlage III) na uitstel via AI Omnibus.
  • 2 augustus 2028: Hoog-risico AI ingebed in gereguleerde producten (Bijlage I).

De handhaving ligt bij nationale toezichthouders, gecoördineerd door het European AI Office van de Europese Commissie.

Bijgewerkte tijdlijn: wanneer geldt wat?

Door het AI Omnibus-akkoord van 7 mei 2026 zijn de deadlines voor hoog-risico AI-systemen aanzienlijk verschoven. Hieronder vindt u de actuele tijdlijn, inclusief alle wijzigingen. Let wel: zolang het akkoord niet formeel is gepubliceerd in het Publicatieblad van de EU, gelden juridisch nog de oorspronkelijke data. Het is daarom verstandig om niet te wachten op die publicatie, maar nu al met compliance-voorbereidingen te starten.

Tijdlijn EU AI Act: wanneer geldt wat? (bijgewerkt juni 2026)

Datum Wat treedt in werking? Voor wie relevant?
2 augustus 2024 EU AI Act officieel van kracht Alle organisaties die AI inzetten in de EU
2 februari 2025 Verbod op onaanvaardbare AI-systemen; verplichting tot AI-geletterdheid medewerkers Alle organisaties
2 augustus 2025 Regels voor aanbieders van AI-modellen voor algemene doeleinden (GPAI) Aanbieders van grote taalmodellen (bijv. chatbots, LLM’s)
2 augustus 2026 Transparantieplicht voor chatbots, deepfakes en AI-gegenereerde content (Artikel 50) Alle aanbieders van interactieve AI en generatieve AI
2 december 2026 Einde overgangstermijn watermerken bestaande generatieve AI-systemen; nieuwe verboden deepfakes/CSAM van kracht Aanbieders van generatieve AI-systemen
2 december 2027 (verschoven via AI Omnibus) Volledige handhaving hoog-risico AI (Bijlage III): werving, krediet, biometrie, onderwijs, zorg, rechtshandhaving Alle gebruikers en aanbieders van hoog-risico AI
2 augustus 2028 (verschoven via AI Omnibus) Hoog-risico AI ingebed in gereguleerde producten (Bijlage I): medische apparatuur, machines, liften Fabrikanten van gereguleerde producten

Welke AI-toepassingen zijn verboden?

Sinds 2 februari 2025 zijn bepaalde AI-systemen volledig verboden binnen de EU. Het gaat daarbij om toepassingen die een onaanvaardbaar risico vormen voor grondrechten of maatschappelijke waarden. Wie een verboden systeem inzet, riskeert de zwaarste boetes uit de gehele verordening: tot 35 miljoen euro of 7% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is.

De verboden omvatten onder meer de volgende categorieën:

  • AI-systemen die subliminale of manipulatieve technieken gebruiken om het gedrag van mensen te beïnvloeden op een manier die schade veroorzaakt.
  • Systemen die kwetsbare groepen zoals kinderen of mensen met een beperking uitbuiten via hun zwaktes.
  • Sociale scoreringssystemen die mensen beoordelen op hun gedrag in de samenleving.
  • Real-time biometrische identificatie in openbare ruimtes voor rechtshandhaving (met beperkte uitzonderingen).
  • Emotieherkenning op de werkplek of in onderwijsinstellingen.
  • Het opbouwen van gezichtsherkenningsdatabases via ongerichte scraping van internet of camerabewaking.

Bovendien zijn via de AI Omnibus per 2 december 2026 twee nieuwe verboden toegevoegd: het genereren of manipuleren van niet-consensuele seksuele content en kindermisbruikmateriaal (CSAM) door middel van AI.

Let op: ook als u AI inkoopt, bent u verantwoordelijk

Een bijzonder aandachtspunt voor het bedrijfsleven is dat veel SaaS-leveranciers stilletjes AI-functies toevoegen aan bestaande tools. Wie die tools vervolgens gebruikt zonder de nieuwe functies te toetsen aan de verboden, draagt alsnog het juridische risico. De verantwoordelijkheid ligt namelijk bij de gebruiksverantwoordelijke (deployer) en niet uitsluitend bij de aanbieder. Dat onderscheid is in de praktijk van groot belang.

Overzicht: verboden AI-toepassingen onder de EU AI Act

Verboden toepassing Toelichting Maximale boete
Manipulatieve AI Subliminale beïnvloeding die schade veroorzaakt aan individuen of groepen €35 mln of 7% omzet
Sociale scoring Beoordeling van personen op basis van sociaal gedrag met nadelige behandeling als gevolg €35 mln of 7% omzet
Real-time biometrie (openbaar) Gezichtsherkenning voor rechtshandhaving in openbare ruimten (beperkte uitzonderingen) €35 mln of 7% omzet
Emotieherkenning (werk/onderwijs) Detectie van emoties van werknemers of studenten zonder medische of veiligheidsgrond €35 mln of 7% omzet
Ongerichte gezichtsherkenningsdatabases Scrapen van internet of camerabewaking om gezichtsherkenningsdatabases op te bouwen €35 mln of 7% omzet
Niet-consensuele seksuele deepfakes / CSAM (v.a. 2 dec. 2026) Genereren of manipuleren van intiem beeldmateriaal zonder toestemming van de betrokkene €35 mln of 7% omzet

Wat verandert er per 2 augustus 2026?

Hoewel de deadline voor hoog-risico AI is verschoven, blijft 2 augustus 2026 een cruciale datum. Vanaf die dag worden namelijk de transparantieverplichtingen uit Artikel 50 van de AI Act gehandhaafd. Systemen die met mensen communiceren of synthetische content produceren, moeten duidelijk herkenbaar zijn als AI.

Wat houdt de transparantieplicht concreet in?

Concreet betekent de transparantieplicht het volgende voor aanbieders:

  • Chatbots moeten zichzelf kenbaar maken als AI-systeem op het moment van interactie.
  • Deepfakes en AI-gegenereerde content moeten als zodanig worden gelabeld, met machine-leesbare watermerken.
  • Emotieherkenningssystemen en biometrische classificatiesystemen moeten worden bekendgemaakt aan de betrokkene.

Voor bestaande generatieve AI-systemen die vóór augustus 2026 al op de markt waren, geldt bovendien een overgangstermijn voor watermerken tot 2 december 2026. De wet schrijft niet exact voor welke technische vorm transparantie moet aannemen, maar stelt wel dat de informatie duidelijk, begrijpelijk en op het moment van interactie moet worden gegeven.

Hoog-risico AI: wat verandert er per december 2027?

Hoog-risico AI-systemen worden ingezet op terreinen waar fouten grote gevolgen kunnen hebben voor individuele personen. Voorbeelden zijn onder meer:

  • Wervings- en selectietools die cv’s beoordelen of kandidaten rangschikken.
  • Kredietbeoordelingssystemen bij banken en financiële instellingen.
  • AI-ondersteuning bij juridische besluitvorming of rechtshandhaving.
  • Systemen voor toewijzing van sociale uitkeringen of toeslagen.
  • AI in onderwijsinstellingen voor toelating of beoordeling van studenten.
  • Medische diagnose-ondersteuning en zorgplanning.
  • Biometrische identificatiesystemen.

Welke verplichtingen gelden er voor hoog-risico AI?

Voor al deze systemen gelden zware compliance-eisen, die per 2 december 2027 worden gehandhaafd. Concreet gaat het daarbij om de volgende verplichtingen: een verplichte risicobeoordeling, een kwaliteitsmanagementsysteem, continue monitoring en uitgebreide technische documentatie. Daarnaast is menselijk toezicht op geautomatiseerde beslissingen vereist en moeten systemen worden geregistreerd in de Europese database voor AI-systemen. Publieke instanties moeten bovendien een fundamental rights impact assessment uitvoeren.

Gebruik de extra tijd om het goed te doen

Het uitstel biedt organisaties extra ruimte om dit grondig aan te pakken. Toch is het verstandig om niet te wachten. Wie nu begint met een AI-audit, bouwt namelijk een documentatiebasis die later eenvoudig aansluit op de definitieve technische standaarden. Wie wacht tot 2027, heeft te weinig ruimte om het goed te doen.

Definitie – AI-geletterdheid (Artikel 4 EU AI Act)

Wat is AI-geletterdheid en waarom is het verplicht?

Artikel 4 van de EU AI Act verplicht aanbieders en gebruiksverantwoordelijken ervoor te zorgen dat hun personeel voldoende AI-geletterd is. De verplichting geldt voor iedereen die AI-systemen inzet, ongeacht of dat een groot technologiebedrijf is of een kleine onderneming die gebruikmaakt van een AI-chatbot. De kern:

  • Wat: Medewerkers moeten weten hoe het AI-systeem dat zij gebruiken werkt, welke risico’s het heeft en wanneer zij een beslissing moeten controleren of escaleren.
  • Wie: Iedereen in de organisatie die met AI-systemen werkt, afgestemd op hun rol en het risiconiveau van het systeem.
  • Wanneer: De verplichting bestaat al sinds 2 februari 2025; handhaving door Nederlandse toezichthouders start bovendien per 2 augustus 2026.
  • Hoe: De wet schrijft geen specifieke trainingsvorm voor; aantoonbaarheid via documentatie of certificaten is echter essentieel. Via de AI Omnibus is de formulering licht verzacht: organisaties moeten voortaan “maatregelen nemen om” voldoende AI-kennis te bevorderen.

Het Nederlandse toezichtmodel: wie handhaaft de AI Act?

Nederland kiest voor een sectoraal toezichtmodel. Dat wil zeggen: niet één centrale AI-toezichthouder, maar tien bestaande markttoezichthouders die ieder binnen hun eigen sector toezicht houden op de naleving van de AI Act. De Autoriteit Persoonsgegevens en de Rijksinspectie Digitale Infrastructuur vervullen daarbinnen een coördinerende rol.

Welke toezichthouder is bevoegd voor uw sector?

Welke toezichthouder bevoegd is, hangt af van het domein waarin het AI-systeem wordt ingezet. Concreet geldt het volgende:

  • De AFM en DNB houden toezicht op AI bij financiële diensten, waaronder kredietverstrekking, verzekeringen en beleggingen.
  • De IGJ (Inspectie Gezondheidszorg en Jeugd) ziet toe op AI in de medische sector.
  • De Autoriteit Persoonsgegevens coördineert en handhaaft rondom privacygerelateerde AI-risico’s.
  • De Rijksinspectie Digitale Infrastructuur heeft daarnaast een bredere coördinerende rol.

Het kabinet publiceerde in april 2026 een wetsvoorstel voor de Nederlandse uitvoeringswet, waarbij burgers, bedrijven en organisaties tot 1 juni 2026 konden reageren. Als gevolg daarvan krijgen de toezichthouders bevoegdheden om documentatie op te vragen, bindende aanwijzingen te geven, gebruik stil te leggen en boetes op te leggen. Op Europees niveau heeft het European AI Office van de Europese Commissie bovendien een overkoepelende rol.

Boetes en aansprakelijkheid: wat riskeert u?

De AI Act kent een driedeling in boetes, afhankelijk van de ernst van de overtreding. Naast administratieve sancties ontstaat bij schade aan individuen bovendien civielrechtelijke aansprakelijkheid. Juridisch gezien is de positie van de gebruiksverantwoordelijke daarin cruciaal: “We wisten niet hoe het model werkte” is geen geldig juridisch verweer. De AI Act vereist immers dat bestuurders kunnen aantonen dat zij controle hebben over de levenscyclus van het AI-systeem dat zij inzetten.

Overzicht: boetes onder de EU AI Act

Overtreding Maximale boete (bedrag) Maximale boete (omzet)
Inzet verboden AI-systemen €35.000.000 7% wereldwijde jaaromzet
Overige overtredingen (bijv. onvoldoende documentatie) €15.000.000 3% wereldwijde jaaromzet
Onjuiste informatie aan toezichthouders €7.500.000 1,5% wereldwijde jaaromzet

Via de AI Omnibus is de vereenvoudigde compliance-route voor mkb-bedrijven bovendien uitgebreid naar middelgrote ondernemingen met maximaal 750 medewerkers en 150 miljoen euro jaaromzet. Als gevolg daarvan komen zij in aanmerking voor verlaagde boeteplafonds, vereenvoudigde documentatiesjablonen en toegang tot regelgevingssandboxen.

De AI Act en de AVG: hoe verhouden ze zich tot elkaar?

De AI Act en de AVG vullen elkaar aan, maar overlappen op een aantal punten ook. Waar de AVG beschermt tegen onrechtmatige verwerking van persoonsgegevens, richt de AI Act zich op de werking en het risico van het systeem zelf, ongeacht of het persoonsgegevens verwerkt.

De debiasing-uitzondering: waar de twee wetten botsen

Toch raken de wetten elkaar op meerdere vlakken. Een illustratief voorbeeld is de zogeheten debiasing-uitzondering. Normaal gesproken verbiedt de AVG het verwerken van bijzondere persoonsgegevens zoals etniciteit of gezondheidsgegevens. De AI Act staat echter toe dat ontwikkelaars deze gevoelige data toch gebruiken, mits dit strikt noodzakelijk is om bias in het algoritme op te sporen en te corrigeren. Via de AI Omnibus is deze uitzondering overigens verder verruimd, waardoor het makkelijker wordt om AVG-gevoelige data te gebruiken voor biasdetectie in AI-modellen.

Voor organisaties die al AVG-compliant werken, geldt dat de AI Act aanvullende verplichtingen oplegt rondom governance, transparantie en technische documentatie. Wie zijn privacyhuishouding reeds op orde heeft, staat er dan ook aanzienlijk gunstiger voor dan wie van nul moet beginnen. De Autoriteit Persoonsgegevens is in Nederland bevoegd voor handhaving van beide wetten.

Wat moet u nu concreet doen?

Met de transparantiedeadline van 2 augustus 2026 direct voor de deur en de hoog-risico deadlines verschoven naar respectievelijk december 2027 en augustus 2028, is dit het moment om structureel aan de slag te gaan. Vroeg beginnen is immers altijd goedkoper dan herstelwerk achteraf. Organisaties die nu starten met een AI-audit staan er in 2027 aanzienlijk beter voor dan zij die wachten tot de eerste handhavingsbesluiten vallen.

Vijf concrete stappen voor Nederlandse organisaties

  1. Inventariseer uw AI-tools. Maak allereerst een overzicht van alle AI-systemen die uw organisatie gebruikt of aanbiedt, inclusief systemen van externe leveranciers. Ongetwijfeld gebruikt u meer AI dan u denkt.
  2. Classificeer het risico. Toets vervolgens elk systeem aan de risicocategorieën uit de AI Act. Valt een tool onder de verboden? Stop er dan per direct mee. Is het hoog-risico? Begin nu met de documentatieopbouw.
  3. Vraag compliance-verklaringen op bij leveranciers. Bouw dit standaard in uw leveranciersbeoordelingen in. De aankoop van een niet-conform AI-systeem legt het risico namelijk bij u als gebruiker.
  4. Start met AI-geletterdheidsopleidingen. Zorg er bovendien voor dat medewerkers begrijpen welke AI zij gebruiken, welke risico’s die heeft en wanneer zij moeten escaleren. Documenteer dit aantoonbaar.
  5. Wijs intern eigenaarschap toe. Bepaal ten slotte wie in uw organisatie verantwoordelijk is voor doorlopende AI Act-naleving. Zonder duidelijk eigenaar blijft compliance immers een papieren werkelijkheid.

FAQ – EU AI Act: de meest gestelde vragen

Geldt de EU AI Act ook voor kleine Nederlandse bedrijven?
Ja. De EU AI Act geldt voor iedere organisatie die binnen de Europese Unie AI-systemen aanbiedt of gebruikt, ongeacht de omvang van het bedrijf. Voor mkb-bedrijven en, via de Omnibus, ook voor middelgrote ondernemingen tot 750 medewerkers en €150 miljoen jaaromzet, gelden wel lagere boeteplafonds en vereenvoudigde documentatiesjablonen. De verplichtingen zelf zijn echter gelijk. Wie een AI-tool van een externe leverancier gebruikt, is bovendien zelf verantwoordelijk voor de naleving van de regels die op dat gebruik van toepassing zijn.
Wat is een hoog-risico AI-systeem?
Een hoog-risico AI-systeem is een systeem dat wordt ingezet in sectoren of situaties waar fouten grote gevolgen kunnen hebben voor mensen. Voorbeelden zijn onder meer: AI voor werving en selectie, kredietbeoordeling, beoordeling van studenten, toewijzing van uitkeringen of toeslagen, medische diagnostiek en AI ter ondersteuning van rechtshandhaving. Voor al deze systemen gelden uitgebreide verplichtingen: risicobeoordelingen, technische documentatie, menselijk toezicht en registratie in de Europese database. Na het AI Omnibus-akkoord worden deze verplichtingen bovendien pas gehandhaafd vanaf 2 december 2027 (Bijlage III) of 2 augustus 2028 (Bijlage I).
Wanneer moet ik mijn organisatie aanpassen aan de AI Act?
Dat hangt af van het type AI dat u inzet. Verboden AI-systemen zijn al per 2 februari 2025 niet meer toegestaan. De verplichting tot AI-geletterdheid geldt eveneens al. Transparantieverplichtingen voor chatbots en generatieve AI worden vervolgens gehandhaafd vanaf 2 augustus 2026. De zwaarste compliance-eisen voor hoog-risico AI gaan ten slotte in op 2 december 2027 (Bijlage III) of 2 augustus 2028 (Bijlage I). Gebruik de extra tijd dan ook om het goed te doen, niet om later te beginnen.
Wat verandert er door de AI Omnibus?
Het AI Omnibus-akkoord van mei 2026 verschuift de hoog-risico-deadline voor Bijlage III-systemen van 2 augustus 2026 naar 2 december 2027, en voor Bijlage I-systemen van 2 augustus 2027 naar 2 augustus 2028. Daarnaast zijn nieuwe verboden toegevoegd rondom schadelijke deepfakes, is de debiasing-uitzondering verruimd en is de vereenvoudigde compliance-route uitgebreid naar middelgrote bedrijven. Verboden praktijken, AI-geletterdheid en GPAI-verplichtingen blijven echter ongewijzigd van kracht.
Wat is het verschil tussen de EU AI Act en de AVG?
De AVG beschermt persoonsgegevens: zij verbiedt onrechtmatige verwerking van informatie over identificeerbare personen. De AI Act richt zich daarentegen op de werking en het risico van het AI-systeem zelf, ook als dat geen persoonsgegevens verwerkt. De twee wetten kunnen tegelijkertijd van toepassing zijn. Een AI-systeem dat persoonsgegevens verwerkt én hoog-risico is, moet daarom voldoen aan zowel de AVG als de AI Act. De Autoriteit Persoonsgegevens is in Nederland bevoegd voor handhaving van beide wetten.
Wat zijn de boetes voor overtreding van de EU AI Act?
De boetes kennen drie niveaus. Bij het inzetten van verboden AI-systemen riskeert u tot €35 miljoen of 7% van de wereldwijde jaaromzet. Bij andere overtredingen, zoals onvoldoende technische documentatie, bedraagt de maximale boete €15 miljoen of 3% van de omzet. Onjuiste informatie aan toezichthouders kan bovendien worden bestraft met €7,5 miljoen of 1,5% van de omzet. Voor mkb-bedrijven en middelgrote ondernemingen gelden overigens lagere plafonds; het hoogste bedrag is in alle gevallen van toepassing.
Wie handhaaft de EU AI Act in Nederland?
Nederland kiest voor een sectoraal toezichtmodel met tien bestaande markttoezichthouders. De Autoriteit Persoonsgegevens en de Rijksinspectie Digitale Infrastructuur vervullen daarbinnen een coördinerende rol. Welke toezichthouder bevoegd is, hangt vervolgens af van het domein: de AFM en DNB voor financiële diensten, de IGJ voor medische AI. Op Europees niveau coördineert het European AI Office van de Europese Commissie.
Hoe weet ik of mijn AI-leverancier compliant is?
Vraag uw leverancier om een schriftelijke AI Act-complianceverklaring. Aanbieders van hoog-risico AI-systemen zijn namelijk verplicht technische documentatie bij te houden en een EU-conformiteitsverklaring met CE-markering te verstrekken. Hoog-risico systemen moeten bovendien worden geregistreerd in de Europese database voor AI-systemen. Als een leverancier deze informatie niet kan verstrekken, is dat een serieus risicosignaal, omdat de aansprakelijkheid als gebruiker immers bij u ligt.

Geschreven door
Max Paul, LL.B.
Jurist bij XY Legal Solutions

Op 1 augustus 2024 trad de eerste alomvattende Europese wet voor kunstmatige intelligentie in werking: de EU AI Act (Verordening (EU) 2024/1689). Voor juristen, ondernemers en beleidsmakers betekent deze verordening wat de AVG ooit was voor privacy: een fundamentele verschuiving van vrijblijvende richtlijnen naar bindende handhaving met stevige boetes.

Toch weet een groot deel van het Nederlandse bedrijfsleven nog nauwelijks wat er op hen afkomt. Bovendien is de regelgeving in beweging: in mei 2026 bereikte de EU een politiek akkoord over de AI Omnibus, een pakket wijzigingen dat een aantal cruciale deadlines heeft verschoven. In dit artikel leggen we daarom de actuele stand van zaken uit: welke regels gelden er al, welke deadlines zijn gewijzigd, welke AI-toepassingen zijn verboden en wat zijn de gevolgen als u zich niet aanpast? Liever snel inzicht? Lees dan de FAQ onderaan!

Wat dit moment bovendien bijzonder maakt, is niet alleen de omvang van de wetgeving, maar ook de snelheid waarmee de regels worden aangescherpt. De combinatie van verboden die al van kracht zijn, een transparantiedeadline die direct voor de deur staat, gewijzigde hoog-risico-termijnen en een nieuw Nederlands toezichtmodel tekent een breder beeld dan een louter administratieve verplichting. De centrale vraag is dan ook: hoe robuust reageert uw organisatie als de toezichthouder voor de deur staat?

Wat is de EU AI Act en voor wie geldt die?

De EU AI Act is de eerste bindende Europese wet die kunstmatige intelligentie reguleert op basis van risico. De verordening geldt voor iedereen die binnen de Europese Unie AI-systemen ontwikkelt, op de markt brengt of gebruikt, ook als u de technologie niet zelf bouwt. Voor de meeste Nederlandse mkb-ondernemers is juist dat laatste punt relevant: wie een AI-tool van een externe leverancier gebruikt in zijn bedrijfsvoering, valt eveneens onder de wet.

De wet hanteert bovendien een risicogerichte benadering. Hoe groter het potentiële gevaar voor mensen, grondrechten of veiligheid, hoe strenger de eisen. Concreet onderscheidt de verordening vier risicocategorieën:

  • Onaanvaardbaar risico (verboden): AI-systemen die mensen manipuleren, sociale scoring uitvoeren of massa-surveillance mogelijk maken.
  • Hoog risico: AI-systemen in sectoren als onderwijs, werving, medische zorg, kredietverlening en rechtshandhaving.
  • Beperkt risico (transparantieverplichtingen): Systemen die content genereren of met mensen communiceren, zoals chatbots en deepfakes.
  • Minimaal risico: De meeste AI-toepassingen, zoals spamfilters of aanbevelingsalgoritmen.

Omdat de wet zo breed is opgezet, vervult de Autoriteit Persoonsgegevens in Nederland een coördinerende rol bij het toezicht op de naleving.

Definitie – EU AI Act

Wat is de EU AI Act precies?

De EU AI Act (Verordening (EU) 2024/1689) is de eerste bindende Europese wet die kunstmatige intelligentie reguleert. De verordening werkt met een risicogerichte aanpak en geldt voor aanbieders én gebruikers van AI-systemen binnen de EU. Door de AI Omnibus (politiek akkoord mei 2026) zijn bovendien verschillende deadlines gewijzigd ten opzichte van de oorspronkelijke tekst.

  • 2 februari 2025: Verbod op AI-systemen met onaanvaardbaar risico van kracht.
  • 2 augustus 2025: Verplichtingen voor aanbieders van general-purpose AI-modellen (GPAI) van kracht.
  • 2 augustus 2026: Transparantieplicht voor chatbots, deepfakes en AI-gegenereerde content.
  • 2 december 2027: Volledige handhaving hoog-risico AI-systemen (Bijlage III) na uitstel via AI Omnibus.
  • 2 augustus 2028: Hoog-risico AI ingebed in gereguleerde producten (Bijlage I).

De handhaving ligt bij nationale toezichthouders, gecoördineerd door het European AI Office van de Europese Commissie.

Bijgewerkte tijdlijn: wanneer geldt wat?

Door het AI Omnibus-akkoord van 7 mei 2026 zijn de deadlines voor hoog-risico AI-systemen aanzienlijk verschoven. Hieronder vindt u de actuele tijdlijn, inclusief alle wijzigingen. Let wel: zolang het akkoord niet formeel is gepubliceerd in het Publicatieblad van de EU, gelden juridisch nog de oorspronkelijke data. Het is daarom verstandig om niet te wachten op die publicatie, maar nu al met compliance-voorbereidingen te starten.

Tijdlijn EU AI Act: wanneer geldt wat? (bijgewerkt juni 2026)

Datum Wat treedt in werking? Voor wie relevant?
2 augustus 2024 EU AI Act officieel van kracht Alle organisaties die AI inzetten in de EU
2 februari 2025 Verbod op onaanvaardbare AI-systemen; verplichting tot AI-geletterdheid medewerkers Alle organisaties
2 augustus 2025 Regels voor aanbieders van AI-modellen voor algemene doeleinden (GPAI) Aanbieders van grote taalmodellen (bijv. chatbots, LLM’s)
2 augustus 2026 Transparantieplicht voor chatbots, deepfakes en AI-gegenereerde content (Artikel 50) Alle aanbieders van interactieve AI en generatieve AI
2 december 2026 Einde overgangstermijn watermerken bestaande generatieve AI-systemen; nieuwe verboden deepfakes/CSAM van kracht Aanbieders van generatieve AI-systemen
2 december 2027 (verschoven via AI Omnibus) Volledige handhaving hoog-risico AI (Bijlage III): werving, krediet, biometrie, onderwijs, zorg, rechtshandhaving Alle gebruikers en aanbieders van hoog-risico AI
2 augustus 2028 (verschoven via AI Omnibus) Hoog-risico AI ingebed in gereguleerde producten (Bijlage I): medische apparatuur, machines, liften Fabrikanten van gereguleerde producten

Welke AI-toepassingen zijn verboden?

Sinds 2 februari 2025 zijn bepaalde AI-systemen volledig verboden binnen de EU. Het gaat daarbij om toepassingen die een onaanvaardbaar risico vormen voor grondrechten of maatschappelijke waarden. Wie een verboden systeem inzet, riskeert de zwaarste boetes uit de gehele verordening: tot 35 miljoen euro of 7% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is.

De verboden omvatten onder meer de volgende categorieën:

  • AI-systemen die subliminale of manipulatieve technieken gebruiken om het gedrag van mensen te beïnvloeden op een manier die schade veroorzaakt.
  • Systemen die kwetsbare groepen zoals kinderen of mensen met een beperking uitbuiten via hun zwaktes.
  • Sociale scoreringssystemen die mensen beoordelen op hun gedrag in de samenleving.
  • Real-time biometrische identificatie in openbare ruimtes voor rechtshandhaving (met beperkte uitzonderingen).
  • Emotieherkenning op de werkplek of in onderwijsinstellingen.
  • Het opbouwen van gezichtsherkenningsdatabases via ongerichte scraping van internet of camerabewaking.

Bovendien zijn via de AI Omnibus per 2 december 2026 twee nieuwe verboden toegevoegd: het genereren of manipuleren van niet-consensuele seksuele content en kindermisbruikmateriaal (CSAM) door middel van AI.

Let op: ook als u AI inkoopt, bent u verantwoordelijk

Een bijzonder aandachtspunt voor het bedrijfsleven is dat veel SaaS-leveranciers stilletjes AI-functies toevoegen aan bestaande tools. Wie die tools vervolgens gebruikt zonder de nieuwe functies te toetsen aan de verboden, draagt alsnog het juridische risico. De verantwoordelijkheid ligt namelijk bij de gebruiksverantwoordelijke (deployer) en niet uitsluitend bij de aanbieder. Dat onderscheid is in de praktijk van groot belang.

Overzicht: verboden AI-toepassingen onder de EU AI Act

Verboden toepassing Toelichting Maximale boete
Manipulatieve AI Subliminale beïnvloeding die schade veroorzaakt aan individuen of groepen €35 mln of 7% omzet
Sociale scoring Beoordeling van personen op basis van sociaal gedrag met nadelige behandeling als gevolg €35 mln of 7% omzet
Real-time biometrie (openbaar) Gezichtsherkenning voor rechtshandhaving in openbare ruimten (beperkte uitzonderingen) €35 mln of 7% omzet
Emotieherkenning (werk/onderwijs) Detectie van emoties van werknemers of studenten zonder medische of veiligheidsgrond €35 mln of 7% omzet
Ongerichte gezichtsherkenningsdatabases Scrapen van internet of camerabewaking om gezichtsherkenningsdatabases op te bouwen €35 mln of 7% omzet
Niet-consensuele seksuele deepfakes / CSAM (v.a. 2 dec. 2026) Genereren of manipuleren van intiem beeldmateriaal zonder toestemming van de betrokkene €35 mln of 7% omzet

Wat verandert er per 2 augustus 2026?

Hoewel de deadline voor hoog-risico AI is verschoven, blijft 2 augustus 2026 een cruciale datum. Vanaf die dag worden namelijk de transparantieverplichtingen uit Artikel 50 van de AI Act gehandhaafd. Systemen die met mensen communiceren of synthetische content produceren, moeten duidelijk herkenbaar zijn als AI.

Wat houdt de transparantieplicht concreet in?

Concreet betekent de transparantieplicht het volgende voor aanbieders:

  • Chatbots moeten zichzelf kenbaar maken als AI-systeem op het moment van interactie.
  • Deepfakes en AI-gegenereerde content moeten als zodanig worden gelabeld, met machine-leesbare watermerken.
  • Emotieherkenningssystemen en biometrische classificatiesystemen moeten worden bekendgemaakt aan de betrokkene.

Voor bestaande generatieve AI-systemen die vóór augustus 2026 al op de markt waren, geldt bovendien een overgangstermijn voor watermerken tot 2 december 2026. De wet schrijft niet exact voor welke technische vorm transparantie moet aannemen, maar stelt wel dat de informatie duidelijk, begrijpelijk en op het moment van interactie moet worden gegeven.

Hoog-risico AI: wat verandert er per december 2027?

Hoog-risico AI-systemen worden ingezet op terreinen waar fouten grote gevolgen kunnen hebben voor individuele personen. Voorbeelden zijn onder meer:

  • Wervings- en selectietools die cv’s beoordelen of kandidaten rangschikken.
  • Kredietbeoordelingssystemen bij banken en financiële instellingen.
  • AI-ondersteuning bij juridische besluitvorming of rechtshandhaving.
  • Systemen voor toewijzing van sociale uitkeringen of toeslagen.
  • AI in onderwijsinstellingen voor toelating of beoordeling van studenten.
  • Medische diagnose-ondersteuning en zorgplanning.
  • Biometrische identificatiesystemen.

Welke verplichtingen gelden er voor hoog-risico AI?

Voor al deze systemen gelden zware compliance-eisen, die per 2 december 2027 worden gehandhaafd. Concreet gaat het daarbij om de volgende verplichtingen: een verplichte risicobeoordeling, een kwaliteitsmanagementsysteem, continue monitoring en uitgebreide technische documentatie. Daarnaast is menselijk toezicht op geautomatiseerde beslissingen vereist en moeten systemen worden geregistreerd in de Europese database voor AI-systemen. Publieke instanties moeten bovendien een fundamental rights impact assessment uitvoeren.

Gebruik de extra tijd om het goed te doen

Het uitstel biedt organisaties extra ruimte om dit grondig aan te pakken. Toch is het verstandig om niet te wachten. Wie nu begint met een AI-audit, bouwt namelijk een documentatiebasis die later eenvoudig aansluit op de definitieve technische standaarden. Wie wacht tot 2027, heeft te weinig ruimte om het goed te doen.

Definitie – AI-geletterdheid (Artikel 4 EU AI Act)

Wat is AI-geletterdheid en waarom is het verplicht?

Artikel 4 van de EU AI Act verplicht aanbieders en gebruiksverantwoordelijken ervoor te zorgen dat hun personeel voldoende AI-geletterd is. De verplichting geldt voor iedereen die AI-systemen inzet, ongeacht of dat een groot technologiebedrijf is of een kleine onderneming die gebruikmaakt van een AI-chatbot. De kern:

  • Wat: Medewerkers moeten weten hoe het AI-systeem dat zij gebruiken werkt, welke risico’s het heeft en wanneer zij een beslissing moeten controleren of escaleren.
  • Wie: Iedereen in de organisatie die met AI-systemen werkt, afgestemd op hun rol en het risiconiveau van het systeem.
  • Wanneer: De verplichting bestaat al sinds 2 februari 2025; handhaving door Nederlandse toezichthouders start bovendien per 2 augustus 2026.
  • Hoe: De wet schrijft geen specifieke trainingsvorm voor; aantoonbaarheid via documentatie of certificaten is echter essentieel. Via de AI Omnibus is de formulering licht verzacht: organisaties moeten voortaan “maatregelen nemen om” voldoende AI-kennis te bevorderen.

Het Nederlandse toezichtmodel: wie handhaaft de AI Act?

Nederland kiest voor een sectoraal toezichtmodel. Dat wil zeggen: niet één centrale AI-toezichthouder, maar tien bestaande markttoezichthouders die ieder binnen hun eigen sector toezicht houden op de naleving van de AI Act. De Autoriteit Persoonsgegevens en de Rijksinspectie Digitale Infrastructuur vervullen daarbinnen een coördinerende rol.

Welke toezichthouder is bevoegd voor uw sector?

Welke toezichthouder bevoegd is, hangt af van het domein waarin het AI-systeem wordt ingezet. Concreet geldt het volgende:

  • De AFM en DNB houden toezicht op AI bij financiële diensten, waaronder kredietverstrekking, verzekeringen en beleggingen.
  • De IGJ (Inspectie Gezondheidszorg en Jeugd) ziet toe op AI in de medische sector.
  • De Autoriteit Persoonsgegevens coördineert en handhaaft rondom privacygerelateerde AI-risico’s.
  • De Rijksinspectie Digitale Infrastructuur heeft daarnaast een bredere coördinerende rol.

Het kabinet publiceerde in april 2026 een wetsvoorstel voor de Nederlandse uitvoeringswet, waarbij burgers, bedrijven en organisaties tot 1 juni 2026 konden reageren. Als gevolg daarvan krijgen de toezichthouders bevoegdheden om documentatie op te vragen, bindende aanwijzingen te geven, gebruik stil te leggen en boetes op te leggen. Op Europees niveau heeft het European AI Office van de Europese Commissie bovendien een overkoepelende rol.

Boetes en aansprakelijkheid: wat riskeert u?

De AI Act kent een driedeling in boetes, afhankelijk van de ernst van de overtreding. Naast administratieve sancties ontstaat bij schade aan individuen bovendien civielrechtelijke aansprakelijkheid. Juridisch gezien is de positie van de gebruiksverantwoordelijke daarin cruciaal: “We wisten niet hoe het model werkte” is geen geldig juridisch verweer. De AI Act vereist immers dat bestuurders kunnen aantonen dat zij controle hebben over de levenscyclus van het AI-systeem dat zij inzetten.

Overzicht: boetes onder de EU AI Act

Overtreding Maximale boete (bedrag) Maximale boete (omzet)
Inzet verboden AI-systemen €35.000.000 7% wereldwijde jaaromzet
Overige overtredingen (bijv. onvoldoende documentatie) €15.000.000 3% wereldwijde jaaromzet
Onjuiste informatie aan toezichthouders €7.500.000 1,5% wereldwijde jaaromzet

Via de AI Omnibus is de vereenvoudigde compliance-route voor mkb-bedrijven bovendien uitgebreid naar middelgrote ondernemingen met maximaal 750 medewerkers en 150 miljoen euro jaaromzet. Als gevolg daarvan komen zij in aanmerking voor verlaagde boeteplafonds, vereenvoudigde documentatiesjablonen en toegang tot regelgevingssandboxen.

De AI Act en de AVG: hoe verhouden ze zich tot elkaar?

De AI Act en de AVG vullen elkaar aan, maar overlappen op een aantal punten ook. Waar de AVG beschermt tegen onrechtmatige verwerking van persoonsgegevens, richt de AI Act zich op de werking en het risico van het systeem zelf, ongeacht of het persoonsgegevens verwerkt.

De debiasing-uitzondering: waar de twee wetten botsen

Toch raken de wetten elkaar op meerdere vlakken. Een illustratief voorbeeld is de zogeheten debiasing-uitzondering. Normaal gesproken verbiedt de AVG het verwerken van bijzondere persoonsgegevens zoals etniciteit of gezondheidsgegevens. De AI Act staat echter toe dat ontwikkelaars deze gevoelige data toch gebruiken, mits dit strikt noodzakelijk is om bias in het algoritme op te sporen en te corrigeren. Via de AI Omnibus is deze uitzondering overigens verder verruimd, waardoor het makkelijker wordt om AVG-gevoelige data te gebruiken voor biasdetectie in AI-modellen.

Voor organisaties die al AVG-compliant werken, geldt dat de AI Act aanvullende verplichtingen oplegt rondom governance, transparantie en technische documentatie. Wie zijn privacyhuishouding reeds op orde heeft, staat er dan ook aanzienlijk gunstiger voor dan wie van nul moet beginnen. De Autoriteit Persoonsgegevens is in Nederland bevoegd voor handhaving van beide wetten.

Wat moet u nu concreet doen?

Met de transparantiedeadline van 2 augustus 2026 direct voor de deur en de hoog-risico deadlines verschoven naar respectievelijk december 2027 en augustus 2028, is dit het moment om structureel aan de slag te gaan. Vroeg beginnen is immers altijd goedkoper dan herstelwerk achteraf. Organisaties die nu starten met een AI-audit staan er in 2027 aanzienlijk beter voor dan zij die wachten tot de eerste handhavingsbesluiten vallen.

Vijf concrete stappen voor Nederlandse organisaties

  1. Inventariseer uw AI-tools. Maak allereerst een overzicht van alle AI-systemen die uw organisatie gebruikt of aanbiedt, inclusief systemen van externe leveranciers. Ongetwijfeld gebruikt u meer AI dan u denkt.
  2. Classificeer het risico. Toets vervolgens elk systeem aan de risicocategorieën uit de AI Act. Valt een tool onder de verboden? Stop er dan per direct mee. Is het hoog-risico? Begin nu met de documentatieopbouw.
  3. Vraag compliance-verklaringen op bij leveranciers. Bouw dit standaard in uw leveranciersbeoordelingen in. De aankoop van een niet-conform AI-systeem legt het risico namelijk bij u als gebruiker.
  4. Start met AI-geletterdheidsopleidingen. Zorg er bovendien voor dat medewerkers begrijpen welke AI zij gebruiken, welke risico’s die heeft en wanneer zij moeten escaleren. Documenteer dit aantoonbaar.
  5. Wijs intern eigenaarschap toe. Bepaal ten slotte wie in uw organisatie verantwoordelijk is voor doorlopende AI Act-naleving. Zonder duidelijk eigenaar blijft compliance immers een papieren werkelijkheid.

FAQ – EU AI Act: de meest gestelde vragen

Geldt de EU AI Act ook voor kleine Nederlandse bedrijven?
Ja. De EU AI Act geldt voor iedere organisatie die binnen de Europese Unie AI-systemen aanbiedt of gebruikt, ongeacht de omvang van het bedrijf. Voor mkb-bedrijven en, via de Omnibus, ook voor middelgrote ondernemingen tot 750 medewerkers en €150 miljoen jaaromzet, gelden wel lagere boeteplafonds en vereenvoudigde documentatiesjablonen. De verplichtingen zelf zijn echter gelijk. Wie een AI-tool van een externe leverancier gebruikt, is bovendien zelf verantwoordelijk voor de naleving van de regels die op dat gebruik van toepassing zijn.
Wat is een hoog-risico AI-systeem?
Een hoog-risico AI-systeem is een systeem dat wordt ingezet in sectoren of situaties waar fouten grote gevolgen kunnen hebben voor mensen. Voorbeelden zijn onder meer: AI voor werving en selectie, kredietbeoordeling, beoordeling van studenten, toewijzing van uitkeringen of toeslagen, medische diagnostiek en AI ter ondersteuning van rechtshandhaving. Voor al deze systemen gelden uitgebreide verplichtingen: risicobeoordelingen, technische documentatie, menselijk toezicht en registratie in de Europese database. Na het AI Omnibus-akkoord worden deze verplichtingen bovendien pas gehandhaafd vanaf 2 december 2027 (Bijlage III) of 2 augustus 2028 (Bijlage I).
Wanneer moet ik mijn organisatie aanpassen aan de AI Act?
Dat hangt af van het type AI dat u inzet. Verboden AI-systemen zijn al per 2 februari 2025 niet meer toegestaan. De verplichting tot AI-geletterdheid geldt eveneens al. Transparantieverplichtingen voor chatbots en generatieve AI worden vervolgens gehandhaafd vanaf 2 augustus 2026. De zwaarste compliance-eisen voor hoog-risico AI gaan ten slotte in op 2 december 2027 (Bijlage III) of 2 augustus 2028 (Bijlage I). Gebruik de extra tijd dan ook om het goed te doen, niet om later te beginnen.
Wat verandert er door de AI Omnibus?
Het AI Omnibus-akkoord van mei 2026 verschuift de hoog-risico-deadline voor Bijlage III-systemen van 2 augustus 2026 naar 2 december 2027, en voor Bijlage I-systemen van 2 augustus 2027 naar 2 augustus 2028. Daarnaast zijn nieuwe verboden toegevoegd rondom schadelijke deepfakes, is de debiasing-uitzondering verruimd en is de vereenvoudigde compliance-route uitgebreid naar middelgrote bedrijven. Verboden praktijken, AI-geletterdheid en GPAI-verplichtingen blijven echter ongewijzigd van kracht.
Wat is het verschil tussen de EU AI Act en de AVG?
De AVG beschermt persoonsgegevens: zij verbiedt onrechtmatige verwerking van informatie over identificeerbare personen. De AI Act richt zich daarentegen op de werking en het risico van het AI-systeem zelf, ook als dat geen persoonsgegevens verwerkt. De twee wetten kunnen tegelijkertijd van toepassing zijn. Een AI-systeem dat persoonsgegevens verwerkt én hoog-risico is, moet daarom voldoen aan zowel de AVG als de AI Act. De Autoriteit Persoonsgegevens is in Nederland bevoegd voor handhaving van beide wetten.
Wat zijn de boetes voor overtreding van de EU AI Act?
De boetes kennen drie niveaus. Bij het inzetten van verboden AI-systemen riskeert u tot €35 miljoen of 7% van de wereldwijde jaaromzet. Bij andere overtredingen, zoals onvoldoende technische documentatie, bedraagt de maximale boete €15 miljoen of 3% van de omzet. Onjuiste informatie aan toezichthouders kan bovendien worden bestraft met €7,5 miljoen of 1,5% van de omzet. Voor mkb-bedrijven en middelgrote ondernemingen gelden overigens lagere plafonds; het hoogste bedrag is in alle gevallen van toepassing.
Wie handhaaft de EU AI Act in Nederland?
Nederland kiest voor een sectoraal toezichtmodel met tien bestaande markttoezichthouders. De Autoriteit Persoonsgegevens en de Rijksinspectie Digitale Infrastructuur vervullen daarbinnen een coördinerende rol. Welke toezichthouder bevoegd is, hangt vervolgens af van het domein: de AFM en DNB voor financiële diensten, de IGJ voor medische AI. Op Europees niveau coördineert het European AI Office van de Europese Commissie.
Hoe weet ik of mijn AI-leverancier compliant is?
Vraag uw leverancier om een schriftelijke AI Act-complianceverklaring. Aanbieders van hoog-risico AI-systemen zijn namelijk verplicht technische documentatie bij te houden en een EU-conformiteitsverklaring met CE-markering te verstrekken. Hoog-risico systemen moeten bovendien worden geregistreerd in de Europese database voor AI-systemen. Als een leverancier deze informatie niet kan verstrekken, is dat een serieus risicosignaal, omdat de aansprakelijkheid als gebruiker immers bij u ligt.

Geschreven door Max Paul, LL.B. - Jurist bij XY Legal Solutions

Over Juristenblog.nl

Het team van Juristenblog.nl bestaat uit ervaren juristen. Wekelijks wordt onderzoek gedaan naar interessante onderwerpen waarover geschreven kan worden. Vervolgens schrijft de jurist met de meeste kennis van het onderwerp de betreffende blog. Op deze manier blijft ons concept up-to-date en relevant.

Gerelateerde berichten

Alles over de AI Act

Alles over de AI Act

30 september 2025
Undressing AI: Verboden in Nederland?

Undressing AI: Verboden in Nederland?

11 juni 2025
Gratis Artificial Intelligence Overzicht

Gratis Artificial Intelligence Overzicht

4 juni 2025

Schrijf je in & Blijf op de hoogte

Laat hieronder je e-mailadres achter en ontvang elke maandagochtend een overzicht van de meest recente berichten die op juristenblog.nl zijn verschenen.

We spammen niet. Je kunt je op ieder moment uitschrijven.