Deutsch
English
Español
Français
Nederlands
Português
EU AI-wet handhaving nadert: wat bedrijven moeten doen voor 2 augustus 2026
De Europese Unie's Artificial Intelligence Act (EU AI-wet), de eerste uitgebreide AI-regulering ter wereld, bereikt zijn meest kritische handhavingsmijlpaal op 2 augustus 2026. Met nog minder dan drie maanden te gaan, worden bedrijven in de EU en daarbuiten geconfronteerd met bindende verplichtingen op het gebied van transparantie, naleving van hoog-risico AI-systemen en mogelijke boetes tot €35 miljoen of 7% van de wereldwijde jaaromzet. Ondanks voorstellen om bepaalde bepalingen uit te stellen, blijft de deadline van 2 augustus juridisch van kracht nadat de Digital Omnibus-onderhandelingen in april 2026 vastliepen.
Wat is de EU AI-wet?
De EU AI-wet (Verordening (EU) 2024/1689), aangenomen in mei 2024 en in werking getreden op 1 augustus 2024, stelt een risicogebaseerd regelgevingskader vast voor kunstmatige intelligentie. Het classificeert AI-toepassingen in vier categorieën: onaanvaardbaar risico (verboden praktijken zoals sociale scores en real-time biometrische surveillance), hoog risico (systemen die gezondheid, veiligheid of fundamentele rechten beïnvloeden), beperkt risico (transparantieverplichtingen) en minimaal risico (grotendeels ongereguleerd). De wet is extraterritoriaal van toepassing op elke organisatie die AI inzet die individuen binnen de EU beïnvloedt.
Belangrijke deadlines en huidige status
De gefaseerde implementatie begon met verboden AI-praktijken op 2 februari 2025. Algemene AI-regels traden in werking op 2 augustus 2025. De cruciale datum van 2 augustus 2026 activeert verplichtingen voor hoog-risico AI-systemen onder Bijlage III, transparantieregels onder Artikel 50 en nationale handhavingsmechanismen. Een laatste fase voor AI in gereguleerde producten volgt in augustus 2027.
De handhavingsbereidheid varieert echter aanzienlijk. Volgens een rapport van maart 2026 hebben slechts 8 van de 27 EU-lidstaten nationale handhavingscontactpunten aangewezen, ondanks een wettelijke deadline van augustus 2025. Geharmoniseerde technische normen van CEN/CENELEC misten ook hun deadline van 2025 en worden nu eind 2026 verwacht. Ondertussen opende de Europese Commissie op 8 mei 2026 een raadpleging over ontwerprichtlijnen voor transparantie, die loopt tot 3 juni 2026. Op 7 mei 2026 kondigden de Raad en het Parlement een politiek akkoord aan om AI-regels te vereenvoudigen, maar details worden nog beoordeeld. Het Digital Omnibus pakket dat een uitstel van hoog-risico verplichtingen tot december 2027 voorstelt, is nog niet aangenomen, dus de deadline van 2 augustus blijft van kracht.
Wie moet naleven en wat zijn de verplichtingen?
De AI-wet onderscheidt aanbieders (ontwikkelaars) en gebruikers (organisaties die AI in professionele context gebruiken). Gebruikers, waaronder de meeste bedrijven die AI-tools zoals chatbots, wervingssoftware of kredietscoresystemen gebruiken, moeten: een AI-systeeminventarisatie uitvoeren en elk systeem indelen op risiconiveau; voor hoog-risico systemen: risicobeheer, databeheer, technische documentatie, transparantie, menselijk toezicht en nauwkeurigheids- en beveiligingsmaatregelen implementeren; conformiteitsbeoordelingen voltooien en CE-markering verkrijgen; hoog-risico AI-systemen registreren in de EU AI-database; een effectbeoordeling fundamentele rechten (FRIA) uitvoeren; transparantie waarborgen: AI-gegenereerde inhoud labelen, AI-chatbotinteracties bekendmaken en deepfakes markeren; systeemprestaties monitoren en ernstige incidenten melden.
Hoog-risico AI-systemen omvatten die gebruikt in werving, personeelsmonitoring, kredietscores, onderwijs, kritieke infrastructuur, wetshandhaving, grensbeheer en rechtspraak. Zelfs bedrijven die standaard AI-tools zoals ChatGPT of Copilot gebruiken voor beslissingen die individuen beïnvloeden, kunnen als gebruikers worden beschouwd. MKB-bedrijven krijgen lagere nalevingskosten en toegang tot regelgevingssandboxen, maar zijn niet vrijgesteld. Meer dan 60% van de Europese MKB-bedrijven is nog niet begonnen met nalevingsvoorbereidingen.
Boetes voor niet-naleving
De EU AI-wet stelt een getrapt boetesysteem in onder Artikel 99, waarbij boetes worden berekend als het hoogste van een vast bedrag of een percentage van de wereldwijde jaaromzet:
| Overtredingstype | Maximale boete |
|---|---|
| Verboden AI-praktijken (Artikel 5) | €35 miljoen of 7% van wereldwijde omzet |
| Niet-naleving hoog-risico AI-systemen | €15 miljoen of 3% van wereldwijde omzet |
| Onjuiste informatie verstrekken | €7,5 miljoen of 1,5% van wereldwijde omzet |
Voor MKB en startups geldt doorgaans het lagere bedrag, waardoor boetes proportioneel maar nog steeds significant zijn. Nationale autoriteiten handhaven de regels; de Commissie houdt toezicht op algemene AI-modellen.
Transparantieregels: chatbots, deepfakes en AI-gegenereerde inhoud
Artikel 50 legt transparantieverplichtingen op aan alle AI-systemen die interageren met mensen of inhoud genereren. Vanaf 2 augustus 2026 moeten gebruikers: gebruikers informeren wanneer ze interageren met een AI-systeem; AI-gegenereerde inhoud, inclusief deepfakes, labelen met machineleesbare markeringen; AI-gegenereerde publicaties van algemeen belang openbaar maken. De ontwerprichtlijnen van de Commissie, gepubliceerd op 8 mei 2026, bieden gedetailleerde nalevingspaden. Een parallelle gedragscode voor transparantie van AI-gegenereerde inhoud wordt ook ontwikkeld. Organisaties moeten zich voorbereiden door AI-inhoud labelingsprotocollen te implementeren en chatbotdisclosures duidelijk te maken.
Praktische stappen voor bedrijven
- Maak een AI-systeeminventaris: Documenteer elk AI-hulpmiddel, inclusief doel, aanbieder en verwerkte gegevens.
- Classificeer elk systeem op risiconiveau: Bepaal of systemen vallen onder verboden, hoog-risico, beperkt of minimaal risico.
- Voltooi conformiteitsbeoordelingen: Zorg voor technische documentatie en risicobeheerprocessen voor hoog-risico systemen.
- Voer effectbeoordelingen fundamentele rechten uit: Beoordeel potentiële impact op fundamentele rechten vóór inzet van hoog-risico AI.
- Implementeer transparantiemaatregelen: Label AI-gegenereerde inhoud, maak chatbotinteracties bekend en bereid je voor op watermerkvereisten.
- Registreer systemen in de EU AI-database: Hoog-risico systemen moeten vóór inzet worden geregistreerd.
'De EU AI-wet is geen papieren tijger. In tegenstelling tot de vroege dagen van de GDPR hebben handhavingsautoriteiten serieuze intenties getoond,' aldus Martijn Jonkman, een strategist op het gebied van digitale autoriteit. 'De meeste bedrijven hebben geen drastische veranderingen nodig - ze hebben bewustzijn nodig van wat ze gebruiken en hoe.'
Impact op wereldwijde bedrijven
De extraterritoriale reikwijdte van de AI-wet betekent dat niet-EU-bedrijven die AI-systemen inzetten die EU-ingezetenen beïnvloeden, ook moeten voldoen. Advocatenkantoor Holland & Knight adviseert dat Amerikaanse bedrijven die te maken hebben met EU AI-wet naleving nu moeten beginnen met het auditen van hun AI-systemen. Verwacht wordt dat de invloed van de regelgeving verder reikt dan Europa, vergelijkbaar met hoe GDPR een wereldwijde benchmark werd voor gegevensprivacy.
Veelgestelde vragen
Geldt de EU AI-wet voor kleine bedrijven?
Ja. De AI-wet is van toepassing op elke organisatie die AI inzet in een professionele context binnen de EU, ongeacht de grootte. MKB profiteert van lagere nalevingskosten en sandboxtoegang, maar moet nog steeds voldoen aan kernverplichtingen voor hoog-risico en beperkt-risico systemen.
Wat gebeurt er als ik de deadline van 2 augustus 2026 mis?
Niet-naleving kan leiden tot boetes tot €15 miljoen of 3% van de wereldwijde jaaromzet voor hoog-risico overtredingen, en tot €35 miljoen of 7% voor verboden praktijken. Nationale autoriteiten kunnen corrigerende maatregelen opleggen, waaronder systeemopschorting.
Moet ik mijn AI-systeem registreren?
Alleen hoog-risico AI-systemen moeten worden geregistreerd in de EU AI-database vóór inzet. Systemen met beperkt of minimaal risico zijn niet onderworpen aan registratie, maar moeten nog steeds voldoen aan transparantieregels.
Wat is een effectbeoordeling fundamentele rechten (FRIA)?
Een FRIA is een ex ante beoordeling vereist onder Artikel 27 voor hoog-risico systemen. Het identificeert en beperkt potentiële impact op fundamentele rechten vóór inzet. Het is breder dan een GDPR-gegevensbeschermingseffectbeoordeling (DPIA) en omvat risico's voor non-discriminatie, privacy en andere rechten.
Zijn er uitstel van de deadline van 2 augustus?
Vanaf mei 2026 blijft de deadline juridisch van kracht. Het Digital Omnibus-pakket dat uitstel tot december 2027 voorstelt, is niet aangenomen en de triloogonderhandelingen liepen vast op 28 april 2026. Geharmoniseerde normen zijn echter nog hangende, wat praktische nalevingsuitdagingen kan opleveren.
Bronnen
EU AI Act Article 99 - Penalties
European Commission - AI Regulatory Framework
Council of the EU - AI Rules Simplification Agreement (May 7, 2026)
Compound Law - August 2026 Deadline Compliance Guide
World Reporter - EU AI Act Readiness Gap
Follow Discussion