Geldt de EU AI Act ook voor kleine bedrijven?

Ja, maar met proportionele verplichtingen. Als gebruiker (deployer) van AI-systemen gelden de verplichtingen voor hoog-risico en verboden systemen voor alle bedrijven, ongeacht omvang. Als aanbieder (provider) van AI-modellen gelden uitgebreidere eisen die voor MKB veelal niet van toepassing zijn.

Wat is de maximale boete onder de EU AI Act?

Tot €35 miljoen of 7% van de wereldwijde jaaromzet voor het inzetten van verboden AI-systemen. Voor hoog-risico overtredingen: tot €15 miljoen of 3% van omzet. Voor onjuiste informatieverstrekking aan toezichthouders: tot €7,5 miljoen of 1% van omzet.

Wanneer gaat de EU AI Act volledig in werking?

De wet trad in werking op 1 augustus 2024. Verboden systemen moesten per 2 februari 2025 gestopt zijn. Verplichtingen voor hoog-risico AI gaan in per augustus 2026. GPAI-verplichtingen (General Purpose AI) gelden vanaf augustus 2025.

Wat zijn 'verboden AI-systemen' onder de AI Act?

Systemen die sociale scores toekennen op basis van gedrag, systemen voor niet-toegestane biometrische identificatie in openbare ruimten, systemen die subliminale technieken gebruiken om gedrag te manipuleren, en systemen die kwetsbare groepen exploiteren. Geen van deze mogen in gebruik zijn.

EU AI Act Compliance Checklist 2026: Wat Moet uw Bedrijf Nu Regelen?

De EU AI Act is de eerste bindende AI-regulering ter wereld en geldt voor elk bedrijf dat AI gebruikt, aanbiedt of in de EU op de markt brengt. Met deadlines die lopen van februari 2025 tot augustus 2027, is actie nu noodzakelijk — ook voor bedrijven die AI "slechts" inkopen als SaaS-product.

Dit dossier geeft u een geprioriteerde actiechecklist, gesorteerd per deadline en risicocategorie.

Hoe de EU AI Act Werkt: Risico-Gebaseerde Aanpak

De AI Act werkt met vier risicocategorieën:

Categorie	Definitie	Verplichtingen
Verboden	Onaanvaardbaar risico	Directe stopzetting
Hoog-risico	Significante impact op fundamentele rechten	Uitgebreide documentatie, menselijk toezicht, conformiteitsverklaring
Beperkt risico	Transparantierisico (bijv. chatbots)	Transparantieverplichtingen
Minimaal risico	Laag of geen risico	Geen verplichte maatregelen

De meeste AI-tools die Nederlandse bedrijven gebruiken, vallen in de categorie "minimaal" of "beperkt risico". Maar ook deze categorieën kennen verplichtingen — met name rond transparantie naar eindgebruikers.

Deadline 1: 2 februari 2025 — Verboden Systemen Moeten Gestopt Zijn

Dit is de meest urgente deadline, al verstreken. Controleer of uw organisatie systemen gebruikt die onder de verboden categorie vallen. Als dat zo is, was stopzetting verplicht per 2 februari 2025.

Controleer of u dit gebruikt:

Systemen die sociale scores toekennen aan burgers of medewerkers op basis van hun gedrag in ongerelateerde contexten
Realtime biometrische identificatiesystemen in openbare ruimten (gezichtsherkenning in de winkel, op straat)
Systemen die onbewuste beïnvloeding toepassen via subliminal messaging
AI-systemen voor arbeidswerving die kandidaten scoren op basis van emotie-herkenning
AI die kwetsbare groepen (kinderen, mensen met handicap) manipuleert

Als u één van deze gebruikt: stop onmiddellijk en raadpleeg juridisch advies.

Deadline 2: Augustus 2025 — GPAI-Verplichtingen

General Purpose AI Models (GPAI) — zoals GPT-4, Claude, Gemini en open-source varianten — vallen onder eigen verplichtingen. Als uw organisatie GPAI-modellen aanbiedt (niet alleen gebruikt), gelden verplichtingen rond:

Technische documentatie van het model
Copyright-naleving voor trainingsdata
Samenvattingen van trainingsdata beschikbaar stellen

Als gebruiker van GPAI-diensten (via API of SaaS): u heeft geen directe verplichtingen, maar uw leverancier moet compliant zijn. Controleer of uw AI-leveranciers GPAI-verplichtingen nakomen — dit is een contractueel risico.

Actie voor augustus 2025:

Inventariseer welke GPAI-modellen uw organisatie gebruikt (direct of via tools)
Controleer of leveranciers voldoen aan GPAI-documentatieverplichtingen
Zorg dat contracten met AI-leveranciers compliance-clausules bevatten

Deadline 3: Augustus 2026 — Hoog-Risico AI Verplichtingen

Dit is de meest impactvolle deadline voor zakelijke gebruikers. Als uw organisatie hoog-risico AI-systemen gebruikt (als deployer), gelden de volgende verplichtingen.

Wat valt onder hoog-risico?

Hoog-risico AI-systemen zijn systemen die worden ingezet in sectoren of voor toepassingen met significante impact op mensen. Bijlage III van de AI Act noemt expliciet:

HR-toepassingen: Werving, selectie, promotie, functioneringsbeoordeling, ontslag
Kredietscoring: Beoordeling van kredietwaardigheid van particulieren
Onderwijs: Systemen die leertrajecten bepalen of toetsresultaten beoordelen
Gezondheidszorg: Medische diagnose-ondersteuning, risicoklassificering van patiënten
Essentiële diensten: Toegang tot water, gas, elektriciteit, internet
Rechtshandhaving: Risicobeoordelingssystemen voor verdachten of veroordeelden
Migratie en grenscontrole: Risicobeoordelingen voor visa of asielaanvragen

Checklist voor Hoog-Risico Gebruikers (Deployers)

Menselijk toezicht (Artikel 14):

Definieer wie verantwoordelijk is voor menselijk toezicht op het AI-systeem
Documenteer de supervisieprotocollen — wanneer grijpt de mens in?
Train de supervisors op het herkennen van AI-fouten en systeemdrift

Risicobeheer (Artikel 9):

Voer een formele risicoanalyse uit voor elk hoog-risico AI-systeem
Documenteer residuele risico's en mitigerende maatregelen
Stel een monitoringplan op voor de operationele fase

Transparantie (Artikel 13):

Informeer betrokken personen (klanten, medewerkers, sollicitanten) dat AI wordt ingezet
Leg in begrijpelijke taal uit hoe de AI-beslissing tot stand komt
Geef betrokkenen een expliciet recht op uitleg en menselijke herbeoordeling

Registratie (Artikel 49):

Registreer hoog-risico AI-systemen in de EU-database voor AI-systemen (zodra beschikbaar)
Bewaar technische documentatie minimaal 10 jaar na marktonttrekking

Incident reporting:

Stel procedure in voor melden van serieuze incidenten aan de nationale toezichthouder (in Nederland: de Autoriteit Persoonsgegevens of RDI)
Definieer wat een "serieus incident" is conform AI Act definitie

Deadline 4: Augustus 2027 — Volledig Toezichtsregime

Vanaf augustus 2027 is het volledige handhavingsapparaat operationeel. Nationale markttoezichthouders voeren actief controles uit. Dit is het moment waarop boetes daadwerkelijk worden opgelegd.

Voorbereidingsacties:

Zorg voor een intern AI-register: alle AI-systemen in gebruik, met risicoklassificatie en compliancestatus
Wijs een AI-verantwoordelijke aan (niet per se een DPO, maar een vaste contactpersoon voor toezicht)
Voer jaarlijkse interne audits in op AI-systemen

Beperkt Risico: Transparantie bij Chatbots en Deepfakes

Ook AI-systemen in de lage risicocategorie kennen verplichtingen. Specifiek:

Chatbots (Artikel 50):

Gebruikers moeten weten dat ze met een AI communiceren — tenzij dit evident is
"Verboden te doen alsof het een mens is" wanneer de gebruiker ernaar vraagt

Deepfakes en synthetische content (Artikel 50):

Synthetisch gegenereerde afbeeldingen, video of audio moeten als zodanig worden gelabeld
Dit geldt voor commerciële, journalistieke én interne communicatiedoeleinden

AI-gegenereerde tekst (Artikel 50):

Voor teksten over publieke aangelegenheden (bijv. politiek, nieuws) moet disclosure plaatsvinden
Voor interne documenten of marketing: momenteel geen expliciete plicht, maar aanbevolen

Praktische Stappen voor Nu

Ongeacht uw sector of organisatieomvang, zijn dit de vier acties die u nu kunt nemen:

Maak een AI-inventarisatie: Welke AI-tools gebruikt uw organisatie? Wie besliste dit en op welk contractueel moment?
Classificeer per systeem: Valt elk systeem onder verboden, hoog-risico, beperkt risico of minimaal risico?
Prioriteer hoog-risico: Als er hoog-risico systemen zijn, start dan nu met het opzetten van documentatie en menselijk toezicht — augustus 2026 is dichterbij dan het lijkt.
Contractcheck: Review alle AI-leverancierscontracten op compliance-clausules. Wie is aansprakelijk als de leverancier niet compliant blijkt?

Conclusie: Compliance als Strategisch Voordeel

Bedrijven die de EU AI Act behandelen als een administratieve last, missen de strategische kans. Early movers die aantoonbaar compliant opereren, positioneren zich als voorkeursleverancier voor enterprise-klanten en overheidsopdrachten die AI-compliance eisen van hun toeleveranciers.

De investeringen in governance, documentatie en toezicht zijn ook intern waardevol: ze dwingen organisaties hun AI-gebruik te inventariseren en te prioriteren — een discipline die op zichzelf al rendement oplevert.