In augustus 2026 wordt de Europese AI Act van kracht. Voor veel bedrijven voelt dit als een verafgelegen deadline, maar de werkelijkheid is anders: je hebt niet veel tijd meer. En als je eerlijk bent, weet je waarschijnlijk niet eens of jouw bedrijf onder deze wet valt of wat je moet doen om compliant te worden. Dit artikel geeft je duidelijkheid.
Wat is de AI Act?
De AI Verordening is een regelwerk van de Europese Unie dat bepaalt hoe je met kunstmatige intelligentie mag omgaan. Het doel is helder: voorkomen dat AI systemen meer schade dan nut opleveren. Je bedrijf hoeft zich er dus niet automatisch schuldig onder te voelen. Het gaat niet om het verbieden van AI, maar om het voorkomen van risico's bij toepassingen waar het echt uitmaakt.
De kern van de wet is een risicogebaseerde benadering. Sommige AI toepassingen zijn verboden (bijvoorbeeld herkenning van mensen in openbare ruimten voor masssurveillance). Andere vallen onder hoog risico en vragen om strenge controle. Veel AI toepassingen vallen onder minimaal risico en hoeven alleen te worden geregistreerd. Het hangt er van af wat je AI doet en hoe kritiek dat is voor mensen.
De risicocategorieën: waar valt jouw AI gebruik?
De AI Act deelt AI toepassingen in vier categorieën in. Dit bepaalt wat jij moet doen.
Verboden AI
Dit zijn de toepassingen die je gewoon niet mag doen. Voorbeelden: gezichtsherkenning in openbare ruimten voor masssurveillance, sociale scores (je AI geeft iedereen een 'betrouwbaarheidsscore'), of AI die mensen doelbewust manipuleert. Goed nieuws: als je dit niet doet, heb je niets meer te doen. En eerlijk gezegd: de meeste bedrijven doen dit niet.
Hoog risico AI
Dit zijn toepassingen die beslissingen nemen die grote gevolgen hebben voor mensen. Bijvoorbeeld: AI die bepaalt of iemand een hypotheek krijgt, welke werknemer wordt ontslagen, of wie zich kan aanmelden voor een cursus. Ook AI in zelfrijdende auto's, drones of medische apparaten vallen hier onder. Voor hoog risico AI moet je:
- Een risicoanalyse uitvoeren
- Uitgebreide documentatie bijhouden
- Een conformiteit assessment doen
- Een CE merk aanbrengen (net als op elektrische apparaten)
- Menselijk toezicht inbouwen zodat iemand kan ingrijpen
Dit is flinke administratie, maar geen onmogelijke opgave. Als je nu begint, ben je op tijd.
Beperkt risico AI
Dit zijn AI systemen die met mensen interacteren maar niet meteen grote schade aanrichten. Denk aan chatbots, automatische klantenservice, of AI die je helpt met documentverwerking. Voor deze categorie moet je transparantie tonen: gebruikers moeten weten dat ze met een AI spreken. Verder zijn de eisen veel kleiner.
Minimaal risico AI
De meeste AI toepassingen vallen hier. Spam filters, aanbevelingen in webwinkels, of AI die je helpt data in een spreadsheet in te vullen. Voor deze categorie gelden eigenlijk geen verplichtingen. Je mag ze gewoon gebruiken. Als je toch een AI Scan doet en deze toepassingen hebt geïnventariseerd, weet je zeker dat je niets vergeten bent.
De AI Act is niet bedoeld om AI te verbieden, maar om het risico ervan beheerbaar te maken. Voor de meeste bedrijven betekent dit vooral duidelijkheid creëren.
Verplichtingen voor bedrijven per augustus 2026
Wat moet jij dus concreet doen? Dat hangt af van welke AI je gebruikt:
Inventarisatie en classificatie
Je eerste taak is helder maken welke AI je bedrijf gebruikt en in welke risicocategorie deze valt. Dit klinkt simpel, maar veel bedrijven hebben hier moeite mee. Ze hebben AI tools in gebruik zonder goed te weten dat ze AI zijn. Een AI Scan helpt hier: je inventariseert alle AI toepassingen, classificeert ze en weet precies waar je staat.
Conformity assessment voor hoog risico AI
Als je hoog risico AI gebruikt (bijvoorbeeld AI in je recruitmentproces), moet je aantonen dat deze AI voldoet aan de eisen van de wet. Dit betekent testen, documenteren en laten zien dat je risico's beheerst hebt.
CE markering
Voor bepaalde hoog risico AI moet je een CE merk aanbrengen, net als fabrikanten van elektrische apparaten doen. Dit zegt dat jouw AI voldoet aan de wet. Dit is niet iets wat je zelf mag verzinnen; dit moet vastgesteld worden door een onafhankelijk erkend orgaan of door jezelf als je dat mag.
Registratie
Sommige hoog risico AI systemen moeten in een Europese register ingeschreven worden. Dit klinkt ingewikkelder dan het is. Het gaat vooral om het documenten van welke systemen je hebt en wat ze doen.
Documentatie en menselijk toezicht
Voor hoog risico AI moet je kunnen aantonen dat je weet hoe je systeem werkt en dat iemand erover waakt. Dit is eigenlijk gezond verstand: je wilt niet dat een AI kritieke beslissingen neemt zonder dat een mens kan ingrijpen.
Wat moet je nu al doen?
Je hebt tot augustus 2026. Hier is een praktisch stappenplan:
Stap 1: Ken je AI
Begin nu met een inventaris van alle AI toepassingen in je organisatie. Welke tools gebruik je? Welke processen zijn geautomatiseerd? Welke beslissingen neemt AI? Dit is geen complexe taak, maar het vereist wel dat je goed kijkt. Veel bedrijven ontdekken dat ze meer AI gebruiken dan ze dachten. Gebruik je bijvoorbeeld AI agents in je organisatie? Dan is het belangrijk om te weten in welke risicocategorie deze vallen.
Stap 2: Classificeer naar risico
Voor elke AI toepassing bepaal je: is dit verboden, hoog risico, beperkt risico of minimaal risico? Een AI Scan helpt hier: je krijgt duidelijkheid en een overzicht van welke AI systemen aandacht nodig hebben.
Stap 3: Start met documentatie
Voor alle hoog risico AI begin je nu al met documentatie. Wat doet het systeem? Welke data gebruikt het? Hoe nauwkeurig is het? Dit is niet iets wat je in één dag doet, maar je bent veel verder als je nu begint dan als je tot augustus wacht.
Stap 4: Zorg voor menselijk toezicht
Als je AI kritieke beslissingen neemt (in recruitment, financiën, zorgen), zorg dat altijd een mens de knoop doorhakt. Dit is niet alleen een verplichting, het is ook gewoon slim.
Stap 5: Zorg voor transparantie
Als je AI met klanten of medewerkers interacteert (chatbots, AI tools voor diensten), zorg dat ze weten dat ze met AI te maken hebben. Dit hoeft niet groot of ingewikkeld, maar het moet duidelijk zijn.
Conclusie: act now
De AI Act komt eraan en er is geen ontsnapping aan. Goed nieuws: het is behapbaar. De meeste bedrijven hoeven niet veel te doen. Wat je wel moet doen, is weten welke AI je hebt, wat die doet en wat de risico's zijn. Dit is nu het moment om dit op orde te stellen, niet in juli 2026 als de deadline nadert.
De organisaties die nu handelen, vermijden haastwerk en boetes tot 35 miljoen euro (of 7 procent van je jaarlijkse omzet, wat hoger is). Bovendien krijg je ook meer controle en vertrouwen in je eigen AI systemen. Dit is niet iets wat je moet doen, het is iets wat je wilt doen.
Veelgestelde vragen
De AI Act wordt in augustus 2026 volledig van kracht. Sommige bepalingen, zoals het verbod op bepaalde AI-toepassingen, gelden al eerder. Het is verstandig om nu te beginnen met voorbereiden, zodat je niet in tijdnood komt.
Waarschijnlijk wel. De AI Act geldt voor elk bedrijf dat AI-systemen ontwikkelt, inzet of distribueert binnen de EU. Dat omvat ook tools van derden, zoals chatbots of AI-gedreven software. Een AI Scan helpt je om te inventariseren welke AI je gebruikt en onder welke risicocategorie deze valt.
De boetes kunnen oplopen tot 35 miljoen euro of 7 procent van je wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Het gaat dan om de zwaarste overtredingen, zoals het inzetten van verboden AI-toepassingen.
Begin met het inventariseren van alle AI-toepassingen in je organisatie en classificeer ze naar risicocategorie. Zorg vervolgens voor documentatie, menselijk toezicht en transparantie waar nodig. Een AI Scan geeft je in kort tijdsbestek een compleet overzicht van je huidige AI-gebruik en de stappen die je moet nemen.
Hoog risico AI betreft toepassingen die grote gevolgen hebben voor mensen, zoals AI in recruitment, kredietbeoordeling of medische apparaten. Hiervoor gelden strenge eisen rond documentatie, conformiteit en menselijk toezicht. Beperkt risico AI, zoals chatbots, vereist vooral transparantie: gebruikers moeten weten dat ze met AI communiceren.