De EU AI Act is ‘s werelds eerste wettelijke kader voor AI, met een op risico gebaseerde regulering structuur die gevolgen heeft voor elke organisatie die AI-systemen aanbiedt of inzet op de EU-markt. Vanaf april 2026 lopen verschillende overgangsperioden ten einde. Hoewel het verbod op systemen met een “onaanvaardbaar risico” begin 2025 de toon zette, wordt het regelgevings landschap voor ondernemingen gedefinieerd door een gefaseerde tijdlijn waarbij transparantieverplichtingen voor nieuwe General-purpose AI (GPAI) modellen feitelijk al in augustus 2025 van start gingen. Bij gevolg dient de veelgenoemde deadline van 2 augustus 2026 als de definitieve handhavingsdatum voor “standalone” hoog-risico toepassingen en algemene transparantieregels, zoals die voor deepfakes en emotieherkenning.
Voor zakelijke leiders is compliance niet alleen een juridische hindernis, maar een structurele vereiste voor operationele continuïteit. Non-compliance brengt ernstige financiële gevolgen met zich mee. De maximale boete voor overtredingen met verboden praktijken bedraagt €35 miljoen of 7% van de totale wereldwijde jaaromzet. Overtredingen van de vereisten voor hoog-risico systemen kunnen leiden tot boetes tot €15 miljoen of 3% van de wereldwijde omzet.
Dit artikel biedt een technische en objectieve checklist voor het bereiken van compliance voor de deadline van augustus 2026.
Wat houdt de EU AI Act deadline van augustus 2026 in?
De deadline van 2 augustus 2026 is de primaire datum van toepassing voor de EU AI Act, specifiek gericht op AI-systemen die onder Bijlage III als “hoog-risico” zijn geclassificeerd. Dit omvat systemen die worden gebruikt in gevoelige sectoren zoals kritieke infrastructuur, onderwijs, werkgelegenheid en rechtshandhaving. Begin 2026 is er aanzienlijke wetgevende discussie geweest (de “Digital Omnibus”) over een mogelijke verlenging van 16 maanden voor Bijlage III hoog-risico systemen (wat de datum naar december 2027 zou verschuiven).
Tegen deze datum moeten aanbieders conformiteitsbeoordelingen hebben voltooid, kaders voor risicobeheer hebben opgezet en hun systemen hebben geregistreerd in de EU-database voor hoog-risico AI-systemen.
Daarnaast worden transparantieverplichtingen voor AI-systemen die interactie hebben met mensen (zoals chatbots) of synthetische content genereren (zoals deepfakes) volledig van kracht. Organisaties moeten ervoor zorgen dat gebruikers zich ervan bewust zijn dat ze met een AI communiceren en dat door AI gegenereerde content is gelabeld in een machine leesbaar formaat.
Fase 1: Classificatie en inventarisatie
Ondernemingen moeten eerst vaststellen waar zij zich bevinden in de AI-waardeketen: als een aanbieder (ontwikkelen van AI), een inzetter (gebruiken van AI), een importeur of een distributeur.
1. Identificeer risiconiveaus van AI-systemen
De Act categoriseert AI in vier risiconiveaus, die elk een ander niveau van documentatie en toezicht vereisen.
- Onaanvaardbaar risico: Verboden sinds februari 2025 (bijv. social scoring, manipulatief gedrag).
- Hoog-risico (Bijlage III): Systemen gebruikt bij werving, credit scoring of essentiële publieke diensten. Volledige compliance vereist tegen augustus 2026.
- Beperkt risico: Systemen die voornamelijk onderworpen zijn aan transparantieregels (bijv. ChatGPT, Microsoft Copilot).
- Minimaal risico: Geen specifieke verplichtingen (bijv. AI-gestuurde spamfilters).
2. Breng hoog-risico use cases in kaart
Als je organisatie AI gebruikt voor prestatiebewaking van werknemers, geautomatiseerde werving of de berekening van verzekeringspremies, vallen deze waarschijnlijk onder Bijlage III. Je moet deze systemen documenteren en verifiëren of ze in aanmerking komen voor de uitzondering van Artikel 6(3), die geldt als het systeem een beperkte procedurele taak uitvoert die de menselijke besluitvorming niet wezenlijk beïnvloedt.
Fase 2: Technische en organisatorische vereisten
Voor systemen die als hoogrisico zijn aangemerkt, moeten ondernemingen vóór de deadline van augustus 2026 strikte technische controles implementeren.
3. Stel een systeem voor risicobeheer op
Volgens Artikel 9 moeten aanbieders gedurende de gehele levenscyclus van het AI-systeem een continu risicobeheersysteem onderhouden. Dit omvat:
- Het identificeren van bekende en voorzienbare risico’s voor gezondheid, veiligheid en grondrechten.
- Het implementeren van mitigerende maatregelen en het testen op restrisico’s.
- Het organiseren van AI Risk Management & Compliance sessies om risicobeheer af te stemmen op de bredere corporate governance.
4. Data governance en kwaliteit van datasets
Hoog-risico AI-modellen moeten worden getraind op data die relevant en representatief is, en voor zover mogelijk vrij is van fouten. Documentatie moet details bevatten over de herkomst van trainingsdata, processen voor gegevensverzameling en strategieën voor bias-mitigatie.
5. Technische documentatie en verslaglegging
Ondernemingen moeten een technisch dossier opstellen voordat ze een systeem op de markt brengen. Dit omvat de architectuur van het systeem, het algoritmisch ontwerp en de validatieprocessen. Onder Artikel 12 moeten systemen ook automatisch logs genereren om de traceerbaarheid van prestaties en eventuele incidenten te waarborgen.
Fase 3: Transparantie en menselijk toezicht
De Act vereist dat AI in omgevingen met een hoog risico niet functioneert als een “black box”.
6. Ontwerp voor menselijk toezicht
AI-systemen moeten zo worden ontworpen dat ze effectief kunnen worden gecontroleerd door natuurlijke personen. Dit betekent dat er een “uit-knop” of een interventiemechanisme moet zijn. Organisaties zouden een AI Literacy workshop voor personeel kunnen overwegen om ervoor te zorgen dat zij begrijpen hoe ze AI-outputs moeten interpreteren en wanneer ze moeten ingrijpen.
7. Transparantie voor gebruikers en inzetters
Voor AI-systemen met een beperkt risico, zoals general-purpose chatbots, is de primaire vereiste openbaarmaking. Gebruikers moeten worden geïnformeerd dat zij interactie hebben met een AI. Tekst, afbeeldingen of video gegenereerd door AI moeten worden voorzien van een watermerk of worden gelabeld in een machine leesbaar formaat.
Fase 4: Conformiteitsbeoordeling en registratie
8. Voltooi de conformiteitsbeoordeling
De meeste Bijlage III hoog-risico systemen staan een route voor interne controle toe (zelfbeoordeling). Echter, als het systeem biometrie bevat of onder producten valt die al gereguleerd zijn door wetgeving van het Nieuw Wettelijk Kader (zoals medische hulpmiddelen), kan een beoordeling door een aangemelde instantie (een externe auditor) vereist zijn.
9. Registreer in de EU-database
Voordat een hoog-risico systeem op de markt wordt gebracht, moeten aanbieders het registreren in de centrale EU-database, wat transparantie biedt aan markttoezichthouders en het grote publiek.
10. Monitoring na het op de markt brengen
Compliance eindigt niet bij de inzet. Aanbieders moeten een systeem voor post-market monitoring opzetten om prestatiegegevens te verzamelen en te analyseren. Ernstige incidenten of defecten moeten binnen 15 dagen na ontdekking worden gemeld aan de nationale autoriteiten.
Vergelijking van AI Act verplichtingen per rol
| Vereiste | Aanbieder (Ontwikkelaar) | Inzetter (Gebruiker) | Importeur/Distributeur |
|---|---|---|---|
| Risicobeheer | Verplicht (Art. 9) | Niet verplicht | Verifieer compliance Aanbieder |
| Technische Documentatie | Verplicht (Art. 11) | Beheer instructies | Verifieer compliance Aanbieder |
| Menselijk Toezicht | Design-in (Art. 14) | Implementatie (Art. 14) | n.v.t. |
| EU-database Registratie | Verplicht (Art. 49) | Alleen overheidsinstanties | n.v.t. |
| Post-market Monitoring | Verplicht (Art. 72) | Monitor gebruik | Meld incidenten |
| AI Literacy Training | Verplicht | Verplicht | Aanbevolen |
Implementatiestrategie voor ondernemingen
Om de deadline van augustus 2026 te halen, hadden organisaties al moeten beginnen met de voorbereiding. Een realistische gefaseerde aanpak ziet er als volgt uit:
- Nu tot Q2 2026 (Audit): Voltooi een volledige inventarisatie van alle AI-systemen die momenteel in gebruik of in ontwikkeling zijn. Geef prioriteit aan systemen die betrekking hebben op werving, krediet of publieke diensten.
- Q2 2026 (Gap Analysis): Vergelijk de huidige praktijken op het gebied van data governance en documentatie met de vereisten van Artikel 10 en 11.
- Tegen juli 2026 (Governance): Stel een AI-ethiek- en compliance commissie in om het conformiteitsbeoordeling proces te overzien. Dit moet vóór de deadline van augustus operationeel zijn, niet erna.
- Continu (Training): Rollout van AI-geletterdheid programma’s. Artikel 4 vereist dat zowel aanbieders als inzetters ervoor zorgen dat personeel over een voldoende niveau van AI-geletterdheid beschikt.
Conclusie
De deadline van de EU AI Act in augustus 2026 markeert een fundamentele verschuiving in de manier waarop bedrijven algoritmische risico’s moeten beheren. Door over te stappen van ad-hoc AI-gebruik naar een gestructureerd, gedocumenteerd en transparant governancemodel, kunnen ondernemingen het risico op aanzienlijke boetes en reputatieschade verkleinen. Hoewel de technische vereisten voor hoog-risico systemen uitgebreid zijn, bieden ze een gestandaardiseerd kader voor het bouwen van AI die veilig, traceerbaar en onderworpen aan menselijk toezicht is. Organisaties die deze compliance-mijlpalen nu aanpakken, zijn beter gepositioneerd om geavanceerde AI-technologieën te adopteren terwijl ze binnen de wettelijke kaders van de Europese markt blijven.
Veelgestelde vragen
Wat gebeurt er als ik de deadline van 2 augustus 2026 mis?
Het missen van de deadline voor hoog-risico AI-systemen of transparantieverplichtingen kan leiden tot administratieve boetes. Overtredingen van de vereisten voor hoog-risico systemen dragen een maximale sanctie van €15 miljoen of 3% van de wereldwijde omzet. Markttoezichthouders hebben daarnaast de bevoegdheid om de terugtrekking van een niet-conform systeem van de EU-markt te bevelen.
Is de EU AI Act van toepassing op bedrijven buiten Europa?
Ja. De Act heeft een extraterritoriale werking. Het is van toepassing op elke aanbieder die AI-systemen op de markt brengt of in gebruik neemt in de EU, ongeacht waar de aanbieder is gevestigd. Het is ook van toepassing op inzetters die gevestigd zijn in de EU, en op aanbieders of inzetters buiten de EU wanneer de output van het AI-systeem binnen de EU wordt gebruikt.
Zijn open-source AI-modellen vrijgesteld?
De Act biedt enkele vrijstellingen voor AI-modellen die worden uitgebracht onder vrije en open-source licenties, mits deze geen deel uitmaken van een hoog-risico systeem en niet worden gekwalificeerd als GPAI-modellen met systeemrisico’s. Transparantieverplichtingen (zoals het labelen van synthetische content) blijven echter van kracht als een open-source model wordt gebruikt om dergelijke content te genereren. Organisaties moeten er niet van uitgaan dat de open-source status alleen al voldoende bescherming biedt op het gebied van compliance.
Wat is een Fundamental Rights Impact Assessment (FRIA)?
Een FRIA is een verplichte beoordeling voor bepaalde inzetters van hoog-risico AI-systemen, specifiek voor overheidsinstanties en private entiteiten die essentiële publieke diensten verlenen, zoals bankieren of verzekeren. Het vereist dat de inzetter beoordeelt hoe het gebruik van de AI de grondrechten van de betrokken personen zal beïnvloeden voordat het systeem in gebruik wordt genomen.
