EU AI Act: complete gids voor Nederlandse organisaties (2026)

De EU AI Act (Verordening 2024/1689) is sinds 1 augustus 2024 van kracht en faseert in tot 2 augustus 2027. De wet classificeert AI-systemen op basis van risico, verbiedt een aantal toepassingen volledig en stelt zware eisen aan high-risk AI. De eerste deadline is al gepasseerd: sinds 2 februari 2025 zijn verboden AI-praktijken niet meer toegestaan en geldt de AI-geletterdheidsplicht (artikel 4). De hoofdverplichtingen voor high-risk AI worden op 2 augustus 2026 van kracht. Boetes lopen op tot EUR 35 miljoen of 7% van de wereldwijde jaaromzet.

In deze gids lees je wat de AI Act inhoudt, wie eronder valt, welke deadlines er gelden en hoe je in acht stappen naar compliance toewerkt. We leggen uit waarom ISO 42001 het praktische implementatiekader is, en hoe organisaties met een bestaand ISO 27001-certificaat een voorsprong hebben.

TL;DR: AI Act in 5 punten

• Risicogebaseerd: vier niveaus (onaanvaardbaar, hoog, beperkt, minimaal) bepalen de eisen.
• Deadlines: 2 feb 2025 (verboden praktijken + AI-literacy), 2 aug 2025 (GPAI + sancties), 2 aug 2026 (high-risk hoofdregime), 2 aug 2027 (embedded high-risk).
• Scope: providers, deployers, importeurs en distributeurs – ook buiten de EU als output in de EU wordt gebruikt.
• Sancties: tot EUR 35 mln of 7% wereldwijde omzet voor verboden AI, EUR 15 mln of 3% voor high-risk overtredingen.
• Eerste stap: maak een AI-inventaris met rol en risicoclassificatie per systeem. ISO 42001 is het implementatieframework dat hierop aansluit.

Wat is de EU AI Act?

De EU AI Act is officieel Verordening (EU) 2024/1689 van het Europees Parlement en de Raad. Het is de eerste horizontale wet ter wereld die kunstmatige intelligentie reguleert. Omdat het een verordening is en geen richtlijn, werkt de wet direct in alle 27 lidstaten – er is geen Nederlandse implementatiewet nodig om de regels te laten gelden.Het doel is tweeledig: enerzijds de interne markt voor betrouwbare AI versterken, anderzijds grondrechten, veiligheid en democratie beschermen. De wet kiest een risicogebaseerde aanpak: niet de technologie wordt gereguleerd, maar het gebruik. Hetzelfde model kan in de ene context minimaal risico zijn (spamfilter) en in de andere high-risk (cv-screening).In Nederland houdt naar verwachting de Autoriteit Persoonsgegevens (AP) toezicht op grondrechten-gerelateerde AI, terwijl de Rijksinspectie Digitale Infrastructuur (RDI) coordinerend toezichthouder wordt. Sectorale toezichthouders zoals DNB, AFM en IGJ blijven verantwoordelijk binnen hun domein.

AI Act tijdlijn: 4 deadlines die ertoe doen

De AI Act is in werking getreden op 1 augustus 2024, maar de verplichtingen faseren in over drie jaar. Dat geeft organisaties tijd, maar het houdt ook in dat de eerste deadlines er al zijn.

2 februari 2025 – verboden praktijken en AI-geletterdheid

Sinds deze datum zijn de zes verboden AI-praktijken uit artikel 5 onmiddellijk illegaal. Ook geldt vanaf deze datum de AI-geletterdheidsplicht (artikel 4): elke organisatie die AI-systemen gebruikt of aanbiedt, moet zorgen voor voldoende kennis van AI bij medewerkers die er mee werken.

2 augustus 2025 – GPAI, AI Office en sancties

Vanaf deze datum gelden de verplichtingen voor general-purpose AI (GPAI). De Europese AI Office is operationeel, governance-structuren staan en lidstaten moeten hun toezichthouders hebben aangewezen. Vanaf deze datum kunnen ook boetes worden opgelegd.

2 augustus 2026 – high-risk AI in volle werking

De grote deadline. Alle eisen voor high-risk AI-systemen uit Annex III worden volledig handhaafbaar: risicobeheersysteem, datakwaliteit, technische documentatie, transparantie, menselijke controle, robuustheid, conformiteitsbeoordeling, CE-markering en registratie in de EU-database.

2 augustus 2027 – embedded high-risk AI

Voor AI die is ingebed in producten die al onder andere EU-wetgeving vallen (zoals medische hulpmiddelen onder de MDR of machines onder de Machineverordening), gelden de AI Act-eisen vanaf deze datum. Dit geeft producenten extra tijd om beide regimes te integreren.

AI Act risicoclassificatie: 4 niveaus

De AI Act deelt AI-systemen in vier risiconiveaus. Het niveau bepaalt welke eisen er gelden – van een totaalverbod tot helemaal niets. Classificatie is altijd use-case based: dezelfde technologie kan in verschillende contexten anders worden geclassificeerd.

Niveau 1 – onaanvaardbaar risico (verboden)

Artikel 5 verbiedt zes categorieen AI-toepassingen. Onder andere social scoring door overheden, manipulatieve technieken die kwetsbaarheid uitbuiten, real-time biometrische identificatie in de openbare ruimte voor rechtshandhaving (met enge uitzonderingen), emotieherkenning op de werkvloer en in onderwijs, en untargeted scraping van gezichtsbeelden voor gezichtsherkenningsdatabases.

Niveau 2 – hoog risico (zwaar gereguleerd)

Artikel 6 en Annex III definieren acht categorieen high-risk AI: biometrie, kritieke infrastructuur, onderwijs, werkgelegenheid (cv-screening, beoordeling), essentiele particuliere en publieke diensten (kredietscoring, sociale voorzieningen), rechtshandhaving, migratie en asiel, en rechtspraak. Voor deze systemen gelden alle hoofdverplichtingen.

Niveau 3 – beperkt risico (transparantieplicht)

Chatbots, deepfakes en niet-verboden emotieherkenning vallen hier onder. De eis is transparantie: gebruikers moeten weten dat ze met AI te maken hebben en gegenereerde content moet als zodanig gemarkeerd worden.

Niveau 4 – minimaal risico (vrij gebruik)

Spamfilters, AI in videogames, voorraadprognoses: vrij toepasbaar. Vrijwillige gedragscodes worden aangemoedigd. Het overgrote deel van bestaande AI-toepassingen valt in deze categorie.

High-risk AI: wat eist de AI Act?

Voor de meeste organisaties is dit waar de pijn zit. Wie high-risk AI aanbiedt (provider) of gebruikt (deployer), moet voldoen aan een uitgebreid eisenpakket.

• Risicobeheersysteem: continu proces van risicoidentificatie en -mitigatie over de gehele levenscyclus.
• Data governance: trainingsdata moet representatief, relevant en zo foutloos mogelijk zijn.
• Technische documentatie: gedetailleerd dossier dat conformiteit aantoont.
• Logging: automatische registratie van events tijdens de werking van het systeem.
• Transparantie: gebruiksinstructies die deployers in staat stellen het systeem correct te gebruiken.
• Menselijke controle: het systeem moet zo zijn ontworpen dat mensen kunnen ingrijpen.
• Robuustheid en cybersecurity: bestand tegen fouten, manipulatie en aanvallen.
• Conformiteitsbeoordeling: voor sommige categorieen door een notified body, voor andere via self-assessment.
• CE-markering: high-risk AI krijgt een CE-markering net als ander gereguleerd product.
• EU-database registratie: stand-alone high-risk AI moet worden geregistreerd in de centrale EU-database.

Voor deployers (gebruikers) van high-risk AI gelden lichtere maar concrete verplichtingen: monitoring, logging bewaren, betrokkenen informeren bij gebruik in HR of besluitvorming, en in sommige gevallen een AI Impact Assessment uitvoeren.

General-purpose AI (GPAI) en foundation models

GPAI – denk aan GPT-4, Claude, Gemini – heeft een eigen regime sinds 2 augustus 2025. Providers moeten technische documentatie maken, een copyright-policy publiceren en een samenvatting van trainingsdata openbaar maken. Voor GPAI met systeemrisico (>10^25 FLOPs trainingscompute) gelden zwaardere eisen: modelevaluaties, adversarial testing, incident reporting en cybersecurity-bescherming.Voor wie GPAI inzet als deployer is dit indirect relevant: leveranciers moeten je voorzien van informatie waarmee je je eigen AI Act-verplichtingen kunt nakomen. Vraag dit expliciet uit in contracten.

AI Act boetes en sancties

• Verboden AI-praktijken: tot EUR 35 miljoen of 7% van de wereldwijde jaaromzet (de hoogste van beide).
• Andere overtredingen high-risk regels: tot EUR 15 miljoen of 3% wereldwijde jaaromzet.
• Onjuiste of misleidende informatie aan toezichthouders: tot EUR 7,5 miljoen of 1%.
• GPAI-providers: tot 3% wereldwijde jaaromzet of EUR 15 miljoen.

MKB en startups krijgen lagere maxima: voor hen geldt de laagste van de twee bedragen in plaats van de hoogste. Dat maakt de wet weliswaar minder bedrijfsbedreigend voor kleine partijen, maar boetes van EUR 7,5 miljoen kunnen ook MKB-organisaties failliet maken.

AI Act versus bestaande frameworks

AI Act en AVG/GDPR

De AVG blijft volledig van toepassing op AI-systemen die persoonsgegevens verwerken. Een AI Impact Assessment (FRIA) overlapt deels met een DPIA, maar is niet hetzelfde – de FRIA kijkt naar grondrechten breder, de DPIA alleen naar privacy. Voor high-risk AI met persoonsgegevens moet je beide doen.

AI Act en NIS2

Voor essentiele en belangrijke entiteiten onder NIS2 overlappen risicobeheer en incident reporting. AI-incidenten die kritieke diensten raken vallen onder beide regimes – de meldplichten zijn separaat te doorlopen.

AI Act en ISO 27001

ISO 27001 dekt informatiebeveiliging breed. Een werkend ISMS regelt al een groot deel van de cybersecurity-eisen voor high-risk AI – we zien bij onze klanten met een ISO 27001-certificaat typisch een 40-50% lagere implementatielast voor AI Act compliance.

ISO 42001 als implementatie-anker

ISO 42001 (gepubliceerd december 2023) is de eerste internationale standaard voor een AI management system (AIMS). Het is opgebouwd volgens de High Level Structure die je kent van ISO 27001 en biedt een concrete invulling van AI-governance. Voor organisaties die de AI Act gestructureerd willen implementeren is ISO 42001 het meest praktische framework – het vertaalt juridische verplichtingen naar werkbare processen.

AI Act stappenplan voor Nederlandse bedrijven

1. AI-inventaris: catalogiseer alle AI-systemen die in jouw organisatie worden gebruikt of geleverd, inclusief jouw rol per systeem (provider, deployer, importer, distributor).
2. Risicoclassificatie: deel elk systeem in op risiconiveau. Een onbekend systeem is geen excuus – de wet houdt je verantwoordelijk.
3. AI Impact Assessment: voor high-risk systemen voer je een FRIA uit. Deze kan dienen als bewijslast naar de toezichthouder.
4. Governance: wijs een verantwoordelijke aan (vaak de CISO of CDO), formaliseer rollen en escalatielijnen.
5. ISO 42001 implementeren: gebruik dit framework om alle eisen gestructureerd te beleggen.
6. Documentatie en transparantie: bouw het technisch dossier en transparantie-uitingen op.
7. AI-geletterdheid: train alle medewerkers die met AI werken (verplicht onder artikel 4).
8. Monitoring en incident-meldproces: implementeer logging, monitoring en een meldproces voor serieuze incidenten.

Wat dxfferent voor je doet

We begeleiden Nederlandse MSP’s, IT-organisaties en zorgleveranciers bij AI Act compliance. Onze aanpak bouwt voort op onze ISO 27001 en NEN 7510 expertise: een werkend ISMS is de fundering, ISO 42001 is de bovenbouw die de AI Act-eisen invult. Concreet leveren we AI Act gap-assessments, ISO 42001 implementatietrajecten, AI Impact Assessments en governance-trajecten. Voor klanten met een bestaand ISO 27001-certificaat hebben we een ISO 27001 + ISO 42001 combinatietraject ontwikkeld dat de doorlooptijd met circa een derde verkort.

Veelgestelde vragen

Wanneer geldt de AI Act in Nederland?

De AI Act is sinds 1 augustus 2024 in werking en wordt in vier stappen handhaafbaar: 2 februari 2025 (verboden praktijken en AI-geletterdheid), 2 augustus 2025 (GPAI en sancties), 2 augustus 2026 (high-risk hoofdregime), 2 augustus 2027 (embedded high-risk in andere producten). Voor de meeste organisaties is 2 augustus 2026 de cruciale deadline.

Val ik onder de AI Act als ik alleen ChatGPT gebruik?

Ja. Als deployer van een GPAI-systeem heb je verplichtingen rondom transparantie, AI-geletterdheid en – afhankelijk van de use case – mogelijk ook risicobeheer. Het gebruik van ChatGPT voor cv-screening wordt bijvoorbeeld als high-risk gezien, met alle bijbehorende verplichtingen. Het gebruik voor het samenvatten van interne notulen is doorgaans minimaal risico.

Wat is het verschil tussen een provider en een deployer?

Een provider ontwikkelt een AI-systeem of laat het ontwikkelen en brengt het in de EU op de markt onder eigen naam. Een deployer gebruikt een AI-systeem in een professionele setting (geen consument). De rollen kunnen schuiven: als je een open-source model substantieel aanpast en onder eigen merk in productie zet, word je provider.

Geldt de AI Act voor MKB?

Ja, de AI Act maakt geen uitzondering voor MKB qua scope. Wel zijn boetemaxima lager voor MKB en startups (het lagere bedrag in plaats van het hogere), en heeft de EU regulatory sandboxes opgezet om MKB-innovatie te ondersteunen. De inhoudelijke eisen blijven gelijk.

Moet ik ISO 42001 halen om AI Act compliant te zijn?

Nee, ISO 42001-certificering is niet wettelijk verplicht. Het is wel verreweg de praktischste manier om de eisen gestructureerd te beleggen en compliance aantoonbaar te maken naar toezichthouders, klanten en auditors. Voor organisaties met een bestaand ISO 27001-certificaat ligt de extra inspanning relatief laag.