AI Act voor bedrijven: praktische implementatiegids

AI Act compliance vraagt om acht stappen: AI-inventaris, risicoclassificatie, AI Impact Assessment voor high-risk, governance, ISO 42001 als framework, documentatie, AI-geletterdheid en monitoring. De hoofddeadline voor high-risk AI is 2 augustus 2026 – dat lijkt ver weg, maar voor organisaties die voor het eerst een AI-inventaris maken is een doorlooptijd van zes tot twaalf maanden realistisch. AI-geletterdheid en het verbod op artikel 5-praktijken gelden al sinds 2 februari 2025.

In deze gids lopen we het complete stappenplan door, geven we per stap concrete activiteiten en sluiten we af met veelgemaakte fouten. De inhoud is geschreven voor compliance officers, CISO’s en IT-managers in Nederlandse organisaties.

Voorbereiding: bestuurscommitment

AI Act implementatie zonder bestuurscommitment loopt vast. Voor je begint heb je drie dingen nodig: een mandaat (formeel besluit dat er een AI-compliance-traject loopt), een budget (intern en extern) en een verantwoordelijke (vaak de CISO, soms een dedicated AI lead of CDO).De business case is meestal niet complex: de boetemaxima (EUR 35 miljoen of 7% wereldwijde omzet) en de reputatie-impact spreken voor zich. Belangrijker is dat het bestuur snapt dat dit een meerjarig traject is – geen project dat na zes maanden klaar is.

Stap 1: AI-inventaris

Het startpunt voor alles. Maak een register van alle AI-systemen die in de organisatie worden gebruikt of geleverd. Vergeet vooral niet:

• Shadow AI: tools die medewerkers zelf hebben aangeschaft (ChatGPT Plus accounts, persoonlijke Copilot-licenties).
• AI ingebed in SaaS-tools: bijna alle moderne ERP-, CRM- en HR-systemen hebben AI-features geintroduceerd in 2024-2025.
• Eigen ontwikkelde modellen: data science teams die intern modellen draaien.
• AI in producten die jij aan klanten levert: hier word je provider.

Per systeem leg je vast: naam, leverancier, use case, jouw rol (provider, deployer, importer, distributor), gebruikte persoonsgegevens, en eigenaar binnen de organisatie. Begin breed – een register van 200 entries is normaal bij een middelgrote organisatie.

Stap 2: risicoclassificatie

Voor elk systeem in het register bepaal je het AI Act-risiconiveau: onaanvaardbaar, hoog, beperkt of minimaal. We schreven een uitgebreide spoke over risicoclassificatie met beslisboom.Praktische tips:

• Begin met de evident high-risk kandidaten: HR-tooling, kredietbeoordeling, klantsegmentatie voor essentiele diensten.
• Documenteer je classificatie-redenering – de wet vraagt dit.
• Bij twijfel: classificeer als high-risk tot je het kunt uitsluiten.
• Reken op iteratie: classificaties veranderen als use cases evolueren of als de AI Office guidance publiceert.

Stap 3: AI Impact Assessment voor high-risk

Voor high-risk AI moet je een AI Impact Assessment (in EU-jargon: FRIA, Fundamental Rights Impact Assessment) uitvoeren als deployer in publieke dienst of als de wet het anderszins voorschrijft. We adviseren elke high-risk AI met een FRIA te onderbouwen, ook als je formeel niet verplicht bent – het is de beste manier om risico’s te identificeren en mitigatie te plannen.Een FRIA bevat minimaal: doel en gebruikscontext, betrokken groepen, risico’s op grondrechten, geidentificeerde mitigaties, restrisico en menselijke controle-mechanismen. Lees voor de complete opbouw van een AI Impact Assessment onze aparte spoke.

Stap 4: governance en verantwoordelijkheden

AI governance is meer dan een organogram. Het bevat minimaal:

• AI-beleid: hoogover beleidsstuk dat de organisatie-aanpak beschrijft.
• Rollen en verantwoordelijkheden: wie keurt nieuwe AI goed, wie monitort, wie meldt incidenten?
• Aankoop- en intake-proces: hoe komt nieuwe AI binnen, wie classificeert?
• Escalatie- en incidentprocedure: wat doe je als een AI-systeem in productie de mist in gaat?
• AI-register: levend overzicht van alle AI-systemen (zie stap 1, maar dan operationeel onderhouden).

We zien dat governance vaak het verschil maakt tussen organisaties die de wet als project benaderen (eenmalig) en organisaties die er een werkend systeem van maken (continue). De wet vraagt dat laatste. Lees onze spoke over AI governance voor de uitgewerkte rolverdeling.

Stap 5: ISO 42001 als implementatie-framework

De AI Act geeft eisen, maar niet hoe je ze invult. ISO 42001 (de eerste internationale norm voor een AI Management System) is dat hoe. De norm is opgebouwd in dezelfde High Level Structure als ISO 27001 en biedt 38 controls in Annex A voor AI-specifieke processen.Voor organisaties met een bestaand ISO 27001-certificaat is dit een logische uitbreiding: de management-processen (directiebeoordeling, interne audit, continue verbetering) zijn herbruikbaar. We schreven een aparte spoke over ISO 42001 en de bridge naar ISO 27001.Of je een formeel certificaat haalt is een aparte keuze – veel organisaties implementeren ISO 42001 zonder formele certificering en gebruiken het puur als implementatieleidraad. Voor organisaties die naar klanten of toezichthouders willen aantonen dat ze ‘in control’ zijn, is certificering wel de duidelijkste keuze.

Stap 6: documentatie, transparantie, logging

High-risk AI vraagt een technisch dossier (technische documentatie volgens Annex IV). Inhoud: algemene beschrijving systeem, gedetailleerde beschrijving componenten en development-proces, monitoring-systeem, risico-managementsysteem, datasets, validatie en testen, en cybersecurity-maatregelen.Daarnaast: gebruiksinstructies voor deployers (gestructureerde handleiding), transparantie naar betrokkenen (informeren als AI besluitvorming raakt), en logging tijdens werking (automatische registratie van events).Voor providers loopt dit in de productdocumentatie. Voor deployers in interne procedures en privacy-statements. Bouw documentatie zo op dat een toezichthouder of klant binnen 48 uur kan zien wat het systeem doet, hoe het is getest en wat de risico’s zijn.

Stap 7: AI-geletterdheid (artikel 4 – al verplicht)

Sinds 2 februari 2025 ben je hier al toe verplicht. Artikel 4 stelt dat providers en deployers van AI-systemen passende AI-geletterdheid moeten waarborgen voor hun personeel en andere personen die namens hen met AI omgaan.Wat ‘passend’ is hangt af van de rol. Een marketing-medewerker die Copilot gebruikt heeft basis-awareness nodig (wat is AI, wat zijn risico’s, wanneer twijfel). Een data scientist die modellen bouwt heeft verdiepende training nodig. Onze ervaring: een gelaagde aanpak met een 30-minuten basis-e-learning voor iedereen plus rolspecifieke verdieping werkt het best.Documenteer welke training is gegeven, aan wie, en wanneer. Een toezichthouder die langskomt zal hier expliciet naar vragen.

Stap 8: monitoring en incident response

High-risk AI is niet ‘klaar’ na implementatie – de wet vraagt post-market monitoring. Concreet: een proces dat performance, accuracy en drift bewaakt en correctief ingrijpt.Daarnaast: een meldproces voor ‘serieuze incidenten’ (ernstige schade aan gezondheid, fundamentele rechten, kritieke infrastructuur). Bij high-risk AI moet je dergelijke incidenten binnen 15 dagen melden aan de markttoezichthouder – bij wijdverspreide schending van grondrechten zelfs binnen 2 dagen.

Tijdlijn: realistische planning

Voor een middelgrote organisatie (200-1000 medewerkers) zonder bestaand AI governance-traject:

• Maand 1-2: inventaris en initiele classificatie (stap 1-2).
• Maand 3-4: governance-structuur en AI Impact Assessments voor high-risk (stap 3-4).
• Maand 5-8: ISO 42001-implementatie (stap 5).
• Maand 6-9: documentatie, training, monitoring (stap 6-8, deels parallel).
• Maand 9-12: validatie, interne audit, eventuele certificering.

Voor organisaties met een bestaand ISO 27001-certificaat zien we typisch een doorlooptijd van zes tot acht maanden – de management-processen liggen er al, alleen AI-specifieke controls en classificatie moeten erbij. Dxfferent levert hiervoor een specifiek ISO 27001 + ISO 42001 combinatietraject dat bestaande certificering benut.

Veelgemaakte fouten

• Te smal scope: alleen IT-systemen inventariseren, terwijl HR en marketing al volop AI gebruiken. Maak het organisatiebreed.
• Geen mandate: de CISO doet het ‘erbij’ zonder bestuurscommitment. Loopt vrijwel altijd vast.
• One-time project: AI Act behandelen als implementatieproject in plaats van continue proces. De wet vraagt post-market monitoring en periodieke herziening.
• Vendor lock-in op classificatie: leverancier zegt ‘het is geen high-risk’ en je gelooft het. Als deployer ben jij verantwoordelijk.
• Training overslaan: de AI-geletterdheidsplicht wordt onderschat. Sinds februari 2025 al verplicht.

Wanneer externe begeleiding loont

Externe begeleiding loont vooral bij organisaties zonder ervaring met certificeringstrajecten of zonder eerdere ISO 27001-implementatie. De combinatie van juridische interpretatie (wat betekent artikel 6 lid 3?) en praktische implementatie (hoe zet ik ISO 42001 op?) is voor in-house teams vaak nieuw terrein. Een ervaren externe partij bespaart maanden doorlooptijd en zorgt dat je niet de fouten maakt die andere organisaties net hebben gemaakt.Dxfferent begeleidt MSP’s, IT-organisaties en zorgleveranciers bij AI Act compliance, met sterke specialisatie in de combinatie ISO 27001 + ISO 42001. Onze ervaring uit ruim tien jaar ISO 27001-trajecten vertaalt direct naar de management-laag van AI Act compliance.

Veelgestelde vragen

Hoe lang duurt AI Act implementatie?

Voor een middelgrote organisatie zonder bestaand governance-traject: 9-12 maanden tot een werkend systeem. Met een bestaand ISO 27001-certificaat: 6-8 maanden. Een AI-inventaris en initiele classificatie kun je in 4-6 weken doen – dat is het minimum om voor 2 augustus 2026 risico te beperken.

Wat kost AI Act compliance?

Voor een middelgrote organisatie: EUR 50.000 tot EUR 150.000 aan externe begeleiding plus tooling, plus interne uren. De grootste kostendrijver is het aantal high-risk AI-systemen – bij meer dan 5 high-risk systemen lopen de kosten flink op door per-systeem documentatie en testing. Organisaties met een bestaand ISO 27001-traject besparen typisch 30-40% door hergebruik van management-processen.

Moet ik ook iets doen als ik alleen Copilot gebruik?

Ja. Als deployer ben je verantwoordelijk voor AI-geletterdheid (al verplicht sinds februari 2025), classificatie van je use cases en – bij high-risk gebruik (zoals HR-toepassingen) – de bijbehorende deployer-verplichtingen. Voor minimaal risico-gebruik is de inspanning beperkt, maar nul is het niet.

Wat als ik de deadline 2 augustus 2026 niet haal?

Vanaf 2 augustus 2026 zijn boetes voor non-compliance met het high-risk regime mogelijk. In de praktijk verwachten we een ramp-up periode waarin toezichthouders eerst voorlichten, dan waarschuwen en dan beboeten – maar daar mag je niet op rekenen. Beter te laat starten dan niet starten: de wet beoordeelt of je ‘aantoonbaar inspanning verricht’. Een werkend AI-register en lopend implementatietraject zijn betere positie dan niets.