Wat is de AI Act? De Europese AI-wet uitgelegd

Door Jasper van Horssen, Lead Auditor ISO 27001 · NIS2 Lead Implementer. Vakinhoudelijk gereviewd door Erik Bijkerk, Senior Consultant bij Dxfferent. Bijgewerkt juni 2026.

De AI Act is Verordening (EU) 2024/1689: de eerste horizontale wet ter wereld die kunstmatige intelligentie reguleert op basis van risico. De verordening is op 1 augustus 2024 in werking getreden en faseert gespreid in. Verboden AI-praktijken en de plicht tot AI-geletterdheid gelden sinds 2 februari 2025, de regels voor general-purpose AI (GPAI) en het bestuurlijke toezicht sinds 2 augustus 2025. De zware verplichtingen voor hoog-risico-AI zouden op 2 augustus 2026 ingaan, maar via de Digital Omnibus is medio 2026 een uitstel naar 2 december 2027 afgesproken. Boetes lopen op tot 35 miljoen euro of 7 procent van de wereldwijde jaaromzet. In dit artikel leest u wat de AI Act precies is, hoe het risicomodel werkt, wie eronder valt, welke deadlines medio 2026 daadwerkelijk gelden, en welke drie acties u deze maand kunt zetten.

Laatst bijgewerkt: 8 juni 2026. Let op: de hoog-risico-deadline is in beweging. De Europese instellingen bereikten op 7 mei 2026 een voorlopig politiek akkoord over de Digital Omnibus, die de toepassing van de hoog-risico-verplichtingen uitstelt. Tot dit akkoord formeel is aangenomen en in het Publicatieblad is gepubliceerd, blijft 2 augustus 2026 juridisch de geldende datum.

Wat is de AI Act? Het korte antwoord

De AI Act is de Europese AI-verordening (Verordening (EU) 2024/1689) die kunstmatige intelligentie reguleert naar de mate van risico die een toepassing oplevert, niet naar de technologie zelf. De wet verdeelt AI-systemen in vier risicocategorieen: onaanvaardbaar (verboden), hoog, beperkt en minimaal. Per categorie gelden andere eisen, oplopend van een volledig verbod tot geen enkele verplichting. Voor hoog-risico-AI introduceert de verordening een productveiligheidsregime met eisen voor risicobeheer, datakwaliteit, technische documentatie, transparantie, menselijk toezicht en cybersecurity. Wie zich niet aan het verbod op bepaalde toepassingen houdt, riskeert een boete tot 35 miljoen euro of 7 procent van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is (artikel 99). De verordening werkt rechtstreeks in alle EU-lidstaten en heeft extraterritoriale werking: ook aanbieders buiten de EU vallen eronder zodra de output van hun systeem in de EU wordt gebruikt.

Officiele naam en juridische basis

De volledige naam is Verordening (EU) 2024/1689 van het Europees Parlement en de Raad van 13 juni 2024 tot vaststelling van geharmoniseerde regels betreffende kunstmatige intelligentie. De tekst is op 12 juli 2024 gepubliceerd in het Publicatieblad van de Europese Unie en op 1 augustus 2024 in werking getreden, twintig dagen na publicatie.

Belangrijk: het is een verordening, geen richtlijn. De regels gelden daardoor direct in elke lidstaat, zonder dat Nederland de inhoudelijke verplichtingen in een eigen wet hoeft om te zetten. Dat is het wezenlijke verschil met bijvoorbeeld de NIS2-richtlijn, die per lidstaat in nationale wetgeving moet worden vertaald. Nederland maakt wel een uitvoeringswet, maar die regelt vooral wie toezicht houdt en hoe wordt gehandhaafd, niet de materiele eisen. Dit volgt uit artikel 288 VWEU, dat de rechtstreekse werking van verordeningen regelt.

Waarom is de AI Act er gekomen?

De Europese wetgever zag drie risico’s die om regulering vroegen. Ten eerste AI-systemen die ingrijpende beslissingen over mensen nemen, zoals bij kredietverlening, sollicitaties of rechtshandhaving, zonder transparantie of beroepsmogelijkheid. Ten tweede massale biometrische surveillance die grondrechten ondermijnt. Ten derde fragmentatie van de interne markt: zonder Europese regels zou elke lidstaat zelf gaan reguleren, met 27 uiteenlopende regimes als gevolg.

De gekozen aanpak sluit aan op bestaande productveiligheidswetgeving. Net zoals een lift of een medisch hulpmiddel een conformiteitsbeoordeling en CE-markering nodig heeft, geldt dat straks ook voor hoog-risico-AI. Daarmee plaatst de AI Act zich in de vertrouwde juridische traditie van productharmonisatie, toegepast op een nieuw soort product. Voor organisaties betekent dit dat AI-compliance dichter bij kwaliteits- en risicomanagement ligt dan bij puur juridisch werk.

Hoe werkt de wet: risico, geen technologie

De AI Act reguleert gebruikssituaties, niet technologieen. Hetzelfde taalmodel kan in de ene context (een intern document samenvatten) minimaal risico zijn en in de andere context (beslissen over een leningaanvraag) hoog risico. Een AI-inventarisatie start daarom niet bij de tool, maar bij de use case: wat doet het systeem, voor wie, en met welk gevolg voor de betrokkene? Dit is het uitgangspunt dat in onze adviespraktijk het vaakst wordt onderschat: organisaties tellen tools, terwijl de wet toepassingen telt.

De vier risiconiveaus:

• Onaanvaardbaar risico (verboden, artikel 5): onder meer social scoring door overheden, manipulatieve AI die kwetsbaarheden uitbuit, ongerichte scraping van gezichtsbeelden voor gezichtsherkenningsdatabanken, emotieherkenning op de werkplek en in het onderwijs, en in beginsel real-time biometrische identificatie op afstand in de openbare ruimte voor rechtshandhaving (met enge uitzonderingen).
• Hoog risico (artikel 6): de toepassingen uit Annex III (zoals biometrie, kritieke infrastructuur, onderwijs, werving en selectie, toegang tot essentiele diensten, rechtshandhaving en rechtspleging) plus AI die als veiligheidscomponent in producten onder Annex I zit. Voor deze categorie geldt het volledige regime.
• Beperkt risico (artikel 50): chatbots, deepfakes en AI-gegenereerde content. Hiervoor geldt een transparantieplicht: de gebruiker moet weten dat hij met AI te maken heeft of dat content kunstmatig is gegenereerd.
• Minimaal risico: alle overige AI. Geen wettelijke verplichtingen, wel vrijwillige gedragscodes.

Wij schreven een aparte verdieping over de AI Act risicoclassificatie met beslisboom en voorbeelden per niveau.

De acht categorieen hoog-risico-AI uit Annex III

De meeste organisaties komen via Annex III in aanraking met het hoog-risico-regime. Deze bijlage benoemt acht gebieden waarin een AI-systeem als hoog risico geldt:

1. Biometrie: biometrische identificatie op afstand, biometrische categorisering en emotieherkenning (voor zover niet al verboden).
2. Kritieke infrastructuur: AI als veiligheidscomponent in het beheer van verkeer, water, gas, verwarming en elektriciteit.
3. Onderwijs en beroepsopleiding: toelating, beoordeling van leerresultaten en monitoring van examens.
4. Werkgelegenheid en personeelsbeheer: werving, selectie, promotiebeslissingen en monitoring van werknemers.
5. Toegang tot essentiele particuliere en publieke diensten: kredietbeoordeling, risicobeoordeling bij verzekeringen, en triage bij hulpdiensten.
6. Rechtshandhaving: risicobeoordeling van personen en evaluatie van bewijsmateriaal.
7. Migratie, asiel en grenscontrole: beoordeling van aanvragen en risico-inschatting.
8. Rechtsbedeling en democratische processen: ondersteuning bij rechterlijke beslissingen en beinvloeding van verkiezingen.

Voor systemen in deze categorieen gelden de zwaarste eisen: een risicobeheersysteem, datagovernance, technische documentatie, logging, transparantie naar gebruikers, menselijk toezicht, en eisen aan nauwkeurigheid, robuustheid en cybersecurity (artikelen 9 tot en met 15 en bijlage III van Verordening (EU) 2024/1689).

General-purpose AI: aparte regels voor de grote modellen

Naast het risicomodel kent de AI Act een apart spoor voor general-purpose AI (GPAI): de grote, breed inzetbare modellen achter toepassingen als ChatGPT, Gemini en Copilot. Aanbieders van GPAI-modellen moeten technische documentatie bijhouden, informatie verstrekken aan partijen die het model integreren, een beleid voeren om het EU-auteursrecht na te leven, en een samenvatting publiceren van de data waarmee het model is getraind (artikel 53 en volgende van Verordening (EU) 2024/1689).

Voor een kleine groep modellen met een zogeheten systeemrisico gelden zwaardere eisen, waaronder modelevaluaties, risicobeoordeling en incidentrapportage. Het criterium is technisch: modellen die met meer dan 10^25 floating point operations zijn getraind, worden vermoed systeemrisico te dragen. Dat betreft medio 2026 wereldwijd een handvol aanbieders. Om naleving te vergemakkelijken publiceerde het AI Office op 10 juli 2025 de definitieve General-Purpose AI Code of Practice, een vrijwillig instrument met hoofdstukken over transparantie, auteursrecht en veiligheid. De GPAI-regels gelden sinds 2 augustus 2025; de handhavingsbevoegdheden van het AI Office (boetes, informatieverzoeken, terugroepacties) gaan in vanaf 2 augustus 2026. Voor modellen die al voor 2 augustus 2025 op de markt waren, geldt een overgangstermijn tot 2 augustus 2027 (analyse via Global Policy Watch).

Wie valt onder de AI Act? Vier rollen

De wet onderscheidt vier rollen. Een organisatie kan voor verschillende systemen tegelijk meerdere rollen hebben.

• Aanbieder (provider): ontwikkelt een AI-systeem of laat het ontwikkelen en brengt het onder eigen naam op de markt. Zwaarste verplichtingen.
• Gebruiksverantwoordelijke (deployer): zet het AI-systeem professioneel in. Dit is de rol van de meeste Nederlandse organisaties die AI gebruiken.
• Importeur: brengt AI van buiten de EU op de Europese markt en verifieert dat de niet-EU-aanbieder aan de eisen voldoet.
• Distributeur: levert AI door zonder substantiele aanpassingen. Lichtste verplichtingen.

Let op: wie een hoog-risico-systeem onder eigen naam aanbiedt, het ingrijpend wijzigt of het voor een ander doel inzet dan de oorspronkelijke aanbieder bedoelde, kan zelf aanbieder worden met de bijbehorende verplichtingen (artikel 25 van Verordening (EU) 2024/1689). Voor MSP’s en SaaS-leveranciers die AI van derden integreren, is dit een reeel aandachtspunt. De AI Act heeft bovendien extraterritoriale werking: een Amerikaanse partij die een AI-systeem aanbiedt waarvan de output in de EU wordt gebruikt, valt onder de wet. Dat is bewust gedaan om regelarbitrage tegen te gaan.

Wanneer geldt wat? De gefaseerde toepassing

De AI Act treedt niet in een keer in werking, maar in stappen. Dit is de stand van zaken medio 2026, inclusief het uitstel dat via de Digital Omnibus is afgesproken:

• 1 augustus 2024: de verordening treedt in werking.
• 2 februari 2025: de verboden praktijken uit artikel 5 gelden, en de plicht tot AI-geletterdheid uit artikel 4 wordt van kracht.
• 2 augustus 2025: de GPAI-verplichtingen, de governance (AI Office en nationale toezichthouders), de geheimhoudingsregels en de boetebepalingen worden van toepassing.
• 2 december 2026 (nieuw, via de Digital Omnibus): beoogde ingangsdatum voor de twee nieuwe verboden praktijken (zie hieronder) en het einde van de verruimde overgangstermijn voor de transparantieplicht bij reeds op de markt gebrachte systemen.
• 2 augustus 2026 of 2 december 2027: de verplichtingen voor zelfstandige hoog-risico-systemen uit Annex III. De oorspronkelijke datum is 2 augustus 2026 (vastgelegd in artikel 113 van Verordening (EU) 2024/1689); de Digital Omnibus stelt deze uit tot 2 december 2027. Tot het akkoord formeel is gepubliceerd, blijft 2 augustus 2026 de geldende datum.
• 2 augustus 2028 (nieuw): de verplichtingen voor hoog-risico-AI die als veiligheidscomponent in producten onder Annex I zit (artikel 6, lid 1). Oorspronkelijk was dit 2 augustus 2027.

De uitgestelde data komen uit het persbericht van de Raad van de EU van 7 mei 2026 en zijn nader geduid in de analyses van Gibson Dunn en Covington.

De Digital Omnibus: wat verandert er medio 2026?

De Europese Commissie presenteerde op 19 november 2025 de Digital Omnibus, een pakket om de digitale regelgeving te vereenvoudigen, mede omdat de uitvoering van de AI Act achterliep op de oorspronkelijke planning. Op 7 mei 2026 bereikten de Raad, het Europees Parlement en de Commissie hierover een voorlopig politiek akkoord, de eerste wijziging van de AI Act sinds de aanname. De belangrijkste punten:

• Uitstel van de hoog-risico-deadlines: zelfstandige Annex III-systemen krijgen tot 2 december 2027 (in plaats van 2 augustus 2026), Annex I-systemen tot 2 augustus 2028 (in plaats van 2 augustus 2027). Het akkoord werkt met vaste data en vervangt het oorspronkelijk voorgestelde voorwaardelijke startmechanisme.
• Twee nieuwe verboden praktijken: aan artikel 5 worden een verbod op AI die niet-consensuele intieme beelden (“nudifiers”) genereert of manipuleert, en een verbod op AI-gegenereerd materiaal van seksueel misbruik van kinderen toegevoegd. Beoogde ingangsdatum: 2 december 2026.
• Verruiming transparantie-overgangstermijn: voor systemen die al voor 2 augustus 2026 op de markt waren, schuift de transparantieplicht van artikel 50 op naar 2 december 2026.
• Verduidelijking van de AI-geletterdheidsplicht: artikel 4 verplicht aanbieders en gebruiksverantwoordelijken al sinds 2 februari 2025 om “maatregelen te nemen om, zoveel als mogelijk” te zorgen voor voldoende AI-kennis bij hun personeel. De Digital Omnibus bevestigt dat dit een inspanningsverplichting is en geen absolute garantie. De plicht zelf en de ingangsdatum (2 februari 2025) blijven ongewijzigd.
• Uitstel AI-sandboxen: de deadline voor lidstaten om AI-testomgevingen (“regulatory sandboxes”) in te richten, schuift op naar 2 augustus 2027.

Wat niet verandert: de boetebedragen blijven gelijk, en het verbod op de bestaande praktijken uit artikel 5 en de plicht tot AI-geletterdheid blijven gewoon van kracht sinds 2 februari 2025. Even belangrijk voor de praktijk: zolang de Digital Omnibus niet formeel is aangenomen en in het Publicatieblad gepubliceerd, is 2 augustus 2026 juridisch nog steeds de geldende hoog-risico-datum. Formele aanname werd verwacht vóór die datum. Onze advieslijn: bereid u voor op 2 augustus 2026 en behandel het uitstel als ademruimte, niet als afstel. Ook juridische analyses van het akkoord, zoals die van Pinsent Masons, benadrukken dat het uitstel pas vaststaat na formele publicatie.

Toezicht in Nederland: AP en RDI in de sleutelrol

Omdat de AI Act een verordening is, gelden de inhoudelijke regels in Nederland direct. Wat Nederland nog wel moet regelen, is het toezicht. De staatssecretaris bracht het voorstel voor de Uitvoeringswet AI-verordening begin april 2026 in internetconsultatie, opengesteld tot en met 1 juni 2026. In het voorgestelde stelsel wordt het toezicht verdeeld over circa tien autoriteiten, elk binnen het eigen domein.

De Autoriteit Persoonsgegevens (AP) en de Rijksinspectie Digitale Infrastructuur (RDI) krijgen een coordinerende rol. De AP wordt voorgesteld als markttoezichthouder voor de verboden praktijken, de transparantieverplichtingen en een groot deel van de hoog-risico-toepassingen die grondrechten raken (zoals AI in werving, onderwijs, uitkeringen en rechtshandhaving). De RDI wordt het centrale aanspreekpunt (Single Point of Contact) namens Nederland richting de EU en de buitenwereld. Sectorale toezichthouders zoals DNB, AFM, NVWA en IGJ blijven binnen hun domein verantwoordelijk. De AP en de RDI gaan daarnaast samen een AI-testomgeving inrichten waar organisaties hun systemen kunnen toetsen.

Boetes en handhaving

De boetes onder de AI Act zijn substantieel en getrapt naar de ernst van de overtreding. De bedragen staan in artikel 99 en, voor GPAI-aanbieders, artikel 101 van Verordening (EU) 2024/1689. Telkens geldt het hoogste van het absolute bedrag of het omzetpercentage:

• Verboden AI-praktijken (artikel 5): tot 35 miljoen euro of 7 procent van de wereldwijde jaaromzet.
• Overtreding van overige verplichtingen, waaronder de hoog-risico-eisen: tot 15 miljoen euro of 3 procent van de wereldwijde jaaromzet.
• Onjuiste, onvolledige of misleidende informatie aan toezichthouders: tot 7,5 miljoen euro of 1 procent van de wereldwijde jaaromzet.
• GPAI-aanbieders (artikel 101): tot 15 miljoen euro of 3 procent van de wereldwijde jaaromzet.

Voor mkb-bedrijven en start-ups geldt het laagste van de twee bedragen in plaats van het hoogste: dat verlaagt het plafond, maar de boetes blijven serieus. Naast geldboetes kan de toezichthouder een AI-systeem uit de markt laten halen, een corrigerende maatregel opleggen of een tijdelijk gebruiksverbod uitspreken. Voor een aanbieder betekent dat directe omzetderving; voor een gebruiksverantwoordelijke dat een proces dat op AI leunt, plotseling stilvalt. De bevoegdheid om boetes daadwerkelijk op te leggen, ligt bij de nationale toezichthouders en geldt sinds 2 augustus 2025; de handhavingsbevoegdheden van het AI Office voor GPAI gaan in op 2 augustus 2026 (zie de implementatietijdlijn van de EU AI Act).

AI Act, AVG en NIS2: hoe ze samenhangen

De AI Act staat niet op zichzelf. Voor de meeste organisaties grijpt de wet in op een bestaand compliancelandschap:

• AVG: regelt de verwerking van persoonsgegevens. Waar een AI-systeem persoonsgegevens verwerkt, gelden beide wetten naast elkaar. De AI Act vervangt de AVG niet; ze zijn complementair. Voor sommige hoog-risico-toepassingen schrijft artikel 27 van Verordening (EU) 2024/1689 een grondrechteneffectbeoordeling (FRIA) voor, die naast een eventuele DPIA komt.
• NIS2: stelt eisen aan de cyberweerbaarheid van essentiele en belangrijke entiteiten. De cybersecurity-eisen voor hoog-risico-AI (artikel 15) sluiten hierop aan: wie zijn NIS2-risicobeheer op orde heeft, heeft een deel van het fundament voor AI-compliance al staan.
• ISO-normen: ISO 27001 (informatiebeveiliging) en de nieuwere ISO 42001 (AI-managementsysteem) bieden een gestructureerde route om aantoonbaar in control te zijn.

In onze adviespraktijk behandelen we de AI Act daarom niet als een los project, maar als een uitbreiding van het bestaande GRC-raamwerk. Organisaties die ISO 27001 of NIS2 al serieus hebben opgepakt, hoeven het wiel niet opnieuw uit te vinden: governance, risicoregister en bewijsvoering zijn grotendeels herbruikbaar.

Wat moet u deze maand doen? Drie acties

1. Inventariseer uw AI-gebruik op use-caseniveau. Welke tools gebruiken medewerkers (Copilot, ChatGPT, eigen modellen)? Welke processen leunen op AI? Leg per toepassing vast: de use case, de leverancier en uw rol (aanbieder, gebruiksverantwoordelijke, importeur of distributeur). Begin bij de toepassing, niet bij de tool.
2. Classificeer het risico op hoofdlijnen. Bepaal per systeem: verboden, hoog risico, beperkt risico of minimaal. Bij twijfel: houd hoog risico aan tot u dat onderbouwd kunt uitsluiten. Zo voorkomt u dat u een hoog-risico-systeem per ongeluk te licht inschaalt.
3. Borg AI-geletterdheid (al verplicht sinds februari 2025). De plicht uit artikel 4 geldt al. Een korte, gedocumenteerde training voor iedereen die met AI werkt, is het minimum. Leg vast wie wanneer is getraind: dat is uw bewijs dat u maatregelen heeft genomen.

De logische vervolgstap is een gestructureerde implementatie, bijvoorbeeld via ISO 42001, de internationale norm voor AI-managementsystemen. Voor organisaties die al ISO 27001 hanteren, sluit ISO 42001 daar nauw op aan: dezelfde managementsysteemlogica, toegepast op AI-risico’s.

Wat dit betekent voor uw organisatie

Drie typen organisaties verdienen extra aandacht:

• MSP’s en IT-dienstverleners: vrijwel elke moderne managed service bevat AI-componenten, van monitoring en security-analytics tot geautomatiseerde remediatie. Classificeren per dienst is een doorlopende activiteit, geen eenmalige actie. En wie een AI-functie ingrijpend aanpast, kan zelf aanbieder worden (artikel 25).
• SaaS-leveranciers: AI-features in HR-, finance- of klantmodules kunnen u per use case aanbieder of gebruiksverantwoordelijke maken. Contractuele helderheid met klanten over wie welke rol draagt, is essentieel.
• Zorg- en publieke partijen: hier komt voor bepaalde hoog-risico-toepassingen de grondrechteneffectbeoordeling (FRIA) uit artikel 27 bovenop. Wij schreven daar een aparte verdieping over: AI Impact Assessment.

Voor de meeste organisaties is de kern dezelfde: weten welke AI u gebruikt, weten welk regime erop van toepassing is, en aantoonbaar in control zijn tegen de deadline die voor u geldt. Dat het uitstel via de Digital Omnibus de hoog-risico-datum naar 2 december 2027 schuift, betekent niet dat het werk kan wachten: de verboden praktijken en AI-geletterdheid gelden nu al, en een gedegen inventarisatie en classificatie kost maanden, geen middag.

Hoe Dxfferent helpt

Dxfferent begeleidt organisaties als onafhankelijk GRC- en compliance-adviseur. Voor de AI Act voeren wij een AI Act-readinessscan uit: een inventarisatie van uw AI-toepassingen op use-caseniveau, een risicoclassificatie per systeem, een gap-analyse tegen de verplichtingen die voor u gelden, en een prioriteitenrapport voor het bestuur. We sluiten aan op uw bestaande ISO 27001- of NIS2-structuur, zodat governance en bewijsvoering herbruikbaar blijven. Wij certificeren niet en zijn geen toezichthouder: wij leveren het advies en de structuur waarmee u zelf aantoonbaar in control komt.

Lees ook

• EU AI Act: wat betekent de AI-verordening voor uw organisatie?
• AI Act risicoclassificatie: beslisboom en voorbeelden per niveau
• AI Impact Assessment (FRIA): wanneer verplicht en hoe aan te pakken

Veelgestelde vragen over de AI Act

Wat is de AI Act in het kort?

De AI Act is Verordening (EU) 2024/1689, de eerste horizontale Europese wet die kunstmatige intelligentie reguleert op basis van risico. De wet verdeelt AI-systemen in vier categorieen (onaanvaardbaar, hoog, beperkt en minimaal risico) en stelt per categorie eisen, van een volledig verbod tot geen enkele verplichting. De verordening is op 1 augustus 2024 in werking getreden en faseert gespreid in tot 2027 en 2028.

Is de AI Act al van kracht?

Ja. De AI Act is sinds 1 augustus 2024 in werking en wordt gefaseerd handhaafbaar. De verboden praktijken en de plicht tot AI-geletterdheid gelden sinds 2 februari 2025, de GPAI-regels en het toezicht sinds 2 augustus 2025. De zware hoog-risico-verplichtingen zouden op 2 augustus 2026 ingaan, maar zijn via de Digital Omnibus uitgesteld tot 2 december 2027. Tot dat akkoord formeel is gepubliceerd, blijft 2 augustus 2026 juridisch de geldende datum.

Wat betekent AI Act in het Nederlands?

In het Nederlands heet de AI Act officieel de AI-verordening. Beide termen worden door de Nederlandse overheid en juristen door elkaar gebruikt. De volledige naam is Verordening (EU) 2024/1689.

Is de hoog-risico-deadline van 2 augustus 2026 uitgesteld?

Via de Digital Omnibus is op 7 mei 2026 een voorlopig politiek akkoord bereikt om de hoog-risico-verplichtingen voor Annex III-systemen uit te stellen naar 2 december 2027, en voor Annex I-systemen naar 2 augustus 2028. Dit uitstel is pas definitief zodra het formeel is aangenomen en in het Publicatieblad is gepubliceerd. Tot die tijd blijft 2 augustus 2026 de geldende datum, dus voorbereiden op die datum blijft verstandig.

Hoe hoog zijn de boetes onder de AI Act?

Voor verboden AI-praktijken loopt de boete op tot 35 miljoen euro of 7 procent van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Voor overtreding van de overige verplichtingen, waaronder de hoog-risico-eisen, geldt tot 15 miljoen euro of 3 procent. Voor onjuiste informatie aan toezichthouders tot 7,5 miljoen euro of 1 procent. Mkb en start-ups betalen het laagste van de twee bedragen.

Wie houdt toezicht op de AI Act in Nederland?

Het toezicht wordt verdeeld over circa tien autoriteiten. De Autoriteit Persoonsgegevens (AP) en de Rijksinspectie Digitale Infrastructuur (RDI) krijgen een coordinerende rol: de AP voor verboden praktijken, transparantie en grondrechten-gerelateerde hoog-risico-AI, de RDI als centraal aanspreekpunt (Single Point of Contact). Sectorale toezichthouders zoals DNB, AFM, NVWA en IGJ blijven binnen hun domein verantwoordelijk. Dit is vastgelegd in het voorstel voor de Uitvoeringswet AI-verordening, dat begin 2026 in consultatie is gegaan.

Wat is het verschil tussen de AI Act en de AVG?

De AVG regelt de verwerking van persoonsgegevens; de AI Act regelt het op de markt brengen en gebruiken van AI-systemen. Ze overlappen waar AI persoonsgegevens verwerkt, maar zijn complementair: ze gelden naast elkaar en de AI Act vervangt de AVG niet. Voor sommige hoog-risico-toepassingen schrijft de AI Act bovendien een grondrechteneffectbeoordeling (FRIA) voor, die naast een eventuele DPIA onder de AVG komt.