EU AI Act Compliance: De complete gids voor 2026
Inleiding
De Europese AI-verordening (Verordening (EU) 2024/1689) is op 1 augustus 2024 in werking getreden en wordt gefaseerd van toepassing. Voor organisaties die AI-systemen ontwikkelen, implementeren of gebruiken binnen de EU, is 2026 het jaar van de waarheid. De eerste verboden op onaanvaardbare AI-systemen gelden al sinds februari 2025. Vanaf augustus 2026 worden de volledige verplichtingen voor hoog-risico AI-systemen van kracht.
Dit artikel biedt een praktische, stapsgewijze gids voor compliance met de AI-verordening. Of u nu een compliance officer bent bij een financiele instelling, CTO van een techbedrijf of juridisch adviseur: deze gids helpt u de complexiteit van de verordening te doorgronden en uw organisatie tijdig voor te bereiden.
Wilt u direct weten waar uw organisatie staat? Doe de Gratis AI Act Readiness Assessment en ontvang een gepersonaliseerd rapport.
Waarom de AI-verordening nu urgent is
De AI-verordening is niet zomaar een Europese richtlijn. Het is de eerste uitgebreide wet ter wereld die artificiële intelligentie reguleert. De verordening heeft extraterritoriale werking: ook organisaties buiten de EU die AI-systemen op de Europese markt aanbieden, vallen eronder.
De urgentie wordt bepaald door drie factoren:
- Hoge boetes: Overtredingen kunnen leiden tot boetes tot 35 miljoen euro of 7% van de wereldwijde jaaromzet (Artikel 99), afhankelijk van welk bedrag hoger is.
- Gefaseerde deadlines: De verplichtingen worden stapsgewijs van toepassing, wat betekent dat organisaties nu al moeten handelen.
- Marktdruk: Klanten, partners en toezichthouders verwachten steeds vaker transparantie over het gebruik van AI.
De tijdlijn: belangrijke deadlines
De AI-verordening kent een gefaseerde inwerkingtreding:
| Datum | Wat wordt van toepassing |
|---|---|
| 2 februari 2025 | Verboden AI-praktijken (Titel II) en AI-geletterdheidsverplichtingen (Artikel 4) |
| 2 augustus 2025 | Verplichtingen voor AI-modellen voor algemene doeleinden (Titel V) |
| 2 augustus 2026 | Volledige verplichtingen voor hoog-risico AI-systemen (Titel III), transparantieverplichtingen en handhavingsmechanismen |
| 2 augustus 2027 | Verplichtingen voor hoog-risico AI-systemen die onder sectorale wetgeving vallen (Bijlage I) |
Het risicogebaseerde raamwerk
De kern van de AI-verordening is een risicogebaseerde benadering. AI-systemen worden ingedeeld in vier categorieen:
1. Onaanvaardbaar risico (verboden)
Deze AI-systemen zijn volledig verboden (Artikel 5):
- Manipulatieve technieken die schade veroorzaken
- Exploitatie van kwetsbaarheden van specifieke groepen
- Social scoring door overheden
- Realtime biometrische identificatie op afstand in openbare ruimten voor rechtshandhaving (met beperkte uitzonderingen)
- Emotieherkenning op de werkplek en in het onderwijs
- Scraping van gezichtsbeelden van het internet voor biometrische databanken
2. Hoog risico
Hoog-risico AI-systemen zijn onderworpen aan strenge eisen (Artikelen 6-27). Dit omvat systemen die worden gebruikt in:
- Biometrische identificatie
- Beheer van kritieke infrastructuur
- Onderwijs en beroepsopleiding
- Werkgelegenheid en personeelsbeheer
- Toegang tot essentiele diensten
- Rechtshandhaving
- Migratie en grensbeheer
- Rechtsbedeling en democratische processen
3. Beperkt risico (transparantieverplichtingen)
AI-systemen met een beperkt risico moeten voldoen aan specifieke transparantieverplichtingen (Artikel 50):
- Chatbots moeten gebruikers informeren dat ze met AI communiceren
- Deepfakes en AI-gegenereerde content moeten als zodanig worden gelabeld
- Emotieherkenningssystemen moeten gebruikers informeren
4. Minimaal risico
AI-systemen met een minimaal risico (zoals spamfilters of AI in videogames) zijn grotendeels vrijgesteld van specifieke verplichtingen, maar moeten wel voldoen aan de algemene AI-geletterdheidseis (Artikel 4).
Stapsgewijs naar compliance
Stap 1: AI-inventarisatie
Begin met een volledige inventarisatie van alle AI-systemen binnen uw organisatie. Dit omvat:
- Intern ontwikkelde AI-systemen
- AI-systemen van derde partijen
- AI-componenten in bestaande software
- AI-modellen die worden gebruikt voor besluitvorming
Documenteer voor elk systeem het doel, de gebruikte data, de betrokken personen en de potentiele impact.
Stap 2: Risicoklassificatie
Classificeer elk AI-systeem volgens het risicogebaseerde raamwerk van de verordening. Raadpleeg Bijlage III voor de volledige lijst van hoog-risico AI-systemen. Let op: de classificatie hangt af van het beoogde doel van het systeem, niet alleen van de onderliggende technologie.
Stap 3: Gap-analyse
Vergelijk uw huidige processen met de vereisten van de verordening:
- Risicomanagementsysteem (Artikel 9): Is er een doorlopend risicomanagementproces?
- Data governance (Artikel 10): Voldoen trainings-, validatie- en testdatasets aan de kwaliteitseisen?
- Technische documentatie (Artikel 11): Is de documentatie compleet en actueel?
- Logging en traceerbaarheid (Artikel 12): Worden activiteiten automatisch gelogd?
- Transparantie (Artikel 13): Zijn gebruiksinstructies voldoende duidelijk?
- Menselijk toezicht (Artikel 14): Zijn er adequate mechanismen voor menselijke controle?
- Nauwkeurigheid en robuustheid (Artikel 15): Voldoet het systeem aan de vereiste prestatie-eisen?
Stap 4: Conformiteitsbeoordeling
Voor hoog-risico AI-systemen is een conformiteitsbeoordeling vereist voordat het systeem op de markt mag worden gebracht (Artikel 43). Afhankelijk van het type systeem kan dit een interne beoordeling zijn of een beoordeling door een aangemelde instantie (notified body).
Stap 5: Registratie en monitoring
Hoog-risico AI-systemen moeten worden geregistreerd in de EU-databank (Artikel 49). Daarnaast moet u een systeem voor post-market monitoring opzetten (Artikel 72) om de prestaties van het AI-systeem doorlopend te bewaken.
Stap 6: Continue compliance
Compliance is geen eenmalig project. De verordening vereist:
- Doorlopende monitoring en evaluatie
- Regelmatige updates van technische documentatie
- Melden van ernstige incidenten (Artikel 73)
- Bijhouden van relevante ontwikkelingen in de stand van de techniek
AI-geletterdheid: een verplichting voor iedereen
Een vaak over het hoofd gezien aspect is Artikel 4 van de AI-verordening, dat vereist dat aanbieders en gebruikers van AI-systemen maatregelen nemen om een voldoende mate van AI-geletterdheid te waarborgen bij hun personeel. Deze verplichting geldt sinds februari 2025 en is van toepassing op alle organisaties die AI-systemen gebruiken, ongeacht het risiconiveau.
Concreet betekent dit dat u moet investeren in:
- Trainingsprogramma's voor medewerkers die met AI werken
- Bewustwording van AI-risico's en -beperkingen
- Documentatie van genomen maatregelen
Compliance automatiseren met Matproof
Het handmatig bijhouden van alle vereisten, documentatie en deadlines is tijdrovend en foutgevoelig. Matproof biedt een geautomatiseerd compliance platform dat specifiek is ontworpen voor Europese regelgeving, waaronder de AI-verordening.
Met Matproof kunt u:
- Uw AI-systemen classificeren en documenteren
- Automatisch gap-analyses uitvoeren
- Technische documentatie genereren en beheren
- Compliance-voortgang monitoren via real-time dashboards
- Audit trails opbouwen voor toezichthouders
Gratis proberen en ontdek hoe Matproof uw AI Act compliance vereenvoudigt.
Veelgestelde vragen
Q: Is de AI-verordening alleen van toepassing op bedrijven die AI ontwikkelen?
A: Nee. De verordening is van toepassing op aanbieders (ontwikkelaars), gebruikers (deployers), importeurs en distributeurs van AI-systemen. Als u een AI-systeem van een derde partij gebruikt voor bedrijfskritische beslissingen, heeft u verplichtingen als gebruiker onder de verordening.
Q: Wat als mijn organisatie buiten de EU is gevestigd?
A: De AI-verordening heeft extraterritoriale werking. Als u AI-systemen op de EU-markt plaatst of als de output van uw AI-systeem in de EU wordt gebruikt, valt u onder de verordening. U moet dan een gemachtigde vertegenwoordiger in de EU aanstellen (Artikel 22).
Q: Hoe verschilt de AI-verordening van de AVG?
A: De AVG richt zich op persoonsgegevens en gegevensbescherming. De AI-verordening reguleert AI-systemen op basis van risico, ongeacht of er persoonsgegevens bij betrokken zijn. Beide verordeningen kunnen gelijktijdig van toepassing zijn. Lees meer in ons artikel over AI-verordening vs AVG.
Q: Wat is de rol van nationale toezichthouders?
A: Elke EU-lidstaat wijst een of meer nationale bevoegde autoriteiten aan als markttoezichtautoriteit. In Nederland zal de Autoriteit Persoonsgegevens (AP) optreden als toezichthouder voor de AI-verordening, in samenwerking met sectorale toezichthouders zoals DNB en de AFM.
Q: Moet ik een conformiteitsbeoordeling laten uitvoeren door een externe partij?
A: Dat hangt af van het type AI-systeem. Voor de meeste hoog-risico AI-systemen is een interne conformiteitsbeoordeling voldoende (Bijlage VI). Voor biometrische identificatiesystemen en enkele andere specifieke categorieen is een beoordeling door een aangemelde instantie vereist (Bijlage VII).
Q: Hoeveel tijd moet ik rekenen voor het compliance-traject?
A: Afhankelijk van de complexiteit en het aantal AI-systemen moet u rekenen op 6 tot 18 maanden. Begin zo snel mogelijk met een AI-inventarisatie en gap-analyse. Doe nu de Gratis AI Act Readiness Assessment om een eerste inschatting te krijgen.
Conclusie
De EU AI-verordening vertegenwoordigt een fundamentele verschuiving in hoe Europa omgaat met artificiële intelligentie. Met boetes tot 35 miljoen euro en toenemende handhaving is tijdige compliance geen luxe maar een noodzaak. De gefaseerde inwerkingtreding biedt organisaties de kans om stapsgewijs aan de eisen te voldoen, maar de tijd dringt.
Begin vandaag nog met uw AI-inventarisatie, classificeer uw systemen en stel een compliance-roadmap op. Met de juiste tools en aanpak is compliance haalbaar voor elke organisatie.