EU AI-verordening: 8 stappen naar compliance vóór augustus 2026
Naleving van de EU AI-verordening vereist dat organisaties alle AI-systemen inventariseren, ze op risiconiveau classificeren op grond van Art. 6 en Bijlage III, risicobeheersystemen implementeren (Art. 9), gegevensbeheer vestigen (Art. 10), technische documentatie creëren (Art. 11), menselijk toezicht ontwerpen (Art. 14), conformiteitsbeoordelingen afronden (Art. 43) en hoog-risico systemen registreren in de EU-database (Art. 49) — alles vóór 2 augustus 2026. Met boetes tot 35 miljoen euro of 7% van de wereldwijde jaaromzet voor verboden praktijken en 15 miljoen euro of 3% voor hoog-risico-overtredingen, schat de Europese Commissie de compliancekosten op 6.000–7.500 € per hoog-risico AI-systeem. Toch heeft volgens een Deloitte-enquête van 2025 slechts 29% van de Europese organisaties begonnen met gestructureerde voorbereiding op de AI-verordening.
Deze gids biedt een praktische, stapsgewijze implementatieroutekaart met tijdlijnen, kostenschattingen en concrete deliverables voor elke stap.
Doe de gratis AI Act Readiness Assessment om uw startpunt te begrijpen.
Voordat u begint: Realiteitscheck van de tijdlijn
Met nog ongeveer 3,5 maanden tot de deadline van 2 augustus 2026, hier een realistische implementatietijdlijn:
| Stap | Duur | Aanbevolen start |
|---|---|---|
| 1. AI-systeeminventaris | 2–3 weken | Direct |
| 2. Risicoklassificatie | 2–3 weken | Week 3 |
| 3. Controle verboden praktijken | 1 week | Week 5 |
| 4. Risicobeheersysteem | 4–6 weken | Week 6 |
| 5. Gegevensbeheer | 3–4 weken | Week 6 (parallel) |
| 6. Technische documentatie | 4–6 weken | Week 10 |
| 7. Conformiteitsbeoordeling | 2–4 weken | Week 14 |
| 8. Registratie en bewaking | 1–2 weken | Week 16 |
Totaal geschatte tijd: 16–18 weken (4–4,5 maanden). Als u nog niet begonnen bent, sluit het venster snel.
Stap 1: Alle AI-systemen inventariseren
Doel: Maak een volledig, nauwkeurig overzicht van elk AI-systeem dat uw organisatie ontwikkelt, inzet of gebruikt.
Waarom dit belangrijk is: U kunt niet classificeren wat u niet kunt zien. Volgens Gartner kan 40% van de organisaties niet nauwkeurig alle AI-systemen opsommen die ze exploiteren. Shadow AI — systemen die individuele teams hebben aangenomen zonder centraal toezicht — is het grootste compliance blinde vlak.
Wat voor elk systeem te documenteren:
- Systeemnaam en versie
- Aanbieder (intern of derde partij)
- Doel en beoogd gebruik
- Data-inputs en -outputs
- Inzetcontext (welke bedrijfseenheid, welke geografie)
- Beslissingsreikwijdte (adviserend vs. autonoom)
- Aantal getroffen personen
Deliverable: AI-systeemregister — een levend document dat de basis vormt voor alle volgende complianceactiviteiten.
Kostenschatting: 2.000–5.000 € (interne inspanning) of 5.000–15.000 € (met externe ondersteuning).
Veelvoorkomende valkuil: Zich alleen richten op ML-modellen. De definitie van "AI-systeem" in de verordening (Art. 3(1)) omvat machine learning-benaderingen, op logica gebaseerde systemen en statistische benaderingen. Zorg ervoor dat uw inventaris op regels gebaseerde AI, expertsystemen en geautomatiseerde besluitvormingstools vastlegt naast neurale netwerken.
Stap 2: Elk systeem classificeren op risiconiveau
Doel: Bepaal tot welk risiconiveau elk AI-systeem behoort op grond van Art. 5–7 en Bijlage III.
Het classificatiekader:
| Risiconiveau | Trigger | Verplichting |
|---|---|---|
| Verboden (Art. 5) | Sociale scoring, subliminale manipulatie, emotieherkenning op het werk/school | Moet worden stopgezet |
| Hoog risico (Art. 6, Bijlage III) | AI in biometrie, kritieke infrastructuur, onderwijs, werkgelegenheid, essentiële diensten, rechtshandhaving, migratie, justitie | Volledige naleving Art. 9–15 |
| Beperkt risico (Art. 50) | Chatbots, deepfakes, emotieherkenning, biometrische categorisering | Transparantieopenbaarmaking |
| Minimaal risico | Al het andere | Alleen AI-geletterdheid |
Belangrijke beslispunten:
- Valt het systeem onder een verbod uit Art. 5? → Zo ja, direct stoppen.
- Is het systeem opgenomen in Bijlage III of is het een veiligheidscomponent van een Bijlage I-product? → Zo ja, hoog risico.
- Is de uitzondering van Art. 6(3) van toepassing? → Het systeem is geen hoog risico als het geen significant risico op schade vormt, de besluitvorming niet wezenlijk beïnvloedt en niet wordt gebruikt om personen te profileren.
- Communiceert het systeem met personen of genereert het inhoud? → Zo ja, transparantieverplichtingen Art. 50 controleren.
Deliverable: Risicoklassificatieregister met gedocumenteerde motivering voor elke classificatiebeslissing.
Kostenschatting: 3.000–8.000 € afhankelijk van de omvang van het AI-portfolio.
Stap 3: Verboden praktijken controleren
Doel: Verifieer dat geen enkel AI-systeem in uw portfolio de verboden van Art. 5 schendt.
Deze stap is urgent: Verboden praktijken zijn verboden sinds 2 februari 2025. Als u nog steeds verboden AI exploiteert, bent u al in overtreding met een blootstelling van 35 miljoen euro of 7% van de omzet.
Controlelijst verboden Art. 5:
- Geen AI-systeem gebruikt subliminale technieken om gedrag te manipuleren dat schade veroorzaakt
- Geen sociaal scoresysteem is in gebruik
- Geen realtime biometrische identificatie in openbare ruimten (tenzij de beperkte uitzondering voor rechtshandhaving van toepassing is)
- Geen systeem exploiteert kwetsbaarheden van specifieke groepen (leeftijd, handicap, economische situatie)
- Geen emotieherkenning op werkplekken of in onderwijsinstellingen (tenzij voor medische of veiligheidsdoeleinden)
- Geen niet-gerichte verzameling van gezichtsafbeeldingen voor herkennisdatabases
- Geen biometrische categorisering op basis van gevoelige kenmerken
- Geen voorspellende politiepraktijken uitsluitend gebaseerd op profilering
Deliverable: Art. 5 Nalevingscertificaat — een formele bevestiging dat er geen verboden praktijken worden gebruikt.
Stap 4: Risicobeheersystemen implementeren (Art. 9)
Doel: Bouw een continu, iteratief risicobeheersysteem voor elk hoog-risico AI-systeem.
Art. 9 vereist vier fasen:
- Risicoidentificatie: Bekende en redelijkerwijs voorzienbare risico's identificeren die voortvloeien uit het beoogde gebruik en het voorzienbaar misbruik
- Risicoanalyse: De waarschijnlijkheid en ernst van elk geïdentificeerd risico schatten
- Risicobeoordeling: Bepalen of restrisico's acceptabel zijn gezien de voordelen
- Risicomitigatie: Technische en organisatorische maatregelen implementeren om risico's te verminderen
Belangrijke vereisten:
- Het risicobeheersysteem moet de volledige levenscyclus van de AI omvatten — ontwerp, ontwikkeling, inzet en post-markt
- Het moet regelmatig worden bijgewerkt op basis van post-marktbewakingsgegevens
- Tests moeten valideren dat restrisico's acceptabel zijn (Art. 9(7))
- Tests moeten worden uitgevoerd aan de hand van vooraf bepaalde meetwaarden die passend zijn voor het doel van het systeem
Deliverable: Risicobeheersysteem per hoog-risico AI-systeem, inclusief risicoregister, mitigatiemaatregelen en testprotocollen.
Kostenschatting: 6.000–7.000 € per systeem (schatting Europese Commissie).
Stap 5: Gegevensbeheer vestigen (Art. 10)
Doel: Zorgen dat trainings-, validatie- en testdatasets voldoen aan de kwaliteitsvereisten van de verordening.
Art. 10 verplicht:
- Kwaliteit, relevantie en representativiteit van gegevens
- Onderzoek naar potentiële vooroordelen, met name met betrekking tot beschermde kenmerken
- Passende statistische eigenschappen voor het beoogde geografische, gedragsmatige of functionele kader
- Identificatie en herstel van gegevenslacunes
- Waarborgen voor persoonsgegevens waar biasbewaking dit vereist
Praktische implementatie:
- De herkomst van alle trainingsdatasets documenteren
- Gegevenskwaliteitscontroles implementeren (volledigheid, nauwkeurigheid, consistentie)
- Biasanalyses uitvoeren over beschermde kenmerken (geslacht, leeftijd, etniciteit, handicap)
- Valideren dat datasets representatief zijn voor de doelpopulatie
- Gegevensversionering en lineage-tracking vestigen
Deliverable: Gegevensbeheerframework met kwaliteitsmetrieken, biasrapporten en datasetdocumentatie.
Stap 6: Technische documentatie creëren (Art. 11, Bijlage IV)
Doel: Uitgebreide technische documentatie voorbereiden voor elk hoog-risico AI-systeem voordat het op de markt wordt gebracht.
Bijlage IV vereist documentatie die omvat:
- Algemene beschrijving (doel, ontwikkelaar, versie, systeemarchitectuur)
- Gedetailleerde beschrijving van de elementen en het ontwikkelproces
- Bewakings-, functionerings- en controlemechanismen
- Informatie over het risicobeheersysteem
- Gegevensbeheerpraktijken en datasetbeschrijvingen
- Metriken gebruikt om nauwkeurigheid, robuustheid en cyberbeveiliging te meten
- A priori bepaalde prestatiemetriken
- Beschrijving van menselijke toezichtsmaatregelen
- Verwachte levensduur en onderhoudsprocedures
Documentatie moet:
- Vóór de marktintroductie van het systeem worden opgesteld
- Up-to-date gehouden worden gedurende de gehele levenscyclus van het systeem
- Beschikbaar zijn voor nationale bevoegde autoriteiten op verzoek
Deliverable: Bijlage IV Technische Documentatiepakket per hoog-risicosysteem.
Kostenschatting: 2.000–5.000 € per systeem (aanzienlijk minder met geautomatiseerde documentatietools).
Matproof automatiseert de generatie van Bijlage IV-documentatie — zie hoe het werkt.
Stap 7: Conformiteitsbeoordeling afronden (Art. 43)
Doel: Aantonen dat uw hoog-risico AI-systeem voldoet aan alle toepasselijke vereisten.
Twee trajecten bestaan:
| Traject | Van toepassing op | Proces |
|---|---|---|
| Zelfbeoordeling (Bijlage VI) | De meeste hoog-risicosystemen | Interne audit van kwaliteitsmanagementsysteem |
| Beoordeling door derden (Bijlage VII) | Biometrische identificatie voor rechtshandhaving | Beoordeling door aangemelde instantie |
De Europese Commissie schat dat 85% van de hoog-risico AI-systemen het zelfbeoordelingstraject zal volgen.
Stappen voor zelfbeoordeling:
- Naleving van het kwaliteitsmanagementsysteem verifiëren (Art. 17)
- Volledigheid van de technische documentatie beoordelen (Bijlage IV)
- Verifiëren dat aan alle vereisten Art. 9–15 wordt voldaan
- EU-conformiteitsverklaring opstellen (Bijlage V)
- CE-markering aanbrengen
- Registreren in EU-database (Art. 49)
Deliverable: EU-conformiteitsverklaring + CE-markeringsdocumentatie.
Kostenschatting: 3.000–7.500 € per systeem (schatting Europese Commissie).
Stap 8: Registreren en doorlopende bewaking instellen
Doel: Hoog-risicosystemen registreren en continue complianceprocessen vestigen.
Registratie (Art. 49):
- Elk hoog-risico AI-systeem registreren in de EU-database vóór de marktintroductie
- Systeembeschrijving, beoogd gebruik, resultaten van conformiteitsbeoordeling en contactgegevens opnemen
- Registratiegegevens up-to-date houden
Post-marktbewaking (Art. 72):
- Proportioneel post-marktbewakingssysteem vestigen
- Gegevens verzamelen en analyseren over de prestaties van AI-systemen in reële omstandigheden
- Ernstige incidenten documenteren en analyseren
Melding van ernstige incidenten (Art. 73):
- Incidenten melden die leiden tot overlijden, ernstige gezondheidsschade, verstoring van kritieke infrastructuur of ernstige schade aan fundamentele rechten
- Meldingstermijn: binnen 15 dagen na kennis van het incident
Deliverable: Post-marktbewakingsplan + Incident Response Procedure.
Kostensamenvatting
| Stap | Geschatte kosten per systeem |
|---|---|
| AI-systeeminventaris | 2.000–5.000 € (eenmalig) |
| Risicoklassificatie | 3.000–8.000 € (eenmalig) |
| Controle verboden praktijken | 1.000–2.000 € (eenmalig) |
| Risicobeheersysteem | 6.000–7.000 € |
| Gegevensbeheer | 3.000–6.000 € |
| Technische documentatie | 2.000–5.000 € |
| Conformiteitsbeoordeling | 3.000–7.500 € |
| Registratie en bewaking | 1.000–3.000 €/jaar |
| Totaal (eerste jaar) | 21.000–43.500 € per hoog-risicosysteem |
Organisaties met 5–10 hoog-risico AI-systemen moeten 100.000–400.000 € budgetteren voor compliance. Automatiseringstools zoals Matproof kunnen dit met 40–70% verminderen.
Veelgestelde vragen
Hoe lang duurt naleving van de EU AI-verordening?
Voor een organisatie die van scratch begint, reken op 4–6 maanden voor een compleet complianceprogramma dat inventarisatie, classificatie, risicobeheer, documentatie en conformiteitsbeoordeling omvat. Organisaties met bestaande GRC-kaders kunnen dit vaak in 2–3 maanden afronden.
Heb ik voor elk AI-systeem een conformiteitsbeoordeling nodig?
Nee — alleen voor hoog-risico AI-systemen geclassificeerd op grond van Art. 6 en Bijlage III. Minimaal-risico en beperkt-risico systemen vereisen geen conformiteitsbeoordelingen. De Europese Commissie schat dat slechts 15% van de AI-systemen in de EU als hoog risico zal worden geclassificeerd.
Kan ik na 2 augustus 2026 beginnen met compliance?
De verordening heeft geen uitloopperiode. Vanaf 2 augustus 2026 zijn alle hoog-risico AI-vereisten afdwingbaar. Systemen die al op de markt zijn, moeten voldoen. Nieuwe systemen kunnen niet op de markt worden gebracht zonder voltooide conformiteitsbeoordeling.
Wat als mijn AI-systeem door een derde partij wordt geleverd?
Als gebruiker heeft u afzonderlijke verplichtingen op grond van Art. 26 — waaronder het gebruik van het systeem in overeenstemming met de instructies van de aanbieder, implementatie van menselijk toezicht, bewaking van de werking van het systeem en melding van incidenten. U hoeft de conformiteitsbeoordeling van de aanbieder niet te herhalen, maar u moet verifiëren dat hij er een heeft voltooid.
Is er een verschil tussen naleving van de EU AI-verordening en ISO 42001-certificering?
Ja. ISO 42001 is een vrijwillige norm voor AI-managementsystemen. Naleving van de EU AI-verordening is een wettelijke vereiste met afdwingbare sancties. ISO 42001-certificering kan uw nalevingszaak ondersteunen maar garandeert dit niet — de AI-verordening heeft specifieke vereisten (conformiteitsbeoordelingen, CE-markering, EU-databaseregistratie) die verder gaan dan ISO 42001.