In 2018, toen de AVG-handhaving begon, lieten onderzoeken zien dat 71 % van de bedrijven niet was voorbereid op compliance (ISACA). Sommige studies legden het cijfer nog hoger — Consultancy.eu vond dat 90 % van de Europese bedrijven niet klaar was.
De gevolgen van die onvoorbereidheid waren ernstig. AVG-boetes overschrijden inmiddels 7,1 miljard euro in meer dan 2.800 handhavingsacties, waarbij meer dan 60 % van die boetes is opgelegd sinds januari 2023 — jaren nadat de regelgeving van kracht werd. De grootste enkele boete bereikte 1,2 miljard euro (Meta, 2023).
De AI Act is gestructureerd om hetzelfde handhavingspatroon te volgen. Bedrijven die aannemen dat ze kunnen wachten en het later regelen, maken dezelfde fout die duizenden organisaties miljarden onder de AVG heeft gekost.
Zelfs EU-lidstaten lopen achter
De readinesskloof reikt voorbij de private sector. Per maart 2026 hebben slechts 8 van de 27 EU-lidstaten formeel nationale handhavingscontactpunten aangewezen — een vereiste die op 2 augustus 2025 moest zijn vervuld, zeven maanden geleden.
Finland staat alleen als eerste lidstaat met volledige AI Act-handhavingsbevoegdheden (bereikt in december 2025). Ondertussen hebben de Europese normalisatie-organen CEN en CENELEC hun deadline van 2025 voor de productie van geharmoniseerde technische normen gemist, waarbij het nieuwe doel naar eind 2026 is geschoven.
Wanneer de toezichthouders zelf achterlopen, signaleert dit zowel de complexiteit van compliance als de waarschijnlijkheid dat de handhaving agressief opschaalt zodra de infrastructuur op zijn plaats is — precies zoals bij de AVG.
Wat de AI Act feitelijk vereist
De verordening classificeert AI-systemen in vier risiconiveaus:
Verboden AI (reeds gehandhaafd sinds 2 februari 2025): sociale scoring, real-time biometrisch toezicht in openbare ruimten (met beperkte uitzonderingen), subliminale manipulatietechnieken en uitbuiting van kwetsbare groepen.
Hoogrisico-AI (handhaving begint 2 augustus 2026): AI-systemen gebruikt in werkgelegenheidsbeslissingen, kredietscoring, onderwijs, medische diagnostiek, rechtshandhaving, migratie en kritieke infrastructuur. Vereisen volledige conformiteitsbeoordelingen, risicobeheersystemen, menselijk toezicht en technische documentatie.
Beperkt risico-AI: chatbots, content-generatiesystemen en deepfake-tools. Brengen transparantieverplichtingen met zich mee — gebruikers moeten worden geïnformeerd dat ze met AI interageren.
Minimaal risico-AI: al het andere. Geen specifieke verplichtingen, hoewel vrijwillige gedragscodes worden aangemoedigd.
De Europese Commissie schat dat 10-18 % van alle AI-systemen in de EU als hoogrisico zullen worden geclassificeerd, wat een aanzienlijk deel van bedrijfskritische toepassingen vertegenwoordigt.
De kosten van compliance — en non-compliance
Onafhankelijk onderzoek van het CEPS (Centre for European Policy Studies) plaatst de compliancekosten voor één hoogrisico-AI-systeem op:
- Initiële compliance: 200.000 € – 500.000 €
- Opzetten kwaliteitsmanagementsysteem: 193.000 € – 330.000 €
- Conformiteitsbeoordeling: 30.000 € – 150.000 €
- Jaarlijkse post-market monitoring: 40.000 € – 80.000 €
Voor mkb schatten onafhankelijke studies de initiële compliancekosten op tot 600.000 € inclusief certificering en personeel, met jaarlijkse doorlopende kosten tot 150.000 €. Dit vertegenwoordigt een potentiële winstuitholling van 30-40 % voor kleinere bedrijven.
De totale marktbrede compliancekosten worden geschat tussen 1,6 miljard en 3,3 miljard euro.
Vergelijk die cijfers met de boetes voor non-compliance:
- Verboden praktijken: tot 35 M€ of 7 % van de wereldwijde jaaromzet
- Overtredingen hoogrisico-systemen: tot 15 M€ of 3 % van de wereldwijde omzet
- Onjuiste informatie: tot 7,5 M€ of 1 % van de wereldwijde omzet
Vijf kloven die we het vaakst zien
Op basis van ons werk met EU-bedrijven die hun AI Act-readiness beoordelen, zijn dit de meest voorkomende kloven:
1. Geen AI-systeeminventarisatie. De meeste bedrijven kunnen niet eens alle AI-systemen opsommen die ze gebruiken, laat staan het risiconiveau ervan classificeren. Shadow AI — tools die door individuele teams worden ingevoerd zonder centraal toezicht — verergert dit.
2. Ontbrekende risicobeheerdocumentatie. Artikel 9 vereist een gedocumenteerd risicobeheersysteem dat loopt gedurende de hele levenscyclus van het AI-systeem. De meeste bedrijven hebben niets vergelijkbaars.
3. Geen datagovernanceframework. Artikel 10 stelt specifieke eisen voor trainings-, validatie- en testdatasets. Bedrijven die modellen van derden gebruiken, hebben vaak geen zicht op trainingsdata.
4. Plannen voor menselijk toezicht bestaan niet. Artikel 14 vereist dat hoogrisico-AI-systemen zo zijn ontworpen dat effectief menselijk toezicht mogelijk is. Veel geautomatiseerde besluitvormingssystemen zijn specifiek gebouwd om menselijke betrokkenheid te minimaliseren.
5. Geen incidentmeldingsprocedures. Bedrijven zijn verplicht ernstige incidenten aan autoriteiten te melden. De meeste hebben geen proces voor het detecteren, documenteren of melden van AI-gerelateerde incidenten.
De voorgestelde vertraging is geen reden om te wachten
In maart 2026 stemde het Europees Parlement om de deadlines voor hoogrisico-AI-systemen mogelijk met maximaal 16 maanden te verlengen als onderdeel van het Digital Omnibus-pakket. Indien gefinaliseerd, zouden standalone hoogrisico-systemen tot december 2027 hebben.
Dit zou uw planning niet moeten veranderen. Het uitstelvoorstel wordt nog onderhandeld en kan niet doorgaan. Zelfs als het doorgaat, blijven de compliancevereisten identiek — alleen de handhavingsdatum schuift op. Bedrijven die een mogelijk uitstel als excuus gebruiken om te wachten, zullen zich in dezelfde haast bevinden die de AVG-readiness in 2018 kenmerkte.
Belangrijker: de AI-geletterdheidsverplichting (artikel 4) en het verbod op verboden praktijken zijn al van kracht sinds februari 2025. Bedrijven vallen al onder handhaving op deze bepalingen.
Wat te doen in de komende 90 dagen
Stap 1: Inventariseer uw AI-systemen. Documenteer elke AI-tool die uw organisatie gebruikt, wie het gebruikt, welke beslissingen het beïnvloedt en welke data het verwerkt. Inclusief AI-diensten van derden.
Stap 2: Classificeer risiconiveaus. Map elk systeem tegen de risicocategorieën van de AI Act. Besteed bijzondere aandacht aan AI gebruikt in HR, financiën, gezondheidszorg en klantgerichte besluitvorming. Gebruik onze gratis AI Act-readiness-checker voor een initiële beoordeling.
Stap 3: Kloofbeoordeling. Voor elk hoogrisico-systeem: beoordeel uw huidige status tegen artikelen 9-15 (risicobeheer, datagovernance, technische documentatie, registratie, transparantie, menselijk toezicht, nauwkeurigheid/robuustheid).
Stap 4: Wijs verantwoordelijkheid toe. Wijs een verantwoordelijke persoon of team aan voor AI Act-compliance. Dit is geen IT-probleem — het vereist coördinatie tussen juridisch, compliance en business units.
Stap 5: Begin met documentatie. Begin met het opbouwen van de technische documentatie vereist door artikel 11. Dit is de meest tijdrovende vereiste en kan niet in enkele weken worden gedaan.
Veelgestelde vragen
V: Wat is de handhavingsdeadline van de EU AI Act voor hoogrisico-AI-systemen?
A: De primaire handhavingsdeadline voor hoogrisico-AI-systemen volgens art. 6 en bijlage III is 2 augustus 2026. Elke organisatie die een hoogrisico-AI-systeem op de EU-markt brengt, moet conformiteitsbeoordeling, technische documentatie, risicobeheersystemen en registratie in de EU-database vóór deze datum hebben afgerond. Het verbod op verboden AI-praktijken (art. 5) is van kracht sinds 2 februari 2025, en de AI-geletterdheidsverplichting (art. 4) sinds dezelfde datum. Een voorgesteld uitstel onder het Digital Omnibus-pakket zou de hoogrisico-deadline kunnen verlengen tot december 2027, maar dit is nog niet gefinaliseerd en zou de voorbereidingstijdlijnen niet moeten veranderen.
V: Welk percentage bedrijven is momenteel voorbereid op de EU AI Act?
A: Slechts 36 % van de organisaties meldt goed voorbereid te zijn volgens Deloittes onderzoek van 2024 onder 700+ Europese senior leiders. Slechts 18 % beschouwt zichzelf als zeer voorbereid op AI-risico en governance. Dit betekent dat ruwweg twee van de drie EU-bedrijven zonder adequate voorbereiding op weg zijn naar de deadline van augustus 2026 — een weerspiegeling van de AVG-readinesskloof in 2018, die resulteerde in meer dan 7,1 miljard euro aan boetes in meer dan 2.800 handhavingsacties in de jaren na handhaving.
V: Hoeveel kost EU AI Act-compliance voor één hoogrisico-AI-systeem?
A: CEPS schat initiële compliancekosten op 200.000-500.000 € per hoogrisico-AI-systeem, met opzetten van kwaliteitsmanagementsysteem 193.000-330.000 € en conformiteitsbeoordeling 30.000-150.000 €. Jaarlijkse post-market monitoring voegt 40.000-80.000 € per systeem toe. Voor mkb kunnen totale eerstejaarskosten 600.000 € bereiken. Compliance-automatiseringsplatforms zoals Matproof kunnen deze kosten aanzienlijk verlagen door documentatie, risicobeheerworkflows en evidenceverzameling te stroomlijnen.
V: Wat zijn de meest voorkomende EU AI Act-compliancekloven?
A: De vijf meest voorkomende kloven zijn: (1) geen AI-systeeminventarisatie — organisaties kunnen niet alle in gebruik zijnde AI-tools identificeren, vooral shadow AI; (2) ontbrekende risicobeheerdocumentatie van art. 9; (3) geen datagovernanceframework van art. 10 voor trainingsdatasets; (4) plannen voor menselijk toezicht die niet voldoen aan art. 14-vereisten; en (5) geen incidentmeldingsprocedures voor art. 73-compliance. De inventarisatiekloof is fundamenteel — zonder te weten welke AI-systemen u exploiteert, is het onmogelijk om het classificatie- en complianceproces te beginnen.
V: Beïnvloedt het voorgestelde Digital Omnibus-uitstel het AI Act-compliancetijdpad?
A: Het Europees Parlement stemde in maart 2026 om de deadlines van hoogrisico-AI-systemen mogelijk met maximaal 16 maanden te verlengen, wat compliance van standalone hoogrisico-systemen tot december 2027 zou opschuiven. Dit voorstel wordt echter nog onderhandeld en zal mogelijk niet in zijn huidige vorm worden aangenomen. Belangrijker, de compliancevereisten zelf veranderen niet — alleen de handhavingsdatum zou verschuiven. Organisaties die het potentiële uitstel als rechtvaardiging gebruiken om de voorbereiding uit te stellen, lopen het risico dezelfde haast tegen te komen die de AVG-readiness in 2018 definieerde, toen 90 % van de bedrijven niet was voorbereid op het begin van de handhaving.
Methodologie
Dit rapport baseert zich op publiek beschikbare data uit Deloittes 2024 European AI Survey (700+ respondenten), institutionele EU-bronnen (Europees Parlement, Europese Commissie, AI Act Service Desk), CEPS-kostenanalyse, CMS GDPR Enforcement Tracker en ISACA-compliance-readinessonderzoeken. Matproofs eigen AI Act-readiness-assessments leverden aanvullend kwalitatief inzicht in veelvoorkomende compliancekloven.
Matproof automatiseert compliancebeheer over de EU AI Act, DORA, NIS2, AVG, ISO 27001 en 6 andere frameworks. Controleer uw AI Act-readiness gratis of verken het platform.