EU AI-verordening: Alles wat u moet weten in 2026
De EU AI-verordening (Verordening 2024/1689) is 's werelds eerste uitgebreide wet die kunstmatige intelligentie reguleert. Ze classificeert AI-systemen in vier risiconiveaus — verboden, hoog risico, beperkt risico en minimaal risico — en legt verplichte verplichtingen op aan aanbieders en gebruikers die actief zijn op de EU-markt. De volledige handhaving van de vereisten voor hoog-risico-AI begint op 2 augustus 2026, met boetes tot 35 miljoen euro of 7% van de wereldwijde jaaromzet bij overtredingen. Volgens een PwC-onderzoek heeft begin 2026 meer dan 70% van de Europese organisaties die AI gebruiken hun compliancevoorbereiding nog niet afgerond.
Deze samenvatting behandelt alles wat CTO's, compliance-officers en FG's moeten weten: voor wie de verordening geldt, hoe de risiconiveaus werken, wat de deadlines zijn, hoe de straffen eruitzien en welke stappen nu ondernomen moeten worden.
Doe de gratis AI Act Readiness Assessment om te evalueren waar uw organisatie momenteel staat.
Wat is de EU AI-verordening?
De EU AI-verordening is een verordening — geen richtlijn — wat betekent dat ze rechtstreeks van toepassing is in alle 27 EU-lidstaten zonder nationale omzetting. Ze werd ondertekend op 13 juni 2024, gepubliceerd in het Publicatieblad op 12 juli 2024 en trad in werking op 1 augustus 2024.
Haar kernobjectieven:
- Zorgen dat AI-systemen die op de EU-markt worden gebracht veilig zijn en fundamentele rechten respecteren
- Rechtszekerheid bieden voor investeringen en innovatie in AI
- Governance en handhaving van AI-regelgeving in de EU versterken
- Een eengemaakte markt faciliteren voor wettige, veilige en betrouwbare AI
De verordening volgt een risicogebaseerde aanpak: hoe groter het risico dat een AI-systeem vormt voor gezondheid, veiligheid of fundamentele rechten, hoe strenger de verplichtingen.
Kerngetallen
| Maatstaf | Waarde |
|---|---|
| Risiconiveaus | 4 (verboden, hoog risico, beperkt, minimaal) |
| Hoog-risico categorieën (Bijlage III) | 8 |
| Maximale boete | 35 M€ of 7% van de wereldwijde omzet |
| Geschatte hoog-risico AI-systemen in de EU | 15% van alle AI-systemen |
| Implementatietijdlijn | 3 fasen over 24 maanden |
| Gedekte EU-lidstaten | 27 |
Wie moet voldoen?
De AI-verordening is van toepassing op de volledige AI-waardeketen, ongeacht waar organisaties gevestigd zijn:
Aanbieders (ontwikkelaars)
- Bedrijven die AI-systemen ontwikkelen die op de EU-markt worden gebracht
- Aanbieders van AI-modellen voor algemene doeleinden (GPAI), inclusief ontwikkelaars van basismodellen
- Niet-EU-bedrijven waarvan de AI-output binnen de EU wordt gebruikt
- Productfabrikanten die AI integreren in gereguleerde producten
- Organisaties die AI-modellen van derden aanpassen of fine-tunen
Gebruikers (inzetters)
- Organisaties die hoog-risico AI-systemen inzetten binnen de EU
- Financiële instellingen die AI gebruiken voor kredietscoring of verzekeringsprijsstelling
- Werkgevers die AI gebruiken voor werving, prestatiebeoordeling of personeelsbeheer
- Zorgaanbieders die AI-diagnostische systemen gebruiken
- Overheidsinstanties die AI gebruiken voor dienstverlening of besluitvorming
Universele verplichtingen
Alle organisaties die AI in de EU gebruiken, moeten de AI-geletterdheid van hun personeel waarborgen (Art. 4), ongeacht de risicoklassificatie van hun AI-systeem. Deze verplichting is van kracht sinds 2 februari 2025.
De Europese Commissie schat dat de AI-verordening meer dan 6.000 aanbieders en tienduizenden gebruikers in de EU zal treffen.
De vier risiconiveaus
1. Verboden AI-praktijken (Art. 5) — Volledig verbod
Deze AI-toepassingen zijn illegaal in de EU. Overtredingen leiden tot de hoogste boetes: 35 miljoen euro of 7% van de wereldwijde omzet.
- Sociale scoring door overheidsinstanties
- Realtime biometrische identificatie op afstand in openbare ruimten (met beperkte uitzonderingen voor rechtshandhaving)
- Subliminale manipulatietechnieken die schade veroorzaken
- Uitbuiting van kwetsbaarheden op basis van leeftijd, handicap of economische situatie
- Emotieherkenning op werkplekken en in onderwijsinstellingen (met beperkte uitzonderingen)
- Niet-gerichte verzameling van gezichtsafbeeldingen van internet of CCTV
- Biometrische categorisering op basis van gevoelige kenmerken (ras, religie, seksuele geaardheid)
- Voorspellende politiepraktijken uitsluitend gebaseerd op profilering
Handhavingsdatum: 2 februari 2025 (al van kracht)
2. Hoog-risico AI-systemen (Art. 6, Bijlage III) — Strengste verplichtingen
Hoog-risico AI-systemen moeten voldoen aan 14 verplichte eisen op grond van Art. 9–15 voordat ze op de markt worden gebracht. Bijlage III definieert 8 categorieën:
| Categorie | Voorbeelden |
|---|---|
| 1. Biometrische identificatie | Gezichtsherkenning, vingerafdrukmatching |
| 2. Kritieke infrastructuur | Beheer van elektriciteitsnetwerken, AI voor waterbehandeling |
| 3. Onderwijs | Studentbeoordeling, examentoezicht, toelating |
| 4. Werkgelegenheid | CV-screening, interviewscoring, prestatiebeoordeling |
| 5. Essentiële diensten | Kredietscoring, verzekeringsrisico, geschiktheid voor sociale uitkeringen |
| 6. Rechtshandhaving | Voorspellende politietools, bewijsanalyse |
| 7. Migratie en grenscontrole | Visumverwerking, beoordeling van asielaanvragen |
| 8. Rechtsbedeling | Ondersteuning bij vonnissen, juridisch onderzoek via AI |
Verplichtingen van aanbieders voor hoog-risico AI:
- Risicobeheersysteem (Art. 9)
- Gegevensbeheer (Art. 10)
- Technische documentatie (Art. 11)
- Automatische gebeurtenisregistratie (Art. 12)
- Transparantie naar gebruikers (Art. 13)
- Ontwerp voor menselijk toezicht (Art. 14)
- Nauwkeurigheid, robuustheid en cyberbeveiliging (Art. 15)
- Kwaliteitsmanagementsysteem (Art. 17)
- Conformiteitsbeoordeling (Art. 43)
- Registratie in EU-database (Art. 49)
Handhavingsdatum: 2 augustus 2026
3. Beperkt-risico AI (Art. 50) — Transparantieverplichtingen
Deze AI-systemen moeten gebruikers informeren over hun AI-aard:
- Chatbots moeten gebruikers informeren dat ze met AI interageren
- Deepfakes en AI-gegenereerde inhoud moeten gelabeld worden
- Emotieherkenningssystemen moeten betrokkenen informeren
- Biometrische categoriseringssystemen moeten hun functie openbaar maken
Handhavingsdatum: 2 augustus 2026
4. Minimaal-risico AI — Geen specifieke verplichtingen
Alle andere AI-systemen (spamfilters, AI-gestuurde games, voorraadbeheer) hebben geen specifieke verplichtingen buiten de universele AI-geletterdheidseis. De Europese Commissie schat dat dit ongeveer 85% van alle AI-systemen in de EU omvat.
AI-modellen voor algemene doeleinden (GPAI)
De AI-verordening introduceert specifieke verplichtingen voor GPAI-modellen (Art. 53–55), erkennend de unieke uitdagingen die basismodellen zoals GPT, Claude en Gemini met zich meebrengen:
Alle GPAI-aanbieders moeten:
- Technische documentatie voorbereiden en bijhouden
- Informatie verstrekken aan downstream-aanbieders die hun modellen integreren
- Auteursrechtverplichtingen naleven
- Een samenvatting van trainingsdata publiceren
GPAI-modellen met systemisch risico (gebaseerd op cumulatief rekenwerk boven 10^25 FLOPs of aanwijzing door de Commissie) moeten bovendien:
- Modelevaluaties uitvoeren voor systemische risico's
- Adversarische tests uitvoeren (red-teaming)
- Ernstige incidenten melden aan het Europees AI-bureau
- Adequate cyberbeveiligingsbescherming waarborgen
Handhavingsdatum: 2 augustus 2025 (al van kracht)
Belangrijke deadlines
| Datum | Mijlpaal |
|---|---|
| 1 augustus 2024 | AI-verordening treedt in werking |
| 2 februari 2025 | Verboden AI-praktijken verboden; AI-geletterdheid vereist |
| 2 augustus 2025 | Verplichtingen GPAI-modellen van toepassing |
| 2 augustus 2026 | Volledige toepassing: hoog-risico AI, transparantie, conformiteitsbeoordeling |
| 2 augustus 2027 | Hoog-risico AI in Bijlage I-producten (bestaande EU-productveiligheidswetgeving) |
Sancties
De AI-verordening stelt een van de meest ingrijpende sanctieregimes van de EU in:
| Overtreding | Maximale boete |
|---|---|
| Verboden AI-praktijken (Art. 5) | 35 M€ of 7% van de wereldwijde jaaromzet |
| Niet-naleving hoog-risico AI (Art. 6–49) | 15 M€ of 3% van de wereldwijde jaaromzet |
| Misleidende informatie aan autoriteiten | 7,5 M€ of 1,5% van de wereldwijde jaaromzet |
| Proportionaliteit voor KMO's | Het laagste van het vaste bedrag of het procentuele plafond |
Ter vergelijking: de maximale boete van de AVG bedraagt 20 M€ of 4% van de omzet. Het hoogste niveau van de AI-verordening (7%) is de hoogste procentuele boete in de EU-digitale regelgeving.
Handhavingsinstanties:
- Europees AI-bureau — houdt rechtstreeks toezicht op GPAI-modelaanbieders
- Nationale bevoegde autoriteiten — handhaven binnen elke lidstaat
- Markttoezichtautoriteiten — onderzoeken en leggen corrigerende maatregelen op
Hoe u zich voorbereidt: 6-stappen compliance-routekaart
Stap 1: Inventarisatie AI-systemen
Maak een volledig overzicht van alle AI-systemen die uw organisatie ontwikkelt, inzet of gebruikt. Documenteer het doel, de data-inputs, de inzetcontext en de beslissingsreikwijdte van elk systeem. Volgens Gartner kan 40% van de organisaties niet nauwkeurig alle AI-systemen opsommen die ze exploiteren.
Stap 2: Risicoklassificatie
Classificeer elk AI-systeem op grond van Art. 5 (verboden), Art. 6 en Bijlage III (hoog risico) en Art. 50 (beperkt risico). Pas voor grensgevallen de uitzonderingscriteria van Art. 6(3) toe. Deze classificatie bepaalt uw volledige set complianceverplichtingen.
Stap 3: Kloofsanalyse
Beoordeel voor elk hoog-risicosysteem de huidige praktijken ten opzichte van de vereisten van Art. 9–15. Identificeer lacunes in risicobeheer, gegevensbeheer, documentatie, logging, transparantie, menselijk toezicht en nauwkeurigheid/robuustheid. Prioriteer op risico en implementatiecomplexiteit.
Stap 4: Maatregelen implementeren
Pak geïdentificeerde lacunes aan: bouw risicobeheersystemen (Art. 9), stel gegevensbeheer in (Art. 10), maak technische documentatie (Art. 11), implementeer logging (Art. 12) en ontwerp mechanismen voor menselijk toezicht (Art. 14). Een McKinsey-analyse schat dat deze fase voor de meeste organisaties 3–6 maanden duurt.
Stap 5: Conformiteitsbeoordeling
Bereid u voor op conformiteitsbeoordeling op grond van Art. 43. De meeste hoog-risicosystemen volgen het zelfbeoordelingstraject (Bijlage VI). Biometrische identificatiesystemen voor rechtshandhaving vereisen beoordeling door derden bij een aangemelde instantie (Bijlage VII). Bereid de EU-conformiteitsverklaring voor (Bijlage V) en de CE-markeringsdocumentatie.
Stap 6: Registreren en bewaken
Registreer hoog-risicosystemen in de EU-database (Art. 49). Implementeer post-markttoezicht (Art. 72), melding van ernstige incidenten (Art. 73) en doorlopende complianceprocessen. Integreer AI-verordening verplichtingen in uw bestaande GRC-kader.
Matproof automatiseert stappen 2–6 met AI-gestuurde risicoklassificatie, geautomatiseerde documentatiegeneratie en continue compliancemonitoring — vraag een demo aan om te zien hoe het werkt.
Veelgestelde vragen
Wat is de EU AI-verordening in eenvoudige woorden?
De EU AI-verordening is een wet die regelt hoe AI-systemen in Europa mogen worden ontwikkeld en gebruikt. Ze categoriseert AI op risiconiveau — sommige toepassingen zijn volledig verboden, hoog-risicotoepassingen staan voor strenge vereisten, en de meeste alledaagse AI heeft geen specifieke verplichtingen. Denk eraan als de AVG, maar voor kunstmatige intelligentie.
Geldt de EU AI-verordening ook buiten de EU?
Ja. Net als de AVG heeft de AI-verordening een extraterritoriaal bereik. Als de output van uw AI-systeem binnen de EU wordt gebruikt, of als u AI-systemen op de EU-markt brengt, moet u voldoen — ongeacht waar uw bedrijf gevestigd is (Art. 2).
Wat is het verschil tussen de EU AI-verordening en de AVG?
De AVG beschermt persoonsgegevens; de AI-verordening reguleert AI-systemen. Ze overlappen wanneer AI persoonsgegevens verwerkt (wat bij de meeste AI het geval is). Belangrijkste verschillen: de AI-verordening gebruikt een risicogebaseerd classificatiesysteem, vereist conformiteitsbeoordelingen voor hoog-risico AI en heeft hogere maximumboetes (7% vs. 4% van de omzet). De meeste organisaties moeten aan beide voldoen.
Hoeveel kost naleving van de EU AI-verordening?
De kosten variëren aanzienlijk naargelang de omvang van de organisatie en het AI-portfolio. De Europese Commissie schat compliancekosten van 6.000–7.000 € voor een AI-risicobeheersysteem en 3.000–7.500 € voor conformiteitsbeoordeling per hoog-risicosysteem. Organisaties met veel AI-systemen staan voor proportioneel hogere kosten, hoewel tools zoals Matproof de kosten met 60–80% kunnen verlagen door automatisering.
Is open-source AI vrijgesteld van de EU AI-verordening?
Gedeeltelijk. Open-source AI-modellen zijn vrijgesteld van de meeste verplichtingen voor aanbieders, maar moeten nog steeds voldoen aan Art. 5 (verboden praktijken) en moeten een samenvatting van trainingsdata publiceren. Als een open-source model wordt gebruikt in een hoog-risicotoepassing, draagt de gebruiker de complianceverplichtingen.
Wat gebeurt er als ik niet voldoe vóór 2 augustus 2026?
Nationale markttoezichtautoriteiten kunnen onderzoeken instellen, boetes opleggen (tot 35 M€/7% van de omzet), de terugtrekking van AI-systemen van de markt gelasten of hun gebruik beperken. Naast financiële sancties riskeert niet-naleving reputatieschade en verlies van klantvertrouwen.