EU AI Act compliance: stappenplan voor Nederlandse organisaties

Vanaf 2 augustus 2026 wordt er gehandhaafd. Dit is wat je voor die tijd geregeld wilt hebben.

Start gesprek

Gepubliceerd 11 juni 2026

De EU AI Act is sinds 1 augustus 2024 van kracht en wordt in fases ingevoerd. De belangrijkste datum voor Nederlandse organisaties: op 2 augustus 2026 wordt het Nederlandse toezicht operationeel en gelden de meeste verplichtingen volledig. Dit artikel zet op een rij wat de wet van je vraagt en in welke volgorde je het regelt.

Voor wie geldt de AI Act?

Kort antwoord: voor vrijwel iedere organisatie. De wet maakt onderscheid tussen aanbieders (die AI-systemen bouwen of verkopen) en gebruiksverantwoordelijken (die AI inzetten). Gebruik je als organisatie ChatGPT, Copilot of een AI-functie in je software, dan ben je gebruiksverantwoordelijke en gelden er verplichtingen, ongeacht je omvang.

De vier risicocategorieën

  • Onaanvaardbaar risico (verboden): social scoring, emotieherkenning op de werkvloer, manipulatieve AI. Verboden sinds 2 februari 2025.
  • Hoog risico: AI in werving en selectie, kredietbeoordeling, onderwijs, kritieke infrastructuur. Zware eisen: risicobeheer, documentatie, menselijk toezicht, registratie.
  • Beperkt risico: chatbots en AI-gegenereerde content. Transparantieplicht: gebruikers moeten weten dat ze met AI te maken hebben.
  • Minimaal risico: spamfilters, spellingscontrole. Geen aanvullende verplichtingen.

De meeste mkb-organisaties gebruiken AI in de categorieën beperkt en minimaal risico. Let op met AI in HR-processen: een CV-screeningtool valt al snel onder hoog risico.

De tijdlijn

  • 2 februari 2025: verboden praktijken van kracht, plus de AI-geletterdheidsplicht (artikel 4) voor iedereen die AI gebruikt.
  • 2 augustus 2025: regels voor general-purpose AI-modellen en de governance-structuur.
  • 2 augustus 2026: de meeste overige verplichtingen, waaronder die voor hoog-risicosystemen. Het Nederlandse toezicht- en sanctieregime is operationeel.
  • 2 augustus 2027: laatste verplichtingen voor hoog-risico-AI in gereguleerde producten.

Stappenplan: compliant in vijf stappen

1. Inventariseer je AI-gebruik

Breng in kaart welke AI-systemen je organisatie gebruikt, ook de onzichtbare: AI-functies in bestaande software, tools die medewerkers op eigen initiatief gebruiken. Zonder inventarisatie geen compliance.

2. Classificeer per risicocategorie

Bepaal per systeem de risicocategorie. Voor de meeste tools is dat beperkt of minimaal risico; markeer alles wat richting HR, financiële beslissingen of veiligheid gaat voor nader onderzoek.

3. Regel de geletterdheidsplicht

Artikel 4 verplicht sinds februari 2025 voldoende AI-geletterdheid bij medewerkers die met AI werken. Dit is de verplichting waar vrijwel iedere organisatie nu al aan moet voldoen. Een gerichte AI-geletterdheidstraining met verslaglegging maakt dit aantoonbaar.

4. Leg afspraken vast in een AI-beleid

Welke tools zijn toegestaan, welke data mag erin, wie is verantwoordelijk. Zie ons stappenplan voor het opstellen van een AI-beleid.

5. Toets transparantie en hoog-risicoverplichtingen

Gebruik je chatbots of AI-gegenereerde content richting klanten, regel dan de transparantiemeldingen. Heb je (mogelijk) hoog-risicosystemen, start dan nu met de documentatie- en toezichtseisen: die kosten maanden, geen weken.

Waar te beginnen

Stap 1 tot en met 4 zijn voor de meeste organisaties in enkele weken te regelen. Wil je zeker weten waar je staat, dan brengt onze AI Readiness Scan naast je AI-kansen ook je AI Act-compliance in kaart, inclusief prioriteitenlijst richting 2 augustus.

Veelgestelde vragen

Geldt de EU AI Act ook voor kleine bedrijven?

Ja. De AI Act kent geen mkb-uitzondering. Zodra je organisatie AI-systemen gebruikt, ook alleen ChatGPT of Copilot, gelden de geletterdheidsplicht (artikel 4) en de transparantieregels. De zwaardere verplichtingen gelden alleen voor hoog-risicosystemen.

Wat zijn de boetes onder de AI Act?

Verboden AI-praktijken: tot EUR 35 miljoen of 7% van de wereldwijde jaaromzet. De meeste andere overtredingen, waaronder de verplichtingen voor gebruikers: tot EUR 15 miljoen of 3% van de jaaromzet. Voor het mkb gelden dezelfde categorieën, waarbij het laagste van beide bedragen wordt toegepast.

Wie houdt in Nederland toezicht op de AI Act?

De Autoriteit Persoonsgegevens coördineert het algoritme- en AI-toezicht, samen met sectorale toezichthouders zoals de Rijksinspectie Digitale Infrastructuur. Het Nederlandse toezicht- en sanctieregime is vanaf 2 augustus 2026 operationeel.

Is een AI-beleid verplicht?

De AI Act schrijft geen los beleidsdocument voor, maar zonder vastgelegde afspraken kun je niet aantonen dat je aan artikel 4 en de transparantieregels voldoet. Een AI-beleid van twee A4 dekt voor de meeste mkb-organisaties de basis.

Start vandaag met AI

Laat je gegevens achter en we nemen binnen 24 uur contact op.

Of neem direct contact op: hello@aiheroes.io · 050-200 3373

Plan een kennismaking