De EU AI Act treedt stapsgewijs in werking. Niet alle verplichtingen gelden tegelijkertijd. In dit artikel vindt u een helder overzicht van alle belangrijke deadlines, zodat u precies weet wat u wanneer moet regelen.
De AI Act is op 1 augustus 2024 officieel in werking getreden. Vanaf dat moment begonnen de klokken te tikken voor de verschillende overgangstermijnen. De wet hanteert een gefaseerde invoering om organisaties de tijd te geven zich voor te bereiden.
2 februari 2025: AI-geletterdheid en verboden AI
De eerste grote deadline was 2 februari 2025. Vanaf deze datum zijn twee belangrijke onderdelen van kracht geworden.
Ten eerste de AI-geletterdheidsplicht uit Artikel 4. Deze verplichting houdt in dat alle aanbieders en gebruiksverantwoordelijken van AI-systemen moeten zorgen dat hun personeel voldoende kennis en vaardigheden heeft op het gebied van AI. Dit geldt voor alle organisaties, ongeacht de risicocategorie van hun AI-systemen. Het gaat erom dat medewerkers begrijpen hoe AI werkt, welke risicos eraan verbonden zijn, en hoe ze er verantwoord mee omgaan.
Ten tweede zijn vanaf deze datum de AI-systemen met een onaanvaardbaar risico verboden. Dit betreft onder andere sociale kredietsystemen, bepaalde vormen van biometrische identificatie, en manipulatieve AI-technieken. Als uw organisatie dergelijke systemen gebruikt, had u deze al moeten uitfaseren.
2 augustus 2025: Gedragscodes en governance
Op 2 augustus 2025 worden de regels rondom gedragscodes en governance-structuren van kracht. Dit omvat de benoeming van nationale toezichthouders in alle EU-lidstaten en de oprichting van het Europees AI-bureau dat toezicht houdt op de naleving van de verordening. Voor individuele organisaties heeft deze deadline minder directe impact, maar het betekent wel dat het toezichtkader operationeel wordt.
2 augustus 2026: Hoog-risico AI-systemen
Dit is de deadline waar de meeste organisaties mee te maken krijgen. Vanaf 2 augustus 2026 gelden alle verplichtingen voor hoog-risico AI-systemen volledig. Dit betekent dat u voor deze datum het volgende geregeld moet hebben.
Een risicobeheersysteem voor elk hoog-risico AI-systeem. Technische documentatie die het systeem, de werking en de risicos beschrijft. Logging en monitoring van het AI-systeem. Menselijk toezicht op de werking van het systeem. Een conformiteitsbeoordeling (voor aanbieders). Registratie in de EU-databank voor hoog-risico AI-systemen.
Voor gebruiksverantwoordelijken (deployers) betekent dit concreet dat u moet documenteren hoe u hoog-risico AI-systemen gebruikt, dat u zorgt voor menselijk toezicht, dat u een Data Protection Impact Assessment (DPIA) uitvoert waar nodig, en dat u de conformiteitsverklaring van de aanbieder beschikbaar heeft.
Deze deadline is nog maar enkele maanden weg. Als u nog niet bent begonnen met de voorbereidingen, is het nu zaak om actie te ondernemen.
2 augustus 2027: General-purpose AI
De laatste grote deadline is 2 augustus 2027. Vanaf dan gelden de regels voor general-purpose AI-modellen (GPAI), zoals grote taalmodellen. Aanbieders van deze modellen moeten voldoen aan transparantieverplichtingen, technische documentatie verstrekken, en het EU-auteursrecht respecteren. Voor modellen met een systeemrisico gelden aanvullende verplichtingen, zoals het uitvoeren van evaluaties en het melden van ernstige incidenten.
Wat betekent dit voor uw planning?
Als ondernemer is het verstandig om nu een plan te maken. De AI-geletterdheidsplicht geldt al en wordt gehandhaafd. De deadline voor hoog-risico systemen in augustus 2026 nadert snel.
Begin met een inventarisatie van uw AI-gebruik. Stel vast welke systemen in de hoog-risico categorie vallen. Start met het opbouwen van uw AI-register en de bijbehorende documentatie. En zorg dat uw medewerkers de benodigde AI-training hebben gevolgd.
Onze AI Risicoscanner geeft u in vijf minuten inzicht in welke deadlines voor uw organisatie relevant zijn en welke acties u moet ondernemen.