De Europese AI-verordening is de eerste horizontale AI-wet ter wereld. Hieronder leest u wat de wet betekent, welke deadlines gelden, wat de boetes zijn en hoe u stap voor stap voldoet. Met directe verwijzingen naar de officiele wettekst en Nederlandse toezichthouders.
De EU AI Act is de korte naam voor Verordening (EU) 2024/1689, aangenomen op 13 juni 2024 en gepubliceerd in het Publicatieblad op 12 juli 2024. De wet is op 1 augustus 2024 in werking getreden en wordt gefaseerd toegepast tot en met 2027 (en deels 2028).
De kern van de wet is een risicogebaseerde aanpak. Hoe hoger het risico dat een AI-systeem oplevert voor gezondheid, veiligheid of grondrechten, hoe strenger de verplichtingen die eraan gesteld worden. Dat principe vertaalt zich in vier risicocategorieen:
De wet onderscheidt twee hoofdrollen, en u kunt beide tegelijk vervullen:
U ontwikkelt of laat een AI-systeem ontwikkelen en brengt het onder uw naam op de markt. De zwaarste verplichtingen liggen hier: conformiteitsbeoordeling, technische documentatie, kwaliteitsmanagement en post-market monitoring.
U gebruikt een AI-systeem in uw bedrijfsvoering. Bij hoog-risico AI bent u verantwoordelijk voor menselijk toezicht, monitoring, het melden van incidenten en het informeren van betrokkenen.
Twijfelt u welke rol op uw situatie van toepassing is? Lees onze uitleg over deployer of provider. Belangrijk om te weten: bij significante aanpassing van een AI-systeem (bijvoorbeeld fine-tuning of het aanpassen van het beoogde doel) wordt een deployer juridisch een provider.
De EU AI Act kent zes harde deadlines. Raad en Europees Parlement bereikten op 7 mei 2026 in trilogue een voorlopig politiek akkoord op het Digital Omnibus-pakket (COM(2025) 836). De tekst moet nog plenair worden bekrachtigd door beide instellingen, gevolgd door juridisch-linguistische revisie en publicatie in het Publicatieblad; aanname wordt verwacht juni of juli 2026. Tot OJ-publicatie gelden juridisch de oorspronkelijke deadlines. Het akkoord stelt twee hoog-risico-deadlines uit: Bijlage III van 2 augustus 2026 naar 2 december 2027, en Bijlage I van 2 augustus 2027 naar 2 augustus 2028. De algemene transparantieplicht van Artikel 50 (chatbot-melding, deepfake- en AI-content-labeling) blijft staan op 2 augustus 2026; alleen de machine-leesbare markering van synthetische content (Artikel 50 lid 2) krijgt voor generatieve AI die al vóór 2 augustus 2026 op de markt was een overgangsregeling tot 2 december 2026. Het akkoord voegt daarnaast een nieuw Artikel 5-verbod toe op nudifiers en AI-gegenereerd kindermisbruikmateriaal, geldig vanaf 2 december 2026.
| Verplichting | Bron | Deadline |
|---|---|---|
| AI-geletterdheid | Artikel 4 | 2 februari 2025 |
| Verboden AI-praktijken | Artikel 5 | 2 februari 2025 |
| GPAI-verplichtingen | Artikelen 51-56 | 2 augustus 2025 |
| Transparantie chatbots & AI-content | Artikel 50 | 2 augustus 2026 |
| Hoog-risico AI (Bijlage III) | Bijlage III | 2 augustus 2026 (Digital Omnibus-voorstel: 2 december 2027) |
| Hoog-risico AI in producten | Bijlage I | 2 augustus 2027 (Digital Omnibus-voorstel: 2 augustus 2028) |
Status Digital Omnibus: provisional-agreement (verwacht 2026-06/07). Een uitgebreide tijdlijn met sector-specifieke acties vindt u op AI Act deadlines.
De boetes onder de EU AI Act zijn fors en zijn opgenomen in Artikel 99. Ze gelden naast eventuele AVG-boetes en zijn cumulatief.
€35 mlnof 7%
Bij overtreding van het verbod op onaanvaardbare AI (Artikel 5).
€15 mlnof 3%
Bij overtreding van overige verplichtingen, waaronder hoog-risico-vereisten.
€7,5 mlnof 1%
Voor het verstrekken van onjuiste of misleidende informatie aan toezichthouders.
Voor MKB en startups gelden lagere maxima. Toezicht in Nederland wordt belegd bij bestaande sectorale toezichthouders zoals AP, RDI, DNB, AFM en IGJ, gecoordineerd via de uitvoeringswet AI-verordening. Lees meer over de Nederlandse toezichthouders of bekijk het kennisbank-artikel over boetes bij overtreding.
Sommige verplichtingen gelden al sinds februari 2025. Wachten tot 2027 is geen optie. De volgende vijf acties zijn voor vrijwel elke organisatie relevant.
AI-inventaris. Aanbevolen Breng in kaart welke AI-systemen u gebruikt of ontwikkelt, inclusief AI-functies in bestaande software. Onze gratis 5-minuten risicoscan levert dit overzicht plus eerste classificatie.
Risicoclassificatie. Aanbevolen Bepaal per AI-systeem of het verboden, hoog-risico, beperkt of minimaal is. Dit bepaalt welke verplichtingen op u rusten. Zie AI-risicoanalyse.
AI-geletterdheid. Al verplicht (Art. 4) Aantoonbare training voor iedereen die met AI werkt is verplicht sinds 2 februari 2025. Zie AI-geletterdheid.
AI-beleid en -governance. Aanbevolen Een intern AI-beleid maakt duidelijk wat is toegestaan, wie verantwoordelijk is en hoe incidenten worden gemeld. Zie AI-beleid opstellen.
Documentatie en register. Verplicht bij hoog-risico (Art. 11) Hoog-risico-systemen vereisen technische documentatie en logging. Een centraal AI-register helpt u op koers te blijven. Zie AI-register.
Een verordening werkt rechtstreeks in elke lidstaat. Dat betekent dat de EU AI Act in Nederland van toepassing is zonder dat omzetting in nationale wet nodig is. Toch wordt er een Nederlandse Uitvoeringswet AI-verordening (UAIV) voorbereid die bepaalde keuzes invult, zoals het aanwijzen van toezichthouders en het regelen van sancties op nationaal niveau.
De EU AI Act bestaat naast bestaande wetgeving zoals de AVG, sectorale regels (MDR/IVDR in de zorg, Solvency II in de verzekeringssector) en het arbeidsrecht. Bij hoog-risico HR-toepassingen heeft de Autoriteit Persoonsgegevens al meermalen onderzoek gedaan; lees meer in RAN-6: AP zet HR-AI onder vergrootglas.
Vijf minuten, geen account nodig. U krijgt direct een eerste classificatie van uw AI-systemen plus een actieplan op maat.
