De EU AI Act heeft tanden. Bij overtreding van de regels kunnen nationale toezichthouders aanzienlijke boetes opleggen. Veel ondernemers onderschatten hoe hoog deze kunnen zijn. In dit artikel leggen we het sanctiestelsel uit, bespreken we wie in Nederland toezicht houdt en geven we praktische tips om boetes te voorkomen.
Hoe hoog zijn de boetes?
De AI Act kent drie niveaus van boetes, afhankelijk van de ernst van de overtreding.
Het hoogste niveau geldt voor het gebruik van verboden AI-systemen. Dit zijn systemen met een onaanvaardbaar risico, zoals sociale kredietsystemen of bepaalde vormen van biometrische identificatie. De maximale boete hiervoor is 35 miljoen euro of 7 procent van de wereldwijde jaaromzet, waarbij de hoogste van de twee van toepassing is.
Het tweede niveau geldt voor overtredingen van verplichtingen rondom hoog-risico AI-systemen. Denk aan het ontbreken van de vereiste documentatie, het niet uitvoeren van een conformiteitsbeoordeling, of het gebrek aan menselijk toezicht. De maximale boete hier is 15 miljoen euro of 3 procent van de jaaromzet.
Het derde niveau geldt voor het verstrekken van onjuiste of misleidende informatie aan toezichthouders en notified bodies. De maximale boete is 7,5 miljoen euro of 1 procent van de wereldwijde jaaromzet, waarbij wederom de hoogste van de twee van toepassing is (Artikel 99(5)).
Verlaagde boeteplafonds voor MKB en startups
De AI Act houdt expliciet rekening met kleinere organisaties. Voor MKB-bedrijven en startups gelden verlaagde boeteplafonds. Bij elk boeteniveau geldt het laagste van het vaste bedrag of het percentage van de jaaromzet. Een klein bedrijf met 2 miljoen euro omzet riskeert dus maximaal 60.000 euro bij een hoog-risico overtreding (3 procent), niet 15 miljoen. Dat is nog steeds een forse klap voor een MKB-bedrijf. Maar het is proportioneel.
Toezichthouders moeten bij het bepalen van de boete rekening houden met de omvang van de onderneming, de financiele draagkracht en de economische levensvatbaarheid. Een boete die een bedrijf failliet drijft, is niet het doel van de wet. Micro-ondernemingen en kleine startups kunnen bovendien een verzoek indienen om in aanmerking te komen voor aanvullende soepelheid, met name bij een eerste overtreding zonder aantoonbare schade.
Wie houdt toezicht in Nederland?
De Nederlandse overheid werkt aan de Uitvoeringswet AI-verordening (UAIV), de wet die de AI Act in nationaal recht verankert. Op 20 april 2026 is het wetsvoorstel gepubliceerd voor internet-consultatie, die loopt tot 1 juni 2026. Daarna volgt verwerking en behandeling in Tweede en Eerste Kamer. Het voorstel wijst de Autoriteit Persoonsgegevens (AP) en de Rijksinspectie Digitale Infrastructuur (RDI) gezamenlijk aan als coördinerende nationale toezichthouders voor de AI Act. Tot de wet is aangenomen, is de formele aanwijzing niet rond; de AP opereert in de tussentijd al wel feitelijk als coördinerend toezichthouder via de Directie Coördinatie Algoritmes (DCA).
Niet alles valt bij AP en RDI. De handhaving is verdeeld over meerdere partijen, afhankelijk van de sector. De Inspectie Gezondheidszorg en Jeugd (IGJ) houdt toezicht op AI-toepassingen in de zorg. De Nederlandse Bank (DNB) en de Autoriteit Financiele Markten (AFM) zijn bevoegd voor AI in de financiele sector. De Inspectie Leefomgeving en Transport (ILT) pakt transport- en leefomgevingsgebonden AI op. De Nederlandse Voedsel- en Warenautoriteit (NVWA) heeft een rol bij productveiligheid voor consumenten. De Nederlandse Arbeidsinspectie (NLA) wordt bevoegd voor AI in werkplekcontexten. Voor AI in de rechtspraak zijn de Procureur-Generaal bij de Hoge Raad en de president van de Afdeling bestuursrechtspraak van de Raad van State aangewezen. Voor de meeste MKB-bedrijven zijn AP en RDI het eerste aanspreekpunt.
Op Europees niveau coordineren nationale toezichthouders via het AI Office bij de Europese Commissie, opgericht op 29 mei 2024 en geleid door directeur Lucilla Sioli. Dit bureau houdt toezicht op general-purpose AI-modellen en pakt grensoverschrijdende zaken op.
Wat kunnen AP en RDI doen?
De coördinerende toezichthouders krijgen ruime bevoegdheden om de naleving van de AI Act te controleren. Zij kunnen inspecties uitvoeren bij organisaties, ook onaangekondigd. Documenten en logbestanden opvragen. Waarschuwingen en aanbevelingen geven. Dwangsommen en boetes opleggen. En bij ernstige situaties tijdelijk gebruik van een AI-systeem verbieden.
Belangrijk voor bedrijven: de AP hoeft niet te wachten tot er schade is. Het ontbreken van de vereiste documentatie is op zichzelf al een overtreding. Een inspecteur die uw organisatie bezoekt, vraagt om uw AI-register, documentatie per systeem, bewijs van AI-geletterdheid en eventuele conformiteitsverklaringen van leveranciers. Kunt u die niet overleggen, dan staat u direct zwak.
Klachten indienen over AI-gebruik
De AI Act kent ook een klachtenmechanisme. Bedrijven en burgers kunnen bij de nationale toezichthouder een klacht indienen als ze vermoeden dat een andere organisatie de AI Act overtreedt. Denk aan een situatie waarbij u als ondernemer denkt dat een leverancier of concurrent verboden AI-praktijken hanteert, of waarbij u als werknemer vermoedt dat uw werkgever AI inzet op een manier die niet door de beugel kan.
De AP is verplicht klachten serieus te nemen en te beoordelen of er aanleiding is voor een onderzoek. Dit geeft organisaties een actief middel om naleving in hun keten te bevorderen.
Eerste handhavingsacties: wat zien we in de praktijk?
Sinds de AI-geletterdheidsplicht en het verbod op onaanvaardbare AI in februari 2025 van kracht zijn, hebben toezichthouders in meerdere EU-landen de eerste stappen gezet. De nadruk ligt voorlopig op bewustwording en waarschuwingen. In Italie heeft de privacytoezichthouder al onderzoeken gestart naar AI-systemen die emotieherkenning inzetten op de werkplek. In Spanje heeft de AEPD richtlijnen gepubliceerd over de AI-geletterdheidsverplichtingen.
In Nederland voert de AP via de Directie Coördinatie Algoritmes (DCA) al actief toezicht. De Werkagenda coördinerend AI- en algoritmetoezicht 2026 noemt vijf prioriteiten: overkoepelend systeemtoezicht, transparantie en uitlegbaarheid, kaders en normen, bias- en fairnesstesten tegen discriminatie, en AI-geletterdheid. De verwachting is dat de eerste formele handhavingsacties in de loop van 2026 volgen, te beginnen bij organisaties die verboden AI-praktijken hanteren of hun AI-geletterdheidsplicht aantoonbaar verwaarlozen.
Wanneer begint actieve handhaving?
Toezichthouders zijn bevoegd te handhaven zodra de betreffende verplichtingen van kracht zijn. De AI-geletterdheidsplicht (Artikel 4) en het verbod op onaanvaardbare AI (Artikel 5) gelden al sinds 2 februari 2025. GPAI-regels uit Hoofdstuk V (Artikelen 51-56) en de boetebevoegdheid van toezichthouders gelden sinds 2 augustus 2025.
Het Digital Omnibus-voorstel (COM(2025) 836) wil de volgende deadlines verschuiven: transparantie (Artikel 50) naar eind 2026, hoog-risico Bijlage III naar 2 december 2027 en hoog-risico AI in gereguleerde producten (Bijlage I) naar 2 augustus 2028. Het pakket zit in trilogue-onderhandelingen met verwachte aanname in mei of juni 2026. Tot publicatie in het Publicatieblad gelden juridisch de oorspronkelijke deadlines van 2 augustus 2026 (Art. 50 + Bijlage III) en 2 augustus 2027 (Bijlage I).
Boetes voorkomen: wat moet u doen?
De beste manier om boetes te voorkomen is aantoonbare compliance. Concreet: een up-to-date AI-register met alle systemen die u gebruikt, documentatie per systeem over het doel, de risicos en de genomen maatregelen, bewijs dat uw medewerkers AI-training hebben gevolgd en een AI-beleid dat beschrijft hoe uw organisatie omgaat met AI. Voor hoog-risico systemen komen daar conformiteitsbeoordelingen en procedures voor menselijk toezicht bij.
Aantoonbaarheid is cruciaal. Het gaat er niet alleen om dat u de regels naleeft, maar ook dat u kunt bewijzen dat u dit doet.
Proportionaliteit en good faith
De wet erkent dat niet elke overtreding uit opzet of nalatigheid voortkomt. Toezichthouders mogen rekening houden met de ernst van de overtreding, of het om een eerste overtreding gaat, de mate van medewerking bij het onderzoek en de genomen herstelmaatregelen.
Organisaties die aantoonbaar bezig zijn met compliance, maar er nog niet volledig zijn, staan veel sterker dan organisaties die het probleem hebben genegeerd. Begin dus nu, ook als u nog niet alles op orde heeft.
Waar begint u?
Start met de gratis AI Risicoscanner op AIComplianceHub.nl. In vijf minuten heeft u een eerste beeld van uw risicoprofiel en de bijbehorende verplichtingen. Van daaruit kunt u stap voor stap uw compliance opbouwen: een AI-register, documentatie en een AI-geletterdheidsstraining voor uw team.
Hoe eerder u begint, hoe meer tijd u heeft om alles goed in te richten. Mocht er een toezichthouder langskomen, dan staat u er goed voor.