De EU AI Act treedt stapsgewijs in werking. Niet alle verplichtingen gelden tegelijkertijd. In dit artikel vindt u een helder overzicht van alle belangrijke deadlines, inclusief het Digital Omnibus-voorstel dat de hoog-risico-deadlines waarschijnlijk verschuift.
De AI Act is op 1 augustus 2024 officieel in werking getreden. Vanaf dat moment begonnen de klokken te tikken voor de verschillende overgangstermijnen. De wet hanteert een gefaseerde invoering om organisaties de tijd te geven zich voor te bereiden.
AI-geletterdheid en verboden AI-praktijken
AI-geletterdheidsplicht voor alle organisaties die AI gebruiken. Onaanvaardbare AI-praktijken (sociale scoring, manipulatieve AI, emotieherkenning op werkplek) zijn verboden.
Bron: Artikel 4 + Artikel 5
General-purpose AI en handhaving
Regels voor GPAI-aanbieders zoals OpenAI, Anthropic en Google. Governance-structuur en boetebevoegdheid van toezichthouders zijn van kracht.
Bron: Hoofdstuk V (Art. 51-56)
Transparantieplicht chatbots en AI-content
Chatbots moeten zich kenbaar maken als AI. Deepfakes en AI-gegenereerde content moeten gelabeld zijn.
Bron: Artikel 50
Hoog-risico AI uit Bijlage III
Werving, kredietbeoordeling, onderwijs, kritieke infrastructuur. Conformiteitsbeoordeling, EU-databank-registratie en menselijk toezicht worden verplicht.
Bron: Bijlage III
Hoog-risico AI in gereguleerde producten
AI ingebed in medische hulpmiddelen, machines, liften, speelgoed en persoonlijke beschermingsmiddelen.
Bron: Bijlage I
2 februari 2025: AI-geletterdheid en verboden AI
De eerste grote deadline was 2 februari 2025. Vanaf deze datum zijn twee belangrijke onderdelen van kracht geworden.
Ten eerste de AI-geletterdheidsplicht uit Artikel 4. Deze verplichting houdt in dat alle aanbieders en gebruiksverantwoordelijken van AI-systemen moeten zorgen dat hun personeel voldoende kennis en vaardigheden heeft op het gebied van AI. Dit geldt voor alle organisaties, ongeacht de risicocategorie van hun AI-systemen. Het gaat erom dat medewerkers begrijpen hoe AI werkt, welke risicos eraan verbonden zijn en hoe ze er verantwoord mee omgaan.
Ten tweede zijn vanaf deze datum de AI-systemen met een onaanvaardbaar risico verboden. Dit betreft onder andere sociale scoring, predictive policing puur op basis van profiling, untargeted scraping van gezichtsbeelden, emotieherkenning op de werkplek en in het onderwijs, en bepaalde vormen van biometrische categorisatie en real-time biometrische identificatie. Als uw organisatie dergelijke systemen gebruikt, had u deze al moeten uitfaseren.
2 augustus 2025: GPAI-regels, governance en sancties
Op 2 augustus 2025 werden de regels rondom general-purpose AI-modellen (GPAI) uit Hoofdstuk V (Artikelen 51 tot en met 56) van kracht, samen met de governance-structuur en de boetebevoegdheid van toezichthouders. Aanbieders van GPAI-modellen (zoals GPT, Claude en Gemini) moeten transparantie geven over trainingsdata, compute-resources en copyright-compliance (Artikel 53). Voor modellen met systeemrisico (de drempel van 10^25 FLOPs uit Artikel 51) gelden aanvullende verplichtingen uit Artikel 55: evaluaties, red-teaming en incidentmeldingen. Ook zijn de nationale toezichthouders per deze datum bevoegd om boetes op te leggen.
Status: het Digital Omnibus-voorstel
Op 19 november 2025 publiceerde de Europese Commissie het Digital Omnibus-voorstel (COM(2025) 836). Dit pakket verschuift een aantal belangrijke deadlines die oorspronkelijk in 2026 en 2027 zouden ingaan. Raad (13 maart 2026) en Europees Parlement (26 maart 2026) hebben hun onderhandelingsposities aangenomen. De trilogue-onderhandelingen zijn eind april 2026 gaande, met een politiek akkoord verwacht in diezelfde periode. Formele adoptie door Raad en Parlement wordt verwacht in mei of juni 2026, met publicatie in het Publicatieblad kort daarna.
Tot die publicatie gelden juridisch de oorspronkelijke deadlines uit de AI Act. Als de Omnibus niet tijdig wordt aangenomen, springt de wet terug naar de oorspronkelijke data.
Concreet voorstelt het pakket drie verschuivingen. De transparantieverplichting uit Artikel 50 (chatbots, deepfakes, AI-gegenereerde content) verschuift van 2 augustus 2026 naar eind 2026 (exacte datum nog inzet van trilogue). De hoog-risico systemen uit Bijlage III (waaronder AI voor HR-beslissingen, kredietverlening en onderwijs) verschuiven van 2 augustus 2026 naar 2 december 2027. De hoog-risico systemen uit Bijlage I (AI ingebouwd in gereguleerde producten zoals medische apparaten en machines) verschuiven van 2 augustus 2027 naar 2 augustus 2028.
De onderliggende reden: de technische standaarden (via CEN/CENELEC JTC 21) die nodig zijn om te bepalen of een hoog-risico systeem compliant is, zijn vertraagd. Zonder die standaarden is er geen werkbare compliance-route.
2 augustus 2026 (onder voorbehoud): transparantie voor chatbots en AI-content
Juridisch gelden de transparantieverplichtingen uit Artikel 50 vanaf 2 augustus 2026. Het Digital Omnibus-voorstel verschuift deze datum naar verwachting naar eind 2026. Dit betekent concreet: chatbots moeten zichzelf kenbaar maken als AI. Deepfakes en AI-gegenereerde content moeten als zodanig worden gelabeld. Emotieherkenningssystemen en biometrische classificatiesystemen moeten worden bekendgemaakt aan de betrokkene. Aanbieders van AI die synthetische audio, beeld of tekst genereert moeten watermerken of andere herkenningssignalen inbouwen.
2 augustus 2026 (onder voorbehoud, naar verwachting 2 december 2027): hoog-risico AI in Bijlage III
Voor de meeste MKB-bedrijven is dit de belangrijkste deadline. Juridisch moeten hoog-risico AI-systemen uit Bijlage III vanaf 2 augustus 2026 voldoen aan alle verplichtingen uit de AI Act: conformiteitsbeoordeling, registratie in de EU-databank, menselijk toezicht, risicobeheersysteem, technische documentatie en meldingsplicht bij incidenten. Het Digital Omnibus-voorstel verschuift deze datum naar 2 december 2027. Bijlage III omvat onder meer AI in werving en personeelsmanagement, onderwijs en examinering, kritieke infrastructuur, kredietverlening, rechtshandhaving en migratie.
2 augustus 2027 (onder voorbehoud, naar verwachting 2 augustus 2028): hoog-risico AI in gereguleerde producten
Voor AI die is ingebed in producten die al onder bestaande EU-productregelgeving vallen (Bijlage I), geldt juridisch 2 augustus 2027. Het Digital Omnibus-voorstel verschuift deze datum naar 2 augustus 2028. Dit betreft onder meer AI in medische hulpmiddelen (MDR/IVDR), machines, liften, speelgoed en persoonlijke beschermingsmiddelen.
Wat betekent dit voor uw planning?
Het verwachte uitstel via Digital Omnibus geeft lucht, maar is geen reden om achterover te leunen. Twee verplichtingen gelden al en worden gehandhaafd: de AI-geletterdheidsplicht uit Artikel 4 en het verbod op onaanvaardbare AI uit Artikel 5, beide sinds februari 2025. Daarnaast: zolang de Omnibus niet formeel is aangenomen, blijven juridisch de oorspronkelijke deadlines van 2 augustus 2026 en 2 augustus 2027 van kracht. Wie puur op basis van de voorgestelde nieuwe datums plant, loopt een reëel risico.
Wie nu al begint met een AI-register en risicoclassificatie staat sterker. Inventariseer uw AI-gebruik. Stel vast welke systemen hoog-risico zijn. Start met het opbouwen van uw AI-register en bijbehorende documentatie. Zorg dat uw medewerkers de benodigde AI-training hebben gevolgd. Dat laatste is sowieso verplicht, nu al.
Onze AI Risicoscanner geeft u in vijf minuten inzicht in welke deadlines voor uw organisatie relevant zijn en welke acties u moet ondernemen.