De EU AI Act treedt stapsgewijs in werking. Niet alle verplichtingen gelden tegelijkertijd. In dit artikel vindt u een helder overzicht van alle belangrijke deadlines, inclusief de Digital Omnibus die de hoog-risico-deadlines verschuift.
De AI Act is op 1 augustus 2024 officieel in werking getreden. Vanaf dat moment begonnen de klokken te tikken voor de verschillende overgangstermijnen. De wet hanteert een gefaseerde invoering om organisaties de tijd te geven zich voor te bereiden.
AI-geletterdheid en verboden AI-praktijken
AI-geletterdheidsplicht voor alle organisaties die AI gebruiken. Onaanvaardbare AI-praktijken (sociale scoring, manipulatieve AI, emotieherkenning op werkplek) zijn verboden.
Bron: Artikel 4 + Artikel 5
General-purpose AI en handhaving
Regels voor GPAI-aanbieders zoals OpenAI, Anthropic en Google. Governance-structuur en boetebevoegdheid van toezichthouders zijn van kracht.
Bron: Hoofdstuk V (Art. 51-56)
Transparantieplicht chatbots en AI-content
Chatbots moeten zich kenbaar maken als AI. Deepfakes en AI-gegenereerde content moeten gelabeld zijn.
Bron: Artikel 50
Hoog-risico AI uit Bijlage III
Werving, kredietbeoordeling, onderwijs, kritieke infrastructuur. Conformiteitsbeoordeling, EU-databank-registratie en menselijk toezicht worden verplicht.
Bron: Bijlage III
Hoog-risico AI in gereguleerde producten
AI ingebed in medische hulpmiddelen, machines, liften, speelgoed en persoonlijke beschermingsmiddelen.
Bron: Bijlage I
2 februari 2025: AI-geletterdheid en verboden AI
De eerste grote deadline was 2 februari 2025. Vanaf deze datum zijn twee belangrijke onderdelen van kracht geworden.
Ten eerste de AI-geletterdheidsplicht uit Artikel 4. Deze verplichting houdt in dat alle aanbieders en gebruiksverantwoordelijken van AI-systemen moeten zorgen dat hun personeel voldoende kennis en vaardigheden heeft op het gebied van AI. Dit geldt voor alle organisaties, ongeacht de risicocategorie van hun AI-systemen. Het gaat erom dat medewerkers begrijpen hoe AI werkt, welke risicos eraan verbonden zijn en hoe ze er verantwoord mee omgaan.
Ten tweede zijn vanaf deze datum de AI-systemen met een onaanvaardbaar risico verboden. Dit betreft onder andere sociale scoring, predictive policing puur op basis van profiling, untargeted scraping van gezichtsbeelden, emotieherkenning op de werkplek en in het onderwijs, en bepaalde vormen van biometrische categorisatie en real-time biometrische identificatie. Als uw organisatie dergelijke systemen gebruikt, had u deze al moeten uitfaseren.
2 augustus 2025: GPAI-regels, governance en sancties
Op 2 augustus 2025 werden de regels rondom general-purpose AI-modellen (GPAI) uit Hoofdstuk V (Artikelen 51 tot en met 56) van kracht, samen met de governance-structuur en de boetebevoegdheid van toezichthouders. Aanbieders van GPAI-modellen (zoals GPT, Claude en Gemini) moeten transparantie geven over trainingsdata, compute-resources en copyright-compliance (Artikel 53). Voor modellen met systeemrisico (de drempel van 10^25 FLOPs uit Artikel 51) gelden aanvullende verplichtingen uit Artikel 55: evaluaties, red-teaming en incidentmeldingen. Ook zijn de nationale toezichthouders per deze datum bevoegd om boetes op te leggen.
Status: de Digital Omnibus is aangenomen
De Digital Omnibus (COM(2025) 836) verschuift een aantal belangrijke deadlines die oorspronkelijk in 2026 en 2027 zouden ingaan. Na het trilogue-akkoord van 7 mei 2026 nam het Europees Parlement de tekst op 16 juni 2026 aan en gaf de Raad op 29 juni 2026 zijn definitieve goedkeuring. Daarmee is de Digital Omnibus definitief aangenomen.
Publicatie in het Publicatieblad volgt; de verordening treedt in werking op de derde dag daarna. De nieuwe data staan vast.
Concreet brengt het pakket drie verschuivingen. De algemene transparantieverplichting uit Artikel 50 (chatbots, deepfakes, AI-gegenereerde content) blijft 2 augustus 2026 en wordt niet uitgesteld; alleen de machine-leesbare markering van al-bestaande generatieve AI schuift naar 2 december 2026. De hoog-risico systemen uit Bijlage III (waaronder AI voor HR-beslissingen, kredietverlening en onderwijs) verschuiven van 2 augustus 2026 naar 2 december 2027. De hoog-risico systemen uit Bijlage I (AI ingebouwd in gereguleerde producten zoals medische apparaten en machines) verschuiven van 2 augustus 2027 naar 2 augustus 2028.
De onderliggende reden: de technische standaarden (via CEN/CENELEC JTC 21) die nodig zijn om te bepalen of een hoog-risico systeem compliant is, zijn vertraagd. Zonder die standaarden is er geen werkbare compliance-route.
2 augustus 2026: transparantie voor chatbots en AI-content
De transparantieverplichtingen uit Artikel 50 gelden vanaf 2 augustus 2026. De Digital Omnibus stelt deze algemene transparantieplicht niet uit; alleen de machine-leesbare markering van al-bestaande generatieve AI schuift naar 2 december 2026. Dit betekent concreet: chatbots moeten zichzelf kenbaar maken als AI. Deepfakes en AI-gegenereerde content moeten als zodanig worden gelabeld. Emotieherkenningssystemen en biometrische classificatiesystemen moeten worden bekendgemaakt aan de betrokkene. Aanbieders van AI die synthetische audio, beeld of tekst genereert moeten watermerken of andere herkenningssignalen inbouwen.
2 december 2027: hoog-risico AI in Bijlage III
Voor de meeste MKB-bedrijven is dit de belangrijkste deadline. Hoog-risico AI-systemen uit Bijlage III moeten voldoen aan alle verplichtingen uit de AI Act: conformiteitsbeoordeling, registratie in de EU-databank, menselijk toezicht, risicobeheersysteem, technische documentatie en meldingsplicht bij incidenten. De Digital Omnibus verschuift deze datum van 2 augustus 2026 naar 2 december 2027 (definitief aangenomen 29 juni 2026). Bijlage III omvat onder meer AI in werving en personeelsmanagement, onderwijs en examinering, kritieke infrastructuur, kredietverlening, rechtshandhaving en migratie.
2 augustus 2028: hoog-risico AI in gereguleerde producten
Voor AI die is ingebed in producten die al onder bestaande EU-productregelgeving vallen (Bijlage I), verschuift de Digital Omnibus de deadline van 2 augustus 2027 naar 2 augustus 2028 (definitief aangenomen 29 juni 2026). Dit betreft onder meer AI in medische hulpmiddelen (MDR/IVDR), machines, liften, speelgoed en persoonlijke beschermingsmiddelen.
Wat betekent dit voor uw planning?
Het uitstel via de Digital Omnibus geeft lucht, maar is geen reden om achterover te leunen. Twee verplichtingen gelden al en worden gehandhaafd: de AI-geletterdheidsplicht uit Artikel 4 en het verbod op onaanvaardbare AI uit Artikel 5, beide sinds februari 2025. De algemene transparantieplicht van Artikel 50 blijft 2 augustus 2026: die schuift niet op.
Wie nu al begint met een AI-register en risicoclassificatie staat sterker. Inventariseer uw AI-gebruik. Stel vast welke systemen hoog-risico zijn. Start met het opbouwen van uw AI-register en bijbehorende documentatie. Zorg dat uw medewerkers de benodigde AI-training hebben gevolgd. Dat laatste is sowieso verplicht, nu al.
Onze AI Risicoscanner geeft u in vijf minuten inzicht in welke deadlines voor uw organisatie relevant zijn en welke acties u moet ondernemen.