U heeft geen tijd voor een uur lange gids. U wilt weten wat de EU AI Act is, of het op u van toepassing is en welke deadlines tellen. Hieronder de samenvatting in vijf minuten leestijd.
Wat is de EU AI Act?
De EU AI Act is Verordening (EU) 2024/1689, aangenomen op 13 juni 2024. Het is de eerste horizontale wet ter wereld die het ontwikkelen, in de markt brengen en gebruiken van AI-systemen reguleert. De wet werkt rechtstreeks in elke lidstaat. Voor Nederland komt er nog een Uitvoeringswet AI-verordening (UAIV) die het toezicht regelt, maar de hoofdverplichtingen liggen al vast in de EU-verordening.
De kern is risicogebaseerd. Hoe meer schade een AI-systeem kan veroorzaken aan gezondheid, veiligheid of grondrechten, hoe strenger de regels. Dat principe vertaalt zich in vier categorieen.
Onaanvaardbaar risico. Praktijken die in beginsel verboden zijn (Artikel 5). Denk aan social scoring door overheden, manipulatieve AI die kwetsbaarheden uitbuit en untargeted scraping van gezichtsbeelden.
Hoog risico. AI in werving, kredietbeoordeling, onderwijs, kritieke infrastructuur en rechtshandhaving (Bijlage III), plus AI ingebed in gereguleerde producten zoals medische apparatuur (Bijlage I).
Beperkt risico. Chatbots, AI-gegenereerde content en deepfakes vallen onder transparantieplichten uit Artikel 50.
Minimaal risico. De meerderheid van AI-toepassingen, zoals spamfilters of aanbevelingsalgoritmes. Geen specifieke verplichtingen, wel best practices.
Voor wie geldt het?
Voor elk bedrijf dat AI-systemen ontwikkelt (provider, oftewel aanbieder), in de markt brengt of gebruikt (deployer, oftewel gebruiksverantwoordelijke) binnen de EU. Ook bedrijven buiten de EU vallen eronder zodra de output van hun AI-systeem binnen de Unie wordt gebruikt. Vrijwel elk Nederlands MKB dat ChatGPT, Copilot of een ander AI-tool inzet, is deployer.
Wanneer treedt wat in werking?
De verordening kent zes deadlines. Twee daarvan zijn al van kracht.
2 februari 2025: Artikel 4 (AI-geletterdheid) en Artikel 5 (verboden praktijken) gelden. U moet aantoonbaar zorgen dat medewerkers die met AI werken voldoende kennis hebben, en u mag de acht verboden praktijken niet inzetten.
2 augustus 2025: GPAI-verplichtingen uit Hoofdstuk V, voor aanbieders van algemene-doel AI zoals OpenAI, Anthropic en Google.
2 augustus 2026: Artikel 50 (transparantieplicht voor chatbots en AI-content) en Bijlage III (hoog-risico AI). Het Digital Omnibus-voorstel verschuift Bijlage III naar 2 december 2027 en de transparantieplicht naar eind 2026; Bijlage I schuift van 2 augustus 2027 naar 2 augustus 2028. Tot adoptie in het Publicatieblad gelden de oorspronkelijke deadlines.
Wat moet u nu al doen?
Vijf acties zijn voor vrijwel elke organisatie relevant.
AI-inventaris. Welke AI-systemen gebruikt of ontwikkelt uw organisatie, inclusief AI-functies in bestaande software die u over het hoofd ziet? De gratis 5-minuten risicoscan geeft dit overzicht plus een eerste classificatie.
Risicoclassificatie. Bepaal per systeem of het verboden, hoog, beperkt of minimaal is. Dit bepaalt welke verplichtingen op u rusten.
AI-geletterdheid. Aantoonbare training voor iedereen die met AI werkt. Verplicht sinds 2 februari 2025.
AI-beleid. Een intern document dat aangeeft wat is toegestaan, wie verantwoordelijk is en hoe incidenten worden gemeld.
Documentatie. Voor hoog-risico systemen: technische documentatie, logging en periodieke evaluatie. Een centraal AI-register helpt u op koers te blijven.
Wat zijn de boetes?
Tot 35 miljoen euro of 7 procent van de wereldwijde jaaromzet, afhankelijk van welke het hoogst is, bij overtreding van het verbod op onaanvaardbare AI. Voor andere overtredingen geldt 15 miljoen euro of 3 procent. Voor onjuiste informatie aan toezichthouders 7,5 miljoen of 1,5 procent. Voor MKB en startups gelden lagere maxima. AI Act-boetes komen bovenop eventuele AVG-boetes.
Wie houdt toezicht?
In Nederland krijgen Autoriteit Persoonsgegevens (AP) en de Rijksinspectie Digitale Infrastructuur (RDI) gezamenlijk de coordinerende rol. Sectorale toezichthouders zoals DNB, AFM, IGJ en de Arbeidsinspectie pakken specifieke domeinen op. Op EU-niveau coordineert het AI Office bij DG CNECT van de Europese Commissie.
Wat doet u vandaag?
Drie minuten investeren in de gratis risicoscan levert een eerste antwoord. U weet daarna welke systemen u heeft, welke risicoklasse ze hebben en welke verplichtingen voor u tellen. Vanaf dat punt is alles concreet.