De EU AI Act (officieel: Verordening (EU) 2024/1689, ook wel de AI-wet of Artificial Intelligence Act genoemd) is de eerste uitgebreide wetgeving ter wereld die het gebruik van kunstmatige intelligentie reguleert. De wet is op 1 augustus 2024 in werking getreden en wordt gefaseerd toegepast tussen 2025 en 2028. Voor ondernemers in Nederland betekent dit: als u AI-tools gebruikt (en dat doet u waarschijnlijk, vaak zonder het te weten), dan raakt deze wet uw bedrijf.
In dit artikel leest u wat de EU AI Act is, voor wie de wet geldt, welke risicocategorieen er zijn, alle deadlines inclusief het voorgestelde Digital Omnibus-pakket, en welke concrete stappen u nu moet zetten.
Wat is de EU AI Act precies?
De AI Act is een Europese verordening die regels stelt aan AI-systemen die in de Europese Unie worden aangeboden of gebruikt. De wet heeft drie hoofddoelen: AI-systemen moeten veilig zijn, fundamentele rechten respecteren en transparant functioneren. Tegelijkertijd wil de EU innovatie niet belemmeren.
Het resultaat is een risicogebaseerde aanpak. Hoe hoger het risico dat een AI-systeem vormt voor mensen of maatschappij, hoe strenger de regels. Die aanpak is uniek in de wereld. Hiermee zet de EU de internationale standaard voor verantwoorde AI-regulering, vergelijkbaar met wat de AVG deed voor privacywetgeving. Voor een complete praktische gids zie onze pillar-pagina over de EU AI Act.
Voor wie geldt de AI-wet?
De AI Act geldt voor iedereen die AI-systemen ontwikkelt, aanbiedt of gebruikt binnen de EU. Dit betekent dat niet alleen technologiebedrijven ermee te maken krijgen, maar ook gewone MKB-bedrijven die AI-tools inzetten. Denk aan een accountantskantoor dat AI gebruikt voor fraudedetectie, een zorginstelling die AI inzet voor diagnostiek, of een webshop die productaanbevelingen doet via een algoritme.
De wet maakt onderscheid tussen vier rollen:
Aanbieder
providerOntwikkelt een AI-systeem of brengt het onder eigen naam op de markt. Draagt de zwaarste verplichtingen onder de AI Act.
Gebruiksverantwoordelijke
deployerZet een AI-systeem in binnen de organisatie. De meeste Nederlandse MKB-bedrijven vallen in deze categorie omdat zij AI-tools van derden gebruiken.
Importeur
importerBrengt AI-systemen van buiten de EU naar de interne markt.
Distributeur
distributorVerkoopt AI-systemen aan eindgebruikers zonder zelf ontwikkeling te doen.
Uw rol bepaalt welke verplichtingen voor u gelden. Dezelfde organisatie kan overigens meerdere rollen tegelijk hebben. Een softwarebedrijf dat een eigen AI-feature ontwikkelt en daarnaast ChatGPT intern gebruikt, is zowel provider als deployer.
De vier risicocategorieen
De kern van de AI Act is een indeling in vier risicocategorieen. Elk AI-systeem valt in een van deze categorieen en de verplichtingen hangen af van de classificatie.
Onaanvaardbaar risico
VerbodenVerboden sinds 2 februari 2025
Sociale kredietsystemen, realtime biometrische identificatie in openbare ruimtes, manipulatieve AI gericht op kwetsbare groepen, emotieherkenning op de werkplek of in het onderwijs.
Bron: Artikel 5
Hoog risico
Strenge eisenJuridisch 2 augustus 2026; Digital Omnibus-voorstel: 2 december 2027
AI voor kredietbeoordeling, werving en selectie, beoordeling in het onderwijs, medische apparatuur en kritieke infrastructuur. Strenge verplichtingen: conformiteitsbeoordeling, technische documentatie, menselijk toezicht, doorlopend risicobeheer.
Bron: Bijlage III + Bijlage I
Beperkt risico
TransparantieJuridisch 2 augustus 2026; Digital Omnibus-voorstel: eind 2026
Chatbots, AI die tekst, beeld of geluid genereert, deepfakes. Gebruikers moeten weten dat ze met AI te maken hebben en AI-gegenereerde content moet als zodanig herkenbaar zijn.
Bron: Artikel 50
Minimaal risico
Geen specifieke eisenGeen aanvullende verplichtingen
Het overgrote deel van AI-toepassingen valt hieronder: spamfilters, AI in videogames, aanbevelingsalgoritmes voor entertainment. Algemene beginselen blijven gelden, maar er zijn geen specifieke nalevingseisen.
Bron: Algemene beginselen
Alle AI Act deadlines op een rij
De AI Act kent een gefaseerde invoering. De Europese Commissie heeft met het Digital Omnibus-pakket (COM(2025) 836, gepubliceerd 19 november 2025) voorgesteld om enkele deadlines te verschuiven, omdat de technische standaarden (via CEN/CENELEC) voor hoog-risico AI vertraging opliepen. Raad (13 maart 2026) en Europees Parlement (26 maart 2026) hebben hun onderhandelingsposities aangenomen. De trilogue-onderhandelingen zijn eind april 2026 gaande, formele adoptie wordt verwacht in mei of juni 2026. Tot de definitieve tekst in het Publicatieblad verschijnt, gelden juridisch de oorspronkelijke deadlines.
AI-geletterdheid en verboden AI-praktijken
AI-geletterdheidsplicht voor alle organisaties die AI gebruiken. Onaanvaardbare AI-praktijken (sociale scoring, manipulatieve AI, emotieherkenning op werkplek) zijn verboden.
Bron: Artikel 4 + Artikel 5
General-purpose AI en handhaving
Regels voor GPAI-aanbieders zoals OpenAI, Anthropic en Google. Governance-structuur en boetebevoegdheid van toezichthouders zijn van kracht.
Bron: Hoofdstuk V (Art. 51-56)
Transparantieplicht chatbots en AI-content
Chatbots moeten zich kenbaar maken als AI. Deepfakes en AI-gegenereerde content moeten gelabeld zijn.
Bron: Artikel 50
Hoog-risico AI uit Bijlage III
Werving, kredietbeoordeling, onderwijs, kritieke infrastructuur. Conformiteitsbeoordeling, EU-databank-registratie en menselijk toezicht worden verplicht.
Bron: Bijlage III
Hoog-risico AI in gereguleerde producten
AI ingebed in medische hulpmiddelen, machines, liften, speelgoed en persoonlijke beschermingsmiddelen.
Bron: Bijlage I
Waarom MKB niet kan afwachten
Veel ondernemers denken dat de AI Act vooral relevant is voor grote techbedrijven. Dat is een misverstand. De wet geldt voor elke organisatie die AI gebruikt, ongeacht grootte. En de boetes zijn niet mals: tot 35 miljoen euro of 7 procent van de wereldwijde jaaromzet voor de zwaarste overtredingen. Voor MKB gelden verlaagde plafonds (het laagste van vast bedrag of percentage), maar het blijft substantieel.
Belangrijker nog: de AI-geletterdheidsplicht uit Artikel 4 geldt al sinds februari 2025. Dat houdt in dat iedereen in uw organisatie die met AI werkt voldoende kennis moet hebben van AI en de bijbehorende risico's. Toezichthouders kunnen hierop nu al handhaven.
Maar het gaat niet alleen om boetes. Klanten, partners en toezichthouders verwachten steeds vaker dat organisaties verantwoord omgaan met AI. Een goed AI-register en de juiste documentatie laten zien dat u dit serieus neemt. Dat kan bij aanbestedingen en grote klanten het verschil maken.
EU AI Act versus AVG: wat is het verschil?
De AVG (Algemene verordening gegevensbescherming) beschermt persoonsgegevens. De AI Act reguleert AI-systemen. Veel AI-systemen verwerken persoonsgegevens en vallen dus onder beide wetten tegelijk.
De AVG dekt: rechtmatige grondslag voor verwerking, rechten van betrokkenen, DPIA bij hoog-risico verwerkingen, beveiliging. De AI Act dekt: veiligheid van het AI-systeem, transparantie, menselijk toezicht, risicobeheer. Bij AI-systemen die persoonsgegevens verwerken integreert u beide verplichtingen in een gezamenlijk document. Dat voorkomt dubbel werk.
Wat moet u nu doen?
De eerste stap is inventariseren welke AI-systemen uw organisatie gebruikt. Veel bedrijven zijn zich er niet van bewust hoeveel AI-tools zij inzetten. Denk niet alleen aan de voor de hand liggende toepassingen zoals ChatGPT of Microsoft Copilot. Ook AI ingebouwd in bestaande software telt mee: CRM met AI-gestuurde lead-scoring, boekhoudpakketten met slimme categorisatie, HR-tools met cv-screening.
Vervolgens bepaalt u per systeem de risicocategorie en uw rol (provider of deployer). Op basis daarvan weet u welke verplichtingen gelden. Begin met de systemen die waarschijnlijk hoog-risico zijn: AI in HR, kredietbeoordeling, onderwijs of zorg. Daar moet u het eerst in kaart hebben.
Daarna stelt u de kernverplichtingen in: AI-register, AI-beleid, AI-geletterdheidstraining voor uw team, transparantie naar gebruikers. Voor hoog-risico systemen komen daar uitgebreidere eisen bij: risicobeoordeling, menselijk toezicht, data governance.
Dit klinkt misschien overweldigend, maar het hoeft niet ingewikkeld te zijn. Met de juiste hulpmiddelen pakt u het stapsgewijs aan. Onze gratis AI Risicoscanner helpt u om in vijf minuten te ontdekken waar uw organisatie staat. Van daaruit bouwt u in het AIComplianceHub-platform een compleet AI-register op en genereert u de benodigde documentatie automatisch.
Begin niet te laat. Ook al schuiven de hoog-risico deadlines naar verwachting op naar december 2027 en augustus 2028 (mits het Digital Omnibus-pakket tijdig wordt aangenomen), AI-geletterdheid en transparantieverplichtingen komen eerder. En tot formele aanname blijft de oorspronkelijke deadline van augustus 2026 juridisch geldend. En de voorbereidingen voor een complete compliance kosten tijd. Wie nu begint staat straks sterker dan wie op het laatste moment moet haasten.