De EU AI Act is het eerste uitgebreide wettelijke kader voor kunstmatige intelligentie ter wereld. De verordening trad op 1 augustus 2024 in werking en de verplichtingen worden gefaseerd uitgerold tot 2027. Of de wet op uw organisatie van toepassing is, hangt af van de vraag of u AI-systemen ontwikkelt, inzet, distribueert of gebruikt in Europa, van de risicoklasse van het systeem en van de vraag of de AI-uitvoer binnen de EU wordt gebruikt.
De eerste verboden zijn al actief. De volledige vereisten voor hoog-risico AI-systemen gaan in augustus 2026 in. Boetes lopen op tot €35 miljoen of 7% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is.
De cijfers spreken voor zich: meer dan 40% van de Duitse bedrijven maakt al gebruik van AI, terwijl slechts 23% van de Europese organisaties zichzelf als goed voorbereid op AI-governance beschouwt. Hieronder leest u wat de verordening concreet zegt, welke certificeringen relevant zijn en welke praktische stappen u nu kunt zetten.
De EU AI Act: structuur en tijdlijn
De EU AI Act hanteert een risicogebaseerde aanpak. Niet alle AI-systemen worden gelijk behandeld: hoe hoger het risico dat een systeem vormt voor gezondheid, veiligheid of grondrechten, hoe strenger de regels.
Belangrijke data
| Datum | Wat treedt in werking |
|---|---|
| 1 augustus 2024 | EU AI Act treedt in werking |
| 2 februari 2025 | Verbod op verboden AI-praktijken (social scoring, realtime biometrische surveillance, manipulatie) |
| 2 augustus 2025 | Regels voor AI-modellen voor algemeen gebruik (GPAI) van toepassing, inclusief transparantie- en auteursrechtverplichtingen |
| 2 augustus 2026 | Volledige inwerkingtreding van verplichtingen voor hoog-risico AI-systemen: conformiteitsbeoordelingen, risicobeheer en menselijk toezicht verplicht |
| 2 augustus 2027 | Volledige handhaving van alle overige bepalingen, inclusief AI-systemen ingebed in gereguleerde producten |
De deadline van augustus 2026 is voor de meeste bedrijven de cruciale datum: dan treden de meeste nalevingsverplichtingen voor hoog-risico AI-systemen in werking. Let op: het amendementenpakket AI Digital Omnibus van de Europese Commissie (in 2026 in discussie) stelt voor Annex III hoog-risico systemen die al op de markt zijn vrij te stellen van de deadline van augustus 2026, tenzij zij ingrijpende ontwerpwijzigingen ondergaan. Handhaving zou daarmee voor bepaalde systemen mogelijk tot eind 2027 worden uitgesteld. Het voorstel is nog in bespreking: plan op basis van de oorspronkelijke tijdlijn.
Risicocategorieën toegelicht
De EU AI Act deelt AI-systemen in vier risiconiveaus in. Uw nalevingsverplichtingen hangen volledig af van de categorie waarin uw AI-systeem valt.
Onaanvaardbaar risico (verboden)
De volgende AI-praktijken zijn volledig verboden sinds februari 2025:
- Social scoring door overheden of private bedrijven
- Realtime biometrische identificatie op afstand in openbare ruimten (met beperkte uitzonderingen voor rechtshandhaving)
- Subliminale manipulatietechnieken die schade veroorzaken
- Misbruik van kwetsbaarheden van specifieke groepen (leeftijd, handicap)
- Predictive policing uitsluitend op basis van profilering
- Emotieherkenning op de werkvloer en in onderwijsinstellingen
- Ongerichte verzameling van gezichtsafbeeldingen van internet of bewakingscamera's voor de opbouw van databases
Hoog risico
AI-systemen in de volgende domeinen vallen onder de strengste vereisten: conformiteitsbeoordelingen, documentatie, menselijk toezicht en voortdurende monitoring:
- Kritieke infrastructuur: beheer van energie, transport, water en digitale infrastructuur
- Onderwijs: systemen die de toegang tot onderwijs bepalen of studenten beoordelen
- Werkgelegenheid: wervingstools, cv-screening, prestatiebeoordelingen, promotiebeslissingen
- Essentiële diensten: kredietscoring, verzekeringsprijzen, toegang tot publieke voorzieningen
- Rechtshandhaving: risicobeoordelingstools, polygrafen, bewijsevaluatie
- Migratie en grenscontrole: visumverwerking, asielaanvragen
- Justitie en democratie: systemen die rechterlijke beslissingen ondersteunen
Beperkt risico (transparantieverplichtingen)
AI-systemen die rechtstreeks met mensen communiceren, moeten openbaar maken dat het om AI gaat. Dit geldt voor chatbots, AI-gegenereerde content en deepfakes. Gebruikers moeten worden geïnformeerd dat zij met een AI-systeem communiceren, en AI-gegenereerde of gemanipuleerde content moet als zodanig worden gelabeld.
Minimaal risico
De meeste AI-toepassingen vallen in deze categorie: spamfilters, AI-ondersteunde ontwerphulpmiddelen, aanbevelingsengines en voorraadbeheer. De EU AI Act stelt hieraan geen specifieke eisen, al worden vrijwillige gedragscodes gestimuleerd.
Wat hoog-risico compliance in de praktijk vereist
Is uw AI-systeem geclassificeerd als hoog risico, dan moet vóór augustus 2026 het volgende zijn geregeld:
- Risicomanagementsysteem: doorlopende identificatie, analyse en beheersing van risico's gedurende de gehele levenscyclus van het AI-systeem
- Data governance: trainings-, validatie- en testdatasets moeten voldoen aan kwaliteitscriteria. Detectie en beperking van bias zijn verplicht
- Technische documentatie: gedetailleerde vastlegging van het doel, de architectuur, het trainingsproces, de prestatiestatistieken en de bekende beperkingen van het systeem
- Registratie en logging: automatische vastlegging van systeemoperaties voor traceerbaarheid en analyse na incidenten
- Transparantie: duidelijke instructies voor inzetters, inclusief bedoeld gebruik, prestatieniveaus en bekende risico's
- Menselijk toezicht: mechanismen waarmee menselijke operators AI-beslissingen kunnen monitoren, ingrijpen en overschrijven
- Nauwkeurigheid, robuustheid en cyberbeveiliging: systemen moeten consistent presteren en bestand zijn tegen aanvallen en datamanipulatie
Aanbieders die hoog-risico AI-systemen op de EU-markt brengen, zijn verplicht een conformiteitsbeoordeling uit te voeren vóór inzet. Afhankelijk van het domein gebeurt dit via zelfevaluatie of door een aangemelde instantie (derde-partij-auditor).
AI-modellen voor algemeen gebruik (GPAI)
Sinds augustus 2025 moeten aanbieders van AI-modellen voor algemeen gebruik, inclusief grote taalmodellen, voldoen aan transparantievereisten:
- Technische documentatie over de mogelijkheden en beperkingen van het model
- Auteursrechtnaleving: een voldoende gedetailleerde samenvatting van de inhoud van de trainingsdata, in lijn met het EU-auteursrecht
- Downstream transparantie: informatie verstrekken waarmee inzetters aan hun eigen verplichtingen kunnen voldoen
GPAI-modellen die zijn geclassificeerd als systemisch risico (doorgaans modellen getraind met meer dan 10^25 FLOPs) zijn onderworpen aan aanvullende verplichtingen: adversarial testing, incidentrapportage, cyberbeveiligingsmaatregelen en rapportage van energieverbruik.
De rol van Duitsland en nationale implementatie
Als EU-verordening geldt de AI Act rechtstreeks in alle lidstaten, zonder dat nationale omzetting nodig is. Elke lidstaat moet echter nationale bevoegde autoriteiten aanwijzen voor markttoezicht en handhaving.
Duitsland heeft de oorspronkelijke deadline van augustus 2025 voor het aanwijzen van deze autoriteiten gemist. In februari 2026 keurde het Duitse kabinet de KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG) goed: het nationale uitvoeringswetsvoorstel dat de regelgevingsstructuur vastlegt. Het doorloopt momenteel de Bundestag.
- BNetzA (Bundesnetzagentur): aangewezen als primaire AI-markttoezichthouder in Duitsland, coördineert handhaving over sectoren heen
- BSI (Bundesamt für Sicherheit in der Informationstechnik): verantwoordelijk voor cyberbeveiligingsaspecten van AI-systemen, stelt technische normen en richtlijnen op
- BfDI (Bundesbeauftragter für den Datenschutz): betrokken wanneer AI-systemen persoonsgegevens verwerken, bewaakt de afstemming met de GDPR
- Sectorspecifieke toezichthouders: BaFin (financiële diensten), BAuA (arbeidsveiligheid) en anderen houden AI-toezicht binnen hun respectieve domeinen
De BNetzA heeft ook een AI Service Desk opgericht (operationeel sinds juli 2025) die gratis, laagdrempelige adviesdiensten aanbiedt aan bedrijven, met name het midden- en kleinbedrijf, bij het navigeren door EU AI Act-compliance.
Duitsland is ook actief betrokken bij de ontwikkeling van AI-normen via DIN en DKE (de Duitse normalisatieorganen), als bijdrage aan Europese geharmoniseerde normen die de compliance-benchmarks voor de AI Act zullen vastleggen. Het BSI heeft het QUAIDAL-framework gepubliceerd: 143 kwaliteitsstatistieken voor de evaluatie van AI-trainingsdata.
Relevante certificeringen en normen
De EU AI Act schrijft geen specifieke certificeringen voor, maar een aantal normen ontwikkelt zich tot de praktische route om compliance aan te tonen.
ISO/IEC 42001: AI-managementsysteem
Gepubliceerd in december 2023 is dit de eerste internationale norm voor AI-managementsystemen. De norm biedt een gestructureerd kader voor organisaties om AI-risico's, governance en verantwoorde ontwikkeling te beheren. Vergelijkbaar met ISO 27001, maar dan voor AI: een certificeerbare managementsysteemnorm die ongeveer 70 tot 80% van de hoog-risico systeemvereisten uit de EU AI Act dekt.
- Wat het omvat: AI-beleid, risicobeoordeling, rollen en verantwoordelijkheden, databeheer, prestatie-evaluatie, continue verbetering
- Voor wie relevant: elke organisatie die AI-systemen ontwikkelt of inzet, met name in hoog-risico categorieën onder de EU AI Act
- Certificering: beschikbaar via geaccrediteerde certificeringsinstanties. Audits volgen dezelfde structuur als ISO 27001 (Stage 1 en Stage 2)
Andere relevante normen
| Norm | Focus | Status |
|---|---|---|
| ISO/IEC 42001 | AI-managementsysteem (certificeerbaar) | Gepubliceerd |
| ISO/IEC 23894 | AI-risicobeheer | Gepubliceerd |
| ISO/IEC 38507 | Governance van AI binnen organisaties | Gepubliceerd |
| ISO/IEC 25059 | Kwaliteitsmodel voor AI-systemen | Gepubliceerd |
| CEN/CENELEC JTC 21 | EU geharmoniseerde normen voor AI Act-compliance | In ontwikkeling |
| ISO/IEC TR 24027 | Bias in AI-systemen | Gepubliceerd |
| ISO/IEC 42005 | Impact assessment van AI-systemen | Gepubliceerd |
De CEN/CENELEC geharmoniseerde normen zijn bijzonder belangrijk. Na publicatie creëren zij een 'vermoeden van conformiteit': als uw AI-systeem aan deze normen voldoet, wordt aangenomen dat het ook voldoet aan de corresponderende eisen van de EU AI Act. Publicatie wordt verwacht gedurende 2025 en 2026.
Sancties bij niet-naleving
De EU AI Act introduceert een gelaagde boetestructuur die is afgestemd op de ernst van de overtreding:
| Overtreding | Maximale boete |
|---|---|
| Verboden AI-praktijken | €35 miljoen of 7% van de wereldwijde jaaromzet |
| Overtredingen met hoog-risico AI-systemen | €15 miljoen of 3% van de wereldwijde jaaromzet |
| Verstrekken van onjuiste informatie aan autoriteiten | €7,5 miljoen of 1% van de wereldwijde jaaromzet |
Voor het midden- en kleinbedrijf en startups zijn boetes gemaximeerd op de laagste van deze drempelwaarden, naar verhouding. De reputatieschade van niet-naleving kan echter het grotere bedrijfsrisico zijn, met name in B2B-contexten waar klanten van hun leveranciers steeds vaker bewijs van AI-compliance zullen eisen.
GDPR en de AI Act: waar ze overlappen
Verwerkt uw AI-systeem persoonsgegevens, wat bij de meeste systemen het geval is, dan moet u aan zowel de GDPR als de AI Act voldoen. Ze zijn complementair, niet tegenstrijdig:
- GDPR regelt hoe persoonsgegevens worden verzameld, verwerkt en opgeslagen, inclusief trainingsdata voor AI-modellen
- AI Act regelt het AI-systeem zelf: het ontwerp, de tests, de inzet en de voortdurende monitoring
- Gegevensbeschermingseffectbeoordelingen (DPIA's) onder de GDPR sluiten nauw aan bij de risicobeoordelingen voor hoog-risico systemen in de AI Act
- Geautomatiseerde besluitvorming onder GDPR Artikel 22 geeft personen al het recht om door AI genomen beslissingen aan te vechten. De AI Act voegt daar technische vereisten aan toe
Organisaties die al beschikken over volwassen GDPR-processen hebben een voorsprong. De documentatie-, effectbeoordelings- en governancekaders overlappen in aanzienlijke mate.
Praktische stappen: wat u nu kunt doen
Of u nu een startup bent die een chatbot inzet of een onderneming die AI-gestuurde kredietbeoordelingen uitvoert, hieronder volgt een concreet actieplan:
1. Inventariseer uw AI-systemen
Breng elk AI-systeem in kaart dat uw organisatie ontwikkelt, inzet of gebruikt. Neem ook AI-tools van derden mee (CRM-scoring, wervingsplatforms, analytics). Classificeer elk systeem aan de hand van de risicocategorieën uit de EU AI Act.
2. Bepaal uw rol
De AI Act maakt onderscheid tussen aanbieders (die AI-systemen ontwikkelen of op de markt brengen) en inzetters (die ze gebruiken). Uw verplichtingen verschillen aanzienlijk op basis van uw rol. Gebruikt u een AI-tool van een derde partij, dan bent u inzetter, maar ook dan gelden transparantie-, toezicht- en monitoringverplichtingen.
3. Gap-analyse ten opzichte van hoog-risico vereisten
Beoordeel voor elk hoog-risico AI-systeem uw huidige situatie aan de hand van de zeven kernvereisten: risicobeheer, data governance, documentatie, logging, transparantie, menselijk toezicht en robuustheid. Identificeer hiaten en prioriteer herstelmaatregelen.
4. Implementeer AI governance
Stel een AI-governancekader op: beleid, rollen en processen voor verantwoord beheer van AI-systemen. ISO/IEC 42001 biedt een kant-en-klare structuur. Zelfs zonder certificering geeft het kader een aantoonbaar solide uitgangspunt.
5. Bereid u voor op conformiteitsbeoordelingen
Levert u hoog-risico AI-systemen, begin dan nu met het opstellen van technische documentatie, testprotocollen en kwaliteitsmanagementsystemen. Het conformiteitsbeoordelingsproces vereist bewijs van naleving op alle zeven vereistengebieden.
6. Train uw teams
De AI Act vereist uitdrukkelijk dat medewerkers die betrokken zijn bij AI-systemen voldoende AI-geletterdheid bezitten. Artikel 4 verplicht dit. Investeer in training voor ontwikkelaars, productmanagers, complianceteams en directie.
Impact op website en product
Maakt uw website gebruik van AI-functies als chatbots, personalisatie-engines, aanbevelingssystemen of geautomatiseerde contentgeneratie, dan valt u in elk geval onder de transparantieverplichtingen voor beperkt risico.
- AI-chatbots moeten voorafgaand aan de interactie kenbaar maken dat het om een AI-systeem gaat
- AI-gegenereerde content op uw website moet als zodanig worden gelabeld waar die kan worden aangezien voor door mensen gemaakte content
- Personalisatie- en profileringssystemen kunnen GDPR- en AI Act-verplichtingen activeren, afhankelijk van de impact op gebruikers
- AI-gestuurde formulieren en scoring (lead scoring, geschiktheidscontroles) moeten worden beoordeeld op risicoklasse
Een helder AI-openbaarmakingsbeleid informeert gebruikers in begrijpelijke taal voordat de interactie begint, labelt gegenereerde content waar dat nodig is en laat toezichthouders zien dat transparantie in het werkproces is ingebouwd.
Volgende stappen
De AI-regelgeving in Europa vertraagt niet. Het kader staat, de deadlines zijn vastgesteld en de handhavingsmechanismen worden opgebouwd. Bedrijven die dit als een probleem van 2027 beschouwen, zullen zich overhaast moeten voorbereiden: de deadline van augustus 2026 voor hoog-risico systemen is nog maar enkele maanden verwijderd.
webvise ontwikkelt digitale producten met compliance als uitgangspunt. Of het nu gaat om het beoordelen van AI-functies op uw website voor EU AI Act-compliance, het implementeren van juiste openbaringsmechanismen of een volledige technische audit van uw digitale aanwezigheid: neem contact op voor praktische hulp bij het navigeren door de regelgeving.
De werkwijzen van webvise zijn afgestemd op de ISO 27001- en ISO 42001-normen.