Skip to content
· 12 min. leestijd

AI-regelgeving en certificeringen in Duitsland en Europa: wat bedrijven in 2026 moeten weten

De EU AI Act is van kracht, met belangrijke nalevingsdeadlines in 2026 en 2027. Wat de verordening concreet vereist, welke certificeringen relevant zijn en welke stappen u nu moet zetten.

AIBusiness StrategySecurity
Delen

De EU AI Act is het eerste uitgebreide wettelijke kader voor kunstmatige intelligentie ter wereld. De verordening trad op 1 augustus 2024 in werking en de verplichtingen worden gefaseerd uitgerold tot 2027. Of de wet op uw organisatie van toepassing is, hangt af van de vraag of u AI-systemen ontwikkelt, inzet, distribueert of gebruikt in Europa, van de risicoklasse van het systeem en van de vraag of de AI-uitvoer binnen de EU wordt gebruikt.

De eerste verboden zijn al actief. De volledige vereisten voor hoog-risico AI-systemen gaan in augustus 2026 in. Boetes lopen op tot €35 miljoen of 7% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is.

De cijfers spreken voor zich: meer dan 40% van de Duitse bedrijven maakt al gebruik van AI, terwijl slechts 23% van de Europese organisaties zichzelf als goed voorbereid op AI-governance beschouwt. Hieronder leest u wat de verordening concreet zegt, welke certificeringen relevant zijn en welke praktische stappen u nu kunt zetten.

De EU AI Act: structuur en tijdlijn

De EU AI Act hanteert een risicogebaseerde aanpak. Niet alle AI-systemen worden gelijk behandeld: hoe hoger het risico dat een systeem vormt voor gezondheid, veiligheid of grondrechten, hoe strenger de regels.

Belangrijke data

DatumWat treedt in werking
1 augustus 2024EU AI Act treedt in werking
2 februari 2025Verbod op verboden AI-praktijken (social scoring, realtime biometrische surveillance, manipulatie)
2 augustus 2025Regels voor AI-modellen voor algemeen gebruik (GPAI) van toepassing, inclusief transparantie- en auteursrechtverplichtingen
2 augustus 2026Volledige inwerkingtreding van verplichtingen voor hoog-risico AI-systemen: conformiteitsbeoordelingen, risicobeheer en menselijk toezicht verplicht
2 augustus 2027Volledige handhaving van alle overige bepalingen, inclusief AI-systemen ingebed in gereguleerde producten

De deadline van augustus 2026 is voor de meeste bedrijven de cruciale datum: dan treden de meeste nalevingsverplichtingen voor hoog-risico AI-systemen in werking. Let op: het amendementenpakket AI Digital Omnibus van de Europese Commissie (in 2026 in discussie) stelt voor Annex III hoog-risico systemen die al op de markt zijn vrij te stellen van de deadline van augustus 2026, tenzij zij ingrijpende ontwerpwijzigingen ondergaan. Handhaving zou daarmee voor bepaalde systemen mogelijk tot eind 2027 worden uitgesteld. Het voorstel is nog in bespreking: plan op basis van de oorspronkelijke tijdlijn.

Risicocategorieën toegelicht

De EU AI Act deelt AI-systemen in vier risiconiveaus in. Uw nalevingsverplichtingen hangen volledig af van de categorie waarin uw AI-systeem valt.

Onaanvaardbaar risico (verboden)

De volgende AI-praktijken zijn volledig verboden sinds februari 2025:

  • Social scoring door overheden of private bedrijven
  • Realtime biometrische identificatie op afstand in openbare ruimten (met beperkte uitzonderingen voor rechtshandhaving)
  • Subliminale manipulatietechnieken die schade veroorzaken
  • Misbruik van kwetsbaarheden van specifieke groepen (leeftijd, handicap)
  • Predictive policing uitsluitend op basis van profilering
  • Emotieherkenning op de werkvloer en in onderwijsinstellingen
  • Ongerichte verzameling van gezichtsafbeeldingen van internet of bewakingscamera's voor de opbouw van databases

Hoog risico

AI-systemen in de volgende domeinen vallen onder de strengste vereisten: conformiteitsbeoordelingen, documentatie, menselijk toezicht en voortdurende monitoring:

  • Kritieke infrastructuur: beheer van energie, transport, water en digitale infrastructuur
  • Onderwijs: systemen die de toegang tot onderwijs bepalen of studenten beoordelen
  • Werkgelegenheid: wervingstools, cv-screening, prestatiebeoordelingen, promotiebeslissingen
  • Essentiële diensten: kredietscoring, verzekeringsprijzen, toegang tot publieke voorzieningen
  • Rechtshandhaving: risicobeoordelingstools, polygrafen, bewijsevaluatie
  • Migratie en grenscontrole: visumverwerking, asielaanvragen
  • Justitie en democratie: systemen die rechterlijke beslissingen ondersteunen

Beperkt risico (transparantieverplichtingen)

AI-systemen die rechtstreeks met mensen communiceren, moeten openbaar maken dat het om AI gaat. Dit geldt voor chatbots, AI-gegenereerde content en deepfakes. Gebruikers moeten worden geïnformeerd dat zij met een AI-systeem communiceren, en AI-gegenereerde of gemanipuleerde content moet als zodanig worden gelabeld.

Minimaal risico

De meeste AI-toepassingen vallen in deze categorie: spamfilters, AI-ondersteunde ontwerphulpmiddelen, aanbevelingsengines en voorraadbeheer. De EU AI Act stelt hieraan geen specifieke eisen, al worden vrijwillige gedragscodes gestimuleerd.

Wat hoog-risico compliance in de praktijk vereist

Is uw AI-systeem geclassificeerd als hoog risico, dan moet vóór augustus 2026 het volgende zijn geregeld:

  • Risicomanagementsysteem: doorlopende identificatie, analyse en beheersing van risico's gedurende de gehele levenscyclus van het AI-systeem
  • Data governance: trainings-, validatie- en testdatasets moeten voldoen aan kwaliteitscriteria. Detectie en beperking van bias zijn verplicht
  • Technische documentatie: gedetailleerde vastlegging van het doel, de architectuur, het trainingsproces, de prestatiestatistieken en de bekende beperkingen van het systeem
  • Registratie en logging: automatische vastlegging van systeemoperaties voor traceerbaarheid en analyse na incidenten
  • Transparantie: duidelijke instructies voor inzetters, inclusief bedoeld gebruik, prestatieniveaus en bekende risico's
  • Menselijk toezicht: mechanismen waarmee menselijke operators AI-beslissingen kunnen monitoren, ingrijpen en overschrijven
  • Nauwkeurigheid, robuustheid en cyberbeveiliging: systemen moeten consistent presteren en bestand zijn tegen aanvallen en datamanipulatie

Aanbieders die hoog-risico AI-systemen op de EU-markt brengen, zijn verplicht een conformiteitsbeoordeling uit te voeren vóór inzet. Afhankelijk van het domein gebeurt dit via zelfevaluatie of door een aangemelde instantie (derde-partij-auditor).

AI-modellen voor algemeen gebruik (GPAI)

Sinds augustus 2025 moeten aanbieders van AI-modellen voor algemeen gebruik, inclusief grote taalmodellen, voldoen aan transparantievereisten:

  • Technische documentatie over de mogelijkheden en beperkingen van het model
  • Auteursrechtnaleving: een voldoende gedetailleerde samenvatting van de inhoud van de trainingsdata, in lijn met het EU-auteursrecht
  • Downstream transparantie: informatie verstrekken waarmee inzetters aan hun eigen verplichtingen kunnen voldoen

GPAI-modellen die zijn geclassificeerd als systemisch risico (doorgaans modellen getraind met meer dan 10^25 FLOPs) zijn onderworpen aan aanvullende verplichtingen: adversarial testing, incidentrapportage, cyberbeveiligingsmaatregelen en rapportage van energieverbruik.

De rol van Duitsland en nationale implementatie

Als EU-verordening geldt de AI Act rechtstreeks in alle lidstaten, zonder dat nationale omzetting nodig is. Elke lidstaat moet echter nationale bevoegde autoriteiten aanwijzen voor markttoezicht en handhaving.

Duitsland heeft de oorspronkelijke deadline van augustus 2025 voor het aanwijzen van deze autoriteiten gemist. In februari 2026 keurde het Duitse kabinet de KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG) goed: het nationale uitvoeringswetsvoorstel dat de regelgevingsstructuur vastlegt. Het doorloopt momenteel de Bundestag.

  • BNetzA (Bundesnetzagentur): aangewezen als primaire AI-markttoezichthouder in Duitsland, coördineert handhaving over sectoren heen
  • BSI (Bundesamt für Sicherheit in der Informationstechnik): verantwoordelijk voor cyberbeveiligingsaspecten van AI-systemen, stelt technische normen en richtlijnen op
  • BfDI (Bundesbeauftragter für den Datenschutz): betrokken wanneer AI-systemen persoonsgegevens verwerken, bewaakt de afstemming met de GDPR
  • Sectorspecifieke toezichthouders: BaFin (financiële diensten), BAuA (arbeidsveiligheid) en anderen houden AI-toezicht binnen hun respectieve domeinen

De BNetzA heeft ook een AI Service Desk opgericht (operationeel sinds juli 2025) die gratis, laagdrempelige adviesdiensten aanbiedt aan bedrijven, met name het midden- en kleinbedrijf, bij het navigeren door EU AI Act-compliance.

Duitsland is ook actief betrokken bij de ontwikkeling van AI-normen via DIN en DKE (de Duitse normalisatieorganen), als bijdrage aan Europese geharmoniseerde normen die de compliance-benchmarks voor de AI Act zullen vastleggen. Het BSI heeft het QUAIDAL-framework gepubliceerd: 143 kwaliteitsstatistieken voor de evaluatie van AI-trainingsdata.

Relevante certificeringen en normen

De EU AI Act schrijft geen specifieke certificeringen voor, maar een aantal normen ontwikkelt zich tot de praktische route om compliance aan te tonen.

ISO/IEC 42001: AI-managementsysteem

Gepubliceerd in december 2023 is dit de eerste internationale norm voor AI-managementsystemen. De norm biedt een gestructureerd kader voor organisaties om AI-risico's, governance en verantwoorde ontwikkeling te beheren. Vergelijkbaar met ISO 27001, maar dan voor AI: een certificeerbare managementsysteemnorm die ongeveer 70 tot 80% van de hoog-risico systeemvereisten uit de EU AI Act dekt.

  • Wat het omvat: AI-beleid, risicobeoordeling, rollen en verantwoordelijkheden, databeheer, prestatie-evaluatie, continue verbetering
  • Voor wie relevant: elke organisatie die AI-systemen ontwikkelt of inzet, met name in hoog-risico categorieën onder de EU AI Act
  • Certificering: beschikbaar via geaccrediteerde certificeringsinstanties. Audits volgen dezelfde structuur als ISO 27001 (Stage 1 en Stage 2)

Andere relevante normen

NormFocusStatus
ISO/IEC 42001AI-managementsysteem (certificeerbaar)Gepubliceerd
ISO/IEC 23894AI-risicobeheerGepubliceerd
ISO/IEC 38507Governance van AI binnen organisatiesGepubliceerd
ISO/IEC 25059Kwaliteitsmodel voor AI-systemenGepubliceerd
CEN/CENELEC JTC 21EU geharmoniseerde normen voor AI Act-complianceIn ontwikkeling
ISO/IEC TR 24027Bias in AI-systemenGepubliceerd
ISO/IEC 42005Impact assessment van AI-systemenGepubliceerd

De CEN/CENELEC geharmoniseerde normen zijn bijzonder belangrijk. Na publicatie creëren zij een 'vermoeden van conformiteit': als uw AI-systeem aan deze normen voldoet, wordt aangenomen dat het ook voldoet aan de corresponderende eisen van de EU AI Act. Publicatie wordt verwacht gedurende 2025 en 2026.

Sancties bij niet-naleving

De EU AI Act introduceert een gelaagde boetestructuur die is afgestemd op de ernst van de overtreding:

OvertredingMaximale boete
Verboden AI-praktijken€35 miljoen of 7% van de wereldwijde jaaromzet
Overtredingen met hoog-risico AI-systemen€15 miljoen of 3% van de wereldwijde jaaromzet
Verstrekken van onjuiste informatie aan autoriteiten€7,5 miljoen of 1% van de wereldwijde jaaromzet

Voor het midden- en kleinbedrijf en startups zijn boetes gemaximeerd op de laagste van deze drempelwaarden, naar verhouding. De reputatieschade van niet-naleving kan echter het grotere bedrijfsrisico zijn, met name in B2B-contexten waar klanten van hun leveranciers steeds vaker bewijs van AI-compliance zullen eisen.

GDPR en de AI Act: waar ze overlappen

Verwerkt uw AI-systeem persoonsgegevens, wat bij de meeste systemen het geval is, dan moet u aan zowel de GDPR als de AI Act voldoen. Ze zijn complementair, niet tegenstrijdig:

  • GDPR regelt hoe persoonsgegevens worden verzameld, verwerkt en opgeslagen, inclusief trainingsdata voor AI-modellen
  • AI Act regelt het AI-systeem zelf: het ontwerp, de tests, de inzet en de voortdurende monitoring
  • Gegevensbeschermingseffectbeoordelingen (DPIA's) onder de GDPR sluiten nauw aan bij de risicobeoordelingen voor hoog-risico systemen in de AI Act
  • Geautomatiseerde besluitvorming onder GDPR Artikel 22 geeft personen al het recht om door AI genomen beslissingen aan te vechten. De AI Act voegt daar technische vereisten aan toe

Organisaties die al beschikken over volwassen GDPR-processen hebben een voorsprong. De documentatie-, effectbeoordelings- en governancekaders overlappen in aanzienlijke mate.

Praktische stappen: wat u nu kunt doen

Of u nu een startup bent die een chatbot inzet of een onderneming die AI-gestuurde kredietbeoordelingen uitvoert, hieronder volgt een concreet actieplan:

1. Inventariseer uw AI-systemen

Breng elk AI-systeem in kaart dat uw organisatie ontwikkelt, inzet of gebruikt. Neem ook AI-tools van derden mee (CRM-scoring, wervingsplatforms, analytics). Classificeer elk systeem aan de hand van de risicocategorieën uit de EU AI Act.

2. Bepaal uw rol

De AI Act maakt onderscheid tussen aanbieders (die AI-systemen ontwikkelen of op de markt brengen) en inzetters (die ze gebruiken). Uw verplichtingen verschillen aanzienlijk op basis van uw rol. Gebruikt u een AI-tool van een derde partij, dan bent u inzetter, maar ook dan gelden transparantie-, toezicht- en monitoringverplichtingen.

3. Gap-analyse ten opzichte van hoog-risico vereisten

Beoordeel voor elk hoog-risico AI-systeem uw huidige situatie aan de hand van de zeven kernvereisten: risicobeheer, data governance, documentatie, logging, transparantie, menselijk toezicht en robuustheid. Identificeer hiaten en prioriteer herstelmaatregelen.

4. Implementeer AI governance

Stel een AI-governancekader op: beleid, rollen en processen voor verantwoord beheer van AI-systemen. ISO/IEC 42001 biedt een kant-en-klare structuur. Zelfs zonder certificering geeft het kader een aantoonbaar solide uitgangspunt.

5. Bereid u voor op conformiteitsbeoordelingen

Levert u hoog-risico AI-systemen, begin dan nu met het opstellen van technische documentatie, testprotocollen en kwaliteitsmanagementsystemen. Het conformiteitsbeoordelingsproces vereist bewijs van naleving op alle zeven vereistengebieden.

6. Train uw teams

De AI Act vereist uitdrukkelijk dat medewerkers die betrokken zijn bij AI-systemen voldoende AI-geletterdheid bezitten. Artikel 4 verplicht dit. Investeer in training voor ontwikkelaars, productmanagers, complianceteams en directie.

Impact op website en product

Maakt uw website gebruik van AI-functies als chatbots, personalisatie-engines, aanbevelingssystemen of geautomatiseerde contentgeneratie, dan valt u in elk geval onder de transparantieverplichtingen voor beperkt risico.

  • AI-chatbots moeten voorafgaand aan de interactie kenbaar maken dat het om een AI-systeem gaat
  • AI-gegenereerde content op uw website moet als zodanig worden gelabeld waar die kan worden aangezien voor door mensen gemaakte content
  • Personalisatie- en profileringssystemen kunnen GDPR- en AI Act-verplichtingen activeren, afhankelijk van de impact op gebruikers
  • AI-gestuurde formulieren en scoring (lead scoring, geschiktheidscontroles) moeten worden beoordeeld op risicoklasse

Een helder AI-openbaarmakingsbeleid informeert gebruikers in begrijpelijke taal voordat de interactie begint, labelt gegenereerde content waar dat nodig is en laat toezichthouders zien dat transparantie in het werkproces is ingebouwd.

Volgende stappen

De AI-regelgeving in Europa vertraagt niet. Het kader staat, de deadlines zijn vastgesteld en de handhavingsmechanismen worden opgebouwd. Bedrijven die dit als een probleem van 2027 beschouwen, zullen zich overhaast moeten voorbereiden: de deadline van augustus 2026 voor hoog-risico systemen is nog maar enkele maanden verwijderd.

webvise ontwikkelt digitale producten met compliance als uitgangspunt. Of het nu gaat om het beoordelen van AI-functies op uw website voor EU AI Act-compliance, het implementeren van juiste openbaringsmechanismen of een volledige technische audit van uw digitale aanwezigheid: neem contact op voor praktische hulp bij het navigeren door de regelgeving.

De werkwijzen van webvise zijn afgestemd op de ISO 27001- en ISO 42001-normen.