Voor wie geldt de EU AI Act?

De AI Act geldt voor aanbieders (ontwikkelaars) en gebruikers (deployers) van AI-systemen die in de EU op de markt worden gebracht of worden gebruikt. Dit omvat ook niet-Europese bedrijven waarvan de AI-output in de EU wordt gebruikt. Vrijwel elke organisatie die AI ontwikkelt, inkoopt of inzet, valt onder de reikwijdte van de wet.

Wanneer wordt de EU AI Act volledig van kracht?

De AI Act kent een gefaseerde inwerkingtreding. De verbodsbepalingen gelden sinds februari 2025, de AI-geletterdheidsplicht sinds februari 2026, de hoog-risico verplichtingen vanaf augustus 2026, en de verplichtingen voor AI in gereguleerde producten vanaf augustus 2027. De GPAI-verplichtingen gelden sinds augustus 2025.

Hoe bepaal ik of mijn AI-systeem hoog risico is?

Een AI-systeem is hoog risico als het wordt ingezet als veiligheidscomponent van een gereguleerd product (groep 1) of als het valt onder een van de acht toepassingsgebieden in Bijlage III van de AI Act, zoals werving en selectie, kredietbeoordeling, onderwijs of rechtshandhaving. Gebruik de risicoclassificatie decision tree op aiactblog.nl voor een snelle beoordeling.

Wat is het verschil tussen een aanbieder en een gebruiker onder de AI Act?

Een aanbieder (provider) is de organisatie die het AI-systeem ontwikkelt of laat ontwikkelen en onder eigen naam op de markt brengt. Een gebruiker (deployer) is de organisatie die het AI-systeem inzet in haar bedrijfsvoering. Beide hebben eigen verplichtingen: de aanbieder draagt de primaire verantwoordelijkheid voor conformiteit, terwijl de gebruiker verantwoordelijk is voor correct gebruik en menselijk toezicht.

Hoe hoog zijn de boetes bij overtreding van de AI Act?

De boetes varieren op basis van de ernst van de overtreding. Het inzetten van verboden AI-systemen kan leiden tot boetes tot 35 miljoen euro of 7% van de wereldwijde jaaromzet. Overige overtredingen van hoog-risico verplichtingen kunnen leiden tot boetes tot 15 miljoen euro of 3% van de jaaromzet. Voor kmo's en start-ups gelden proportionele maxima.

Is de AI Act ook van toepassing op bestaande AI-systemen?

Ja. De AI Act geldt voor alle AI-systemen die na de toepasselijke deadlines op de EU-markt worden aangeboden of in gebruik zijn, ongeacht wanneer ze zijn ontwikkeld. Bestaande hoog-risico systemen moeten dus per augustus 2026 aan de verplichtingen voldoen. Het is raadzaam om nu al te beginnen met de inventarisatie en voorbereiding.

De EU AI Act: een compleet overzicht

Actuele stand van zaken (maart 2026): De EU AI Act is op 1 augustus 2024 in werking getreden. De verbodsbepalingen (artikel 5) gelden sinds 2 februari 2025. De AI-geletterdheidsplicht (artikel 4) geldt sinds 2 februari 2026. De verplichtingen voor hoog-risico AI-systemen worden op 2 augustus 2026 van kracht. Dit overzicht is bijgewerkt met de laatste stand van de implementatie.

De EU AI Act (officieel: Verordening (EU) 2024/1689) is de eerste uitgebreide AI-wetgeving ter wereld. Deze verordening stelt een uniform wettelijk kader vast voor de ontwikkeling, het op de markt brengen en het gebruik van AI-systemen in de gehele Europese Unie. De wet raakt vrijwel elke organisatie die AI ontwikkelt of inzet, van techgiganten tot het MKB, en van de publieke sector tot de gezondheidszorg.

In dit artikel geven we een compleet overzicht van de belangrijkste elementen van de AI Act: de risicogebaseerde aanpak, de verplichtingen voor verschillende actoren, de tijdlijnen voor implementatie, en wat dit concreet betekent voor organisaties in 2026.

Waarom een AI-wet?

De motivatie achter de EU AI Act is drieledig. Ten eerste wil de EU de grondrechten en veiligheid van burgers beschermen tegen de risico's van AI. AI-systemen nemen steeds vaker beslissingen die grote impact hebben op het leven van individuen: van sollicitatieprocedures en kredietbeoordelingen tot medische diagnoses en rechtshandhaving. Zonder adequate waarborgen kunnen deze systemen leiden tot discriminatie, privacyschendingen en onrechtvaardige uitkomsten.

Ten tweede wil de EU rechtszekerheid bieden aan bedrijven die AI ontwikkelen en inzetten. Een uniform Europees kader voorkomt een lappendeken van nationale regels en maakt het mogelijk om met een product de gehele interne markt van 450 miljoen consumenten te bedienen.

Ten derde beoogt de wet innovatie te stimuleren door vertrouwen te creeren. Consumenten en bedrijven die vertrouwen hebben in AI-systemen, zijn eerder geneigd om ze te adopteren. De AI Act moet dit vertrouwen opbouwen door minimumnormen te stellen voor veiligheid, transparantie en betrouwbaarheid.

De risicogebaseerde aanpak: vier niveaus

Het hart van de AI Act is het risicogebaseerde classificatiesysteem. AI-systemen worden ingedeeld in vier niveaus op basis van het risico dat ze vormen voor grondrechten en veiligheid. Hoe hoger het risico, hoe strenger de regels.

Onaanvaardbaar risico: verboden AI-systemen

Aan de top van de piramide staan AI-systemen die de EU beschouwt als een onaanvaardbaar risico voor grondrechten en democratische waarden. Deze systemen zijn volledig verboden. Het gaat om acht specifieke categorieen, waaronder:

Social scoring: AI-systemen die personen classificeren en beoordelen op basis van hun sociale gedrag, met nadelige gevolgen in niet-gerelateerde contexten.
Manipulatieve AI: Systemen die subliminale of misleidende technieken gebruiken om personen te beinvloeden op een wijze die buiten hun bewustzijn valt.
Exploitatie van kwetsbaarheden: AI die doelbewust misbruik maakt van de kwetsbaarheid van specifieke groepen (kinderen, ouderen, personen met een beperking).
Realtime biometrische identificatie: Gezichtsherkenning in openbare ruimten voor rechtshandhaving, met beperkte uitzonderingen.
Emotieherkenning op de werkplek en in het onderwijs.
Ongerichte scraping voor gezichtsherkenningsdatabanken.
Biometrische categorisatie op gevoelige kenmerken.
Predictieve risicobeoordeling op basis van profilering.

Deze verboden zijn op 2 februari 2025 van kracht geworden. Een uitgebreide analyse vindt u in verboden AI-systemen onder de EU AI Act.

Hoog risico: streng gereguleerd

De categorie hoog-risico AI-systemen is het meest uitgebreide en complexe onderdeel van de AI Act. Het gaat om twee groepen:

Groep 1: AI als veiligheidscomponent van gereguleerde producten. AI-systemen die worden gebruikt als veiligheidscomponent van producten die vallen onder bestaande Europese productregelgeving, zoals medische hulpmiddelen, machines, liften, speelgoed en motorvoertuigen. Deze systemen moeten voldoen aan de specifieke conformiteitsbeoordelingen van de betreffende sectorale wetgeving.

Groep 2: AI in kritische toepassingsgebieden (Bijlage III). De AI Act definieert acht toepassingsgebieden waarin AI-systemen als hoog risico worden beschouwd:

Biometrie: Systemen voor biometrische identificatie op afstand (anders dan realtime in openbare ruimten, wat verboden is).
Kritieke infrastructuur: AI in het beheer en de exploitatie van kritieke digitale infrastructuur, verkeersmanagement en energie- en watervoorziening.
Onderwijs en beroepsopleiding: AI die bepaalt of iemand wordt toegelaten tot onderwijs, die leerprestaties beoordeelt, of die het onderwijsniveau bepaalt.
Werkgelegenheid en personeelsbeheer: AI in werving, selectie en HR-processen, inclusief het scannen van cv's, het beoordelen van kandidaten en het nemen van besluiten over bevordering of ontslag.
Toegang tot essentiele diensten: AI die besluiten neemt over kredietwaardigheid, verzekeringspremies, toegang tot gezondheidszorg en sociale uitkeringen.
Rechtshandhaving: AI in de context van opsporing, onderzoek en vervolging van strafbare feiten.
Migratie en grenscontrole: AI in de beoordeling van asielaanvragen, visumaanvragen en grenscontroles.
Rechtsbedeling en democratische processen: AI in de rechtspraak en in processen die de uitkomst van verkiezingen kunnen beinvloeden.

Voor al deze systemen gelden verplichtingen die in augustus 2026 van kracht worden. Meer details leest u bij hoog-risico AI-systemen.

Verplichtingen voor hoog-risico AI-systemen

Aanbieders van hoog-risico AI-systemen moeten voldoen aan een uitgebreid pakket aan eisen:

Risicobeheersysteem (artikel 9): een doorlopend proces van risico-identificatie, -analyse en -mitigatie gedurende de gehele levenscyclus van het systeem.
Datakwaliteit en datagovernance (artikel 10): trainings-, validatie- en testdata moeten voldoen aan hoge kwaliteitsstandaarden en worden beheerd via gedocumenteerde processen.
Technische documentatie (artikel 11): gedetailleerde documentatie over het ontwerp, de werking en de beperkingen van het systeem.
Logging en traceerbaarheid (artikel 12): het systeem moet automatisch logboeken bijhouden om traceerbaarheid te waarborgen.
Transparantie (artikel 13): duidelijke informatie voor gebruikers over de capaciteiten en beperkingen van het systeem.
Menselijk toezicht (artikel 14): het systeem moet zo zijn ontworpen dat effectief menselijk toezicht mogelijk is.
Nauwkeurigheid, robuustheid en cyberveiligheid (artikel 15): het systeem moet betrouwbaar presteren en bestand zijn tegen manipulatie.
Registratie in de EU-database (artikel 49): hoog-risico systemen moeten worden geregistreerd voordat ze op de markt worden gebracht.

Beperkt risico: transparantieverplichtingen

AI-systemen met een beperkt risico moeten primair voldoen aan transparantieverplichtingen. Dit betreft onder andere:

AI-chatbots en conversatiesystemen: Gebruikers moeten worden geinformeerd dat ze met een AI-systeem communiceren. Lees meer over AI-chatbots en de compliance-vereisten.
Deepfakes en AI-gegenereerde content: Content die is gegenereerd of gemanipuleerd door AI moet als zodanig worden gelabeld. Dit omvat beeld, geluid en video.
Emotieherkenning en biometrische categorisatie: Waar deze systemen niet verboden zijn (buiten de werkplek en het onderwijs), moeten personen worden geinformeerd dat dergelijke technologie wordt gebruikt.

Minimaal risico: geen specifieke verplichtingen

De overgrote meerderheid van AI-toepassingen valt in de categorie minimaal risico. Dit betreft alledaagse toepassingen zoals spamfilters, spellingcontroles, aanbevelingsalgoritmen voor muziek en video, en AI-gestuurde zoekmachines. Voor deze systemen gelden geen specifieke verplichtingen onder de AI Act, hoewel de algemene AI-geletterdheidsplicht (artikel 4) en eventueel van toepassing zijnde andere wetgeving (zoals de AVG) uiteraard wel gelden.

Wie is waarvoor verantwoordelijk?

De AI Act maakt onderscheid tussen verschillende rollen in de AI-waardeketen, elk met eigen verantwoordelijkheden.

Aanbieders (providers)

Aanbieders zijn organisaties die een AI-systeem ontwikkelen of laten ontwikkelen en het onder eigen naam op de markt brengen. Zij dragen de zwaarste verantwoordelijkheid: het systeem moet voldoen aan alle toepasselijke eisen voor het op de markt wordt gebracht.

Gebruikers (deployers)

Gebruikers zijn organisaties die AI-systemen inzetten in hun bedrijfsvoering. Zij hebben eigen verplichtingen, waaronder het inzetten van het systeem conform de gebruiksaanwijzing, het waarborgen van menselijk toezicht, en het uitvoeren van een grondrechteneffectbeoordeling (FRIA) voor hoog-risico systemen. Een volledig overzicht van de deployer-verplichtingen vindt u in de artikel 26 checklist.

Importeurs en distributeurs

Importeurs en distributeurs hebben de verantwoordelijkheid om te verifiëren dat AI-systemen die zij op de Europese markt brengen aan de eisen voldoen. Zij fungeren als poortwachters.

Productfabrikanten

Wanneer een AI-systeem wordt geintegreerd in een product (zoals een medisch hulpmiddel of een machine), draagt de productfabrikant mede verantwoordelijkheid voor de conformiteit van het AI-component.

2 minuten, geen account nodig

Leer de EU AI Act door te doen

Geen slides. Geen saaie e-learning. Probeer een interactieve module.

Interactive ChallengePowered by

LearnWize

Doe de volledige test op LearnWize

Probeer het zelf

3 interactieve oefeningen. Verdien XP. Ontdek waarom dit beter werkt dan lezen.

Doe de volledige test op LearnWize

Flashcards→Matching→Audit

De tijdlijn: wanneer geldt wat?

De AI Act kent een gefaseerde inwerkingtreding om organisaties voldoende tijd te geven zich voor te bereiden.

Datum	Wat wordt van kracht
1 augustus 2024	Inwerkingtreding van de verordening
2 februari 2025	Verbodsbepalingen (artikel 5) en AI-geletterdheid algemene bepalingen
2 augustus 2025	Verplichtingen voor general-purpose AI-modellen (GPAI)
2 februari 2026	AI-geletterdheidsplicht (artikel 4) volledig van kracht
2 augustus 2026	Verplichtingen voor hoog-risico AI-systemen (Bijlage III)
2 augustus 2027	Verplichtingen voor hoog-risico AI in gereguleerde producten

Let op: De Europese Commissie heeft via het Digital Omnibus-voorstel een uitstel van de hoog-risico verplichtingen voorgesteld. Het Europees Parlement heeft hier in maart 2026 over gestemd. Volg de actuele stand op de AI Act Explorer.

General-purpose AI-modellen

Een belangrijk onderdeel van de AI Act is de regulering van general-purpose AI-modellen (GPAI), ook wel foundation models genoemd. Dit zijn brede AI-modellen zoals GPT-4, Claude, Gemini en Llama die voor uiteenlopende taken kunnen worden ingezet.

Aanbieders van GPAI-modellen moeten voldoen aan transparantieverplichtingen, waaronder technische documentatie, een copyright-beleid en een samenvatting van de trainingsdata. Voor GPAI-modellen met systeemrisico (modellen die worden getraind met meer dan 10^25 FLOP aan computercapaciteit, of die door de Europese Commissie als zodanig worden aangewezen) gelden aanvullende verplichtingen, zoals adversarial testing en het melden van ernstige incidenten.

De Europese Commissie heeft een Code of Practice voor GPAI-modellen opgesteld die aanbieders kunnen ondertekenen als route naar compliance. Meer hierover leest u in EU Code of Practice: bedrijfsreacties.

Handhaving en sancties

De handhaving van de AI Act is verdeeld over verschillende niveaus:

Nationaal: Elke lidstaat wijst een of meer nationale bevoegde autoriteiten aan. In Nederland is de Autoriteit Persoonsgegevens (AP) aangewezen als markttoezichthouder.
EU-niveau: Het EU AI Office, onderdeel van de Europese Commissie, houdt toezicht op GPAI-modellen en coordineert de handhaving tussen lidstaten.
Adviserend: Het Europees Comite voor Kunstmatige Intelligentie (AI Board) adviseert over de implementatie en handhaving.

De boetes zijn aanzienlijk en variëren op basis van de ernst van de overtreding:

Verboden AI-systemen: tot 35 miljoen euro of 7% van de wereldwijde jaaromzet.
Overige overtredingen hoog-risico verplichtingen: tot 15 miljoen euro of 3% van de wereldwijde jaaromzet.
Verstrekking van onjuiste informatie: tot 7,5 miljoen euro of 1% van de wereldwijde jaaromzet.

Gebruik de boetecalculator om een inschatting te maken van het financiele risico voor uw organisatie.

Wat moet uw organisatie nu doen?

Met de hoog-risico verplichtingen die in augustus 2026 van kracht worden, is actie nu vereist. Concrete stappen:

Inventariseer alle AI-systemen met de risicoclassificatie decision tree
Classificeer elk systeem volgens het risicogebaseerde model
Waarborg AI-geletterdheid conform artikel 4 (al verplicht sinds februari 2026). Zie AI-geletterdheid als strategisch proces
Start met compliance voor hoog-risico systemen: risicobeheer, datakwaliteit, documentatie, menselijk toezicht
Voer een FRIA uit voor hoog-risico systemen die u als deployer inzet. Gebruik de FRIA-generator
Beoordeel uw AI-inkoop en contracten met AI-aanbieders. Zie AI-inkoop en contracten
Stel een governance-structuur op die verantwoordelijkheden, processen en escalatieprotocollen vastlegt

De AI Act en andere wetgeving

De AI Act staat niet op zichzelf. Het werkt samen met bestaande Europese regelgeving:

AVG (GDPR): De AI Act vervangt de AVG niet, maar vult deze aan. AI-systemen die persoonsgegevens verwerken, moeten aan beide regelgevingen voldoen. Lees meer over AI en privacy.
Productregelgeving: Voor AI-systemen die zijn ingebed in producten (medische hulpmiddelen, machines) gelden naast de AI Act ook de sectorale productveiligheidseisen.
Sectorale regulering: In sectoren als de financiele dienstverlening gelden aanvullende sectorspecifieke regels die naast de AI Act van toepassing zijn.
Digital Services Act en Digital Markets Act: Deze wetten reguleren online platforms en gatekeepers en bevatten bepalingen die relevant zijn voor AI-gestuurde diensten.

De AI Act als kompas

De EU AI Act is meer dan een set regels. Het is een kompas voor organisaties die AI willen inzetten op een manier die zowel effectief als verantwoord is. Het risicogebaseerde kader biedt een helder onderscheid tussen wat verboden is, wat streng gereguleerd wordt, en waar de vrijheid groot is. Door nu te investeren in begrip, classificatie en compliance, bereidt uw organisatie zich niet alleen voor op wettelijke verplichtingen, maar bouwt u ook aan het vertrouwen dat nodig is om AI succesvol en duurzaam in te zetten.

Heeft u vragen over hoe de AI Act op uw specifieke situatie van toepassing is? Verken de AI Act Explorer voor de volledige wettekst, of gebruik het risk assessment tool voor een gepersonaliseerde beoordeling.