AI Act

De AI Act (voluit: Verordening (EU) 2024/1689) is de eerste horizontale AI-wet ter wereld. De EU nam hem in 2024 aan, en de regels worden in fases van toepassing. Op 7 mei 2026 bereikte de EU een politiek akkoord over de AI Act Omnibus, waarmee de belangrijkste deadlines zijn verschoven. Voor Nederlandse bedrijven is nu 2 december 2027 de harde datum voor hoog-risico AI, zestien maanden later dan oorspronkelijk gepland.

De wet hanteert een risico-gelaagd systeem: verboden AI-praktijken (zoals social scoring), hoog-risico AI (HR, kredietbeoordeling, zorgtriage), AI met transparantieverplichtingen (chatbots, deepfakes), en laag-risico AI (geen verplichtingen).

De verschoven deadlines na het Omnibus-akkoord

Het AI Act Omnibus-pakket van mei 2026 verschuift drie deadlines:

• Hoog-risico AI (Annex III): van 2 augustus 2026 naar 2 december 2027 (16 maanden uitstel). Dit raakt cv-screening, kredietbeoordeling, biometrie en overheidsdiensten.
• AI in gereguleerde producten (Annex I): van 2 augustus 2027 naar 2 augustus 2028 (12 maanden uitstel). Dit raakt medische apparaten, machines en speelgoed.
• Transparantieplicht (chatbots en AI-avatars): geen uitstel, geldt per 2 augustus 2026. Wie AI inzet richting gebruikers moet dit duidelijk vermelden.
• Watermerken (machineleesbare markering): van 2 augustus 2026 naar 2 december 2026 (4 maanden uitstel). AI-gegenereerde synthetische content moet machineleesbaar zijn gemarkeerd.

Daarnaast is de verplichting voor lidstaten om een regulatory sandbox te hebben verschoven van augustus 2026 naar augustus 2027.

Welke Nederlandse toezichthouders houden er toezicht op?

Het kabinet heeft tien instanties aangewezen die samen het AI Act-toezicht in Nederland gaan invullen. De Autoriteit Persoonsgegevens (AP) en de Rijksinspectie Digitale Infrastructuur (RDI) zijn de centrale spelers, met de AP als nationale coordinator. Sectorale toezichthouders zoals de AFM en DNB (financieel), de IGJ (zorg), de NLA (arbeid) en de ACM (consumentenbescherming) krijgen elk hun eigen deelterrein. Voor jou betekent dat: welk loket je moet aanspreken, hangt af van waarvoor je AI inzet.

Welke boetes staan erop?

De maximale sancties zijn fors. Voor verboden AI-praktijken kan een boete oplopen tot 35 miljoen euro of 7 procent van de wereldwijde jaaromzet, afhankelijk van wat hoger is. Voor schending van hoog-risico-verplichtingen geldt 15 miljoen euro of 3 procent van de wereldomzet. Voor onjuiste of misleidende informatie aan toezichthouders is dat 7,5 miljoen euro of 1 procent. Voor mkb'ers en startups kiest de toezichthouder uit de twee bedragen het laagste in plaats van het hoogste. Het Omnibus-akkoord voegt daar een nieuwe categorie aan toe: leveranciers die hun afnemers niet voorzien van de vereiste technische documentatie riskeren eveneens boetes tot 3 procent of 15 miljoen euro.

Wat moet je voor 2 december 2027 op orde hebben?

Als je een hoog-risico AI-systeem inzet (denk aan HR-screening, kredietbeoordeling, zorgtriage of biometrie), tellen deze verplichtingen:

• Fundamental Rights Impact Assessment (FRIA). Voordat je een hoog-risico-systeem in productie zet, doe je een beoordeling op grondrechten: privacy, non-discriminatie, recht op informatie. Vergelijkbaar met een DPIA, maar breder dan alleen persoonsgegevens.
• Risico-management. Een gedocumenteerde analyse van wat er kan misgaan en hoe je dat mitigeert. Dit moet doorlopend bijgehouden, niet eenmalig.
• Datakwaliteit en -governance. Trainings- en testdata moeten representatief, relevant en zo foutloos mogelijk zijn, met aantoonbare maatregelen tegen bias.
• Technische documentatie en logging. Een dossier dat een toezichthouder kan inzien om te beoordelen of het systeem voldoet, plus automatische logs van het systeem in werking.
• Menselijk toezicht. Mensen moeten ingrepen kunnen maken op het systeem en getraind zijn om de uitvoer te beoordelen, niet alleen klakkeloos overnemen.
• AI-geletterdheid. Medewerkers die met AI werken, moeten voldoende kennis hebben om de output te beoordelen en risico's te herkennen. Deze verplichting geldt al sinds 2 februari 2025 voor alle organisaties, ongeacht risiconiveau.

Een regulatory sandbox kan helpen om die voorbereiding te toetsen voor je live gaat. Voor de meeste mkb'ers zonder hoog-risico-toepassing geldt vooral de transparantieverplichting: laat zien wanneer een gebruiker met AI praat (chatbots) of AI-content krijgt voorgeschoteld (deepfakes, gegenereerde teksten). De transparantieplicht (melden dat een chatbot of AI-avatar AI is) geldt per 2 augustus 2026. De watermerkplicht voor synthetische content volgt per december 2026.

Zie de volledige tekst op artificialintelligenceact.eu en onze analyse in EU geeft bedrijven 16 maanden extra voor de AI Act.