Ethiek & Beleid

Nederland heeft vier maanden voor de AI Act

· 5 min leestijd

Op 2 augustus 2026 wordt het grootste deel van de EU AI Act van toepassing op hoog-risico AI-systemen. Dat is over vier maanden. Voor Nederlandse bedrijven die AI gebruiken in gevoelige sectoren, loopt de klok hard. Wat er precies moet gebeuren, wie het moet doen, en waarom de timeline toch nog licht kan schuiven, leggen we hier uit.

Wat valt er onder hoog-risico?

De AI Act hanteert een gelaagd systeem. Aan de onderkant staan AI-systemen met beperkt risico, met alleen transparantieverplichtingen. Daarboven zitten de hoog-risico categorieën. Daarin vallen onder meer:

  • Kritieke infrastructuur (water, elektriciteit, vervoer)
  • Onderwijs en beroepsopleiding (toelating, beoordelingen)
  • Werkgelegenheid (cv-selectie, HR-beoordelingen)
  • Rechtshandhaving en migratie
  • Essentiële particuliere en publieke diensten (kredietscore, verzekeringen)

Gebruikt jouw organisatie AI in een van deze domeinen, dan tikt de deadline van 2 augustus voor jou.

Wat moet er op die datum klaar zijn?

Providers van hoog-risico systemen dragen de zwaarste last. Zij moeten voor augustus 2026:

  • Een risicomanagementsysteem opzetten en onderhouden
  • Data governance op orde hebben (herkomst, bias, kwaliteit)
  • Technische documentatie klaar hebben voor toezichthouders
  • Conformiteitsbeoordeling uitvoeren
  • CE-markering aanbrengen
  • Het systeem registreren in de EU-database
  • Menselijk toezicht en logging garanderen

Organisaties die AI-systemen gebruiken (deployers) hebben lichtere verplichtingen, maar moeten wel aantonen dat ze binnen de gebruikerscondities blijven en personeel adequaat trainen. Voor het eerst worden organisaties wettelijk verplicht om inzichtelijk te maken waar, hoe en met welk risico ze AI inzetten.

Misschien komt er uitstel

Op 26 maart 2026 stemde het Europees Parlement in met het Digital Omnibus-pakket. Dat stelt bepaalde regels voor hoog-risico AI-systemen uit, zodat bedrijven meer tijd krijgen om aan de nog ontbrekende standaarden te voldoen. Dat is een belangrijke nuance. De Europese standaardisatieorganisaties CEN en CENELEC werken aan geharmoniseerde normen, maar die zijn niet allemaal op tijd af. Zonder die normen is het voor bedrijven lastig om conformiteit aan te tonen.

Wat dat betekent: mogelijk krijgt een deel van de hoog-risico regels extra tijd, bijvoorbeeld tot medio 2027. Maar reken er niet op. De basisverplichtingen rondom risicomanagement, documentatie en human oversight blijven waarschijnlijk gewoon per 2 augustus staan.

Wat doet de Nederlandse toezichthouder?

In Nederland neemt de Autoriteit Persoonsgegevens een leidende rol. Die is aangewezen als coördinerende toezichthouder voor AI. Voor specifieke sectoren blijven bestaande toezichthouders aan zet: de AFM voor financiële diensten, de IGJ voor zorg, de Inspectie SZW voor arbeidsmarkt.

De verwachting is dat het toezicht de eerste maanden na augustus vooral informatief is, niet direct beboetend. Maar organisaties doen er goed aan om compliance niet als sluitpost te zien. Boetes kunnen oplopen tot 35 miljoen euro of 7% van de wereldwijde omzet, afhankelijk van welk bedrag hoger is.

Wat moet je nu doen?

Vier maanden klinkt als veel, maar is krap voor organisaties die nog niet begonnen zijn. Een praktische volgorde:

  1. Inventariseer waar jouw organisatie AI gebruikt of levert. Een AI-register is geen luxe.
  2. Classificeer elk systeem naar risicoklasse. Veel systemen vallen buiten hoog-risico, weten welke wél daaronder vallen is cruciaal.
  3. Gap-analyse op de hoog-risico systemen: wat ontbreekt er nog aan documentatie, data governance of oversight?
  4. Plan concrete acties met verantwoordelijken en deadlines vóór 2 augustus.
  5. Train personeel dat met AI werkt. Dat is een harde verplichting, ook voor deployers.

Veiligheidseisen aan modellen zelf worden door aanbieders zoals Anthropic met Opus 4.7 al deels afgedekt, maar dat ontslaat gebruikende organisaties niet van hun eigen verplichtingen.

Begin vandaag, niet in juli

De AI Act is geen verre regelgeving meer, het is een concrete deadline. Nederlandse bedrijven die hoog-risico AI inzetten, doen er goed aan om vandaag te beginnen met hun inventarisatie. Uitstel via het Digital Omnibus-pakket kan ademruimte geven, maar is geen vrijbrief. Meer achtergrond over de gefaseerde implementatie staat op de site van de digitale overheid.

Autoriteit Persoonsgegevens compliance Digital Omnibus EU AI Act hoog-risico AI regelgeving
Michael Groeneweg
Geschreven door Michael Groeneweg AI-consultant bij Digital Impact en oprichter van UnicornAI.nl

Michael is AI-consultant bij Digital Impact in Rotterdam en oprichter van UnicornAI.nl, waar hij AI-oplossingen en SaaS-integraties bouwt voor bedrijven. Al tien jaar ondernemer, en sinds een paar jaar weigert hij iets te doen waar geen AI in verweven zit, zakelijk noch prive, tot mild ongenoegen van zijn omgeving. Zijn reizen door de wereld zijn inmiddels een serie experimenten in wat AI wel en niet kan vanaf een terrasje in Lissabon of een treinstation in Tokio. Hij test obsessief nieuwe tools, bouwt oplossingen voor klanten, en vindt dat niemand de hype moet geloven, maar ook niemand meer kan doen alsof AI niet alles verandert. Houdt van goede koffie, lange vluchten en mensen die met AI bouwen in plaats van er alleen over praten.

Misschien vind je dit ook leuk

Ethiek & Beleid

EU-icoon voor deepfakes komt eraan, dit moet je weten
Ethiek & Beleid

Persoonsgegevens en AI, wat je wel en niet mag
Ethiek & Beleid

YouTube-makers slepen Apple voor de rechter om AI-training