Ga naar inhoud

Gids · EU-regelgeving · AI Act

EU AI Act: de complete gids voor organisaties

De EU AI Act (Verordening (EU) 2024/1689) is de eerste brede AI-wet ter wereld. Hij deelt AI-systemen in naar risico en koppelt daar verplichtingen aan: hoe hoger het risico, hoe strenger de regels. De wet geldt rechtstreeks in Nederland en raakt vrijwel elke organisatie die AI bouwt, inkoopt of gebruikt. Deze gids legt uit wat de wet doet, wanneer welke deadline geldt, en wat jij nu moet regelen.

Laatst bijgewerkt: 2 juli 2026 · Leestijd: ongeveer 18 minuten · Door Marc Diks

TL;DR: de kern in 30 seconden

  • De EU AI Act deelt AI in vier risiconiveaus: verboden, hoog risico, beperkt risico en minimaal risico. Je verplichtingen hangen af van dat niveau en van je rol (aanbieder of gebruiksverantwoordelijke).
  • De tijdlijn is in 2026 verschoven. Door de Digital Omnibus, definitief aangenomen op 29 juni 2026, gaan de zware hoog-risicoverplichtingen pas in op 2 december 2027 (Annex III) en 2 augustus 2028 (Annex I).
  • De transparantieplicht van artikel 50 gaat wél gewoon in op 2 augustus 2026. Chatbots, deepfakes en AI-gegenereerde content vallen daaronder. Dit is voor de meeste organisaties de eerste echte deadline.
  • De hoogste boetes lopen op tot 35 miljoen euro of 7% van de wereldwijde jaaromzet. In Nederland handhaven tien toezichthouders, met de AP en de RDI in de centrale rol.
  • De grootste fout is wachten op 2027. Het uitstel geeft je tijd om je AI-inventarisatie en governance op orde te brengen. Die tijd raak je kwijt als je nu niets doet.

Wat is de EU AI Act en waarom nu?

De EU AI Act is een Europese verordening die eisen stelt aan het ontwikkelen en gebruiken van AI-systemen. Het uitgangspunt is simpel: niet alle AI is even risicovol, dus niet alle AI krijgt dezelfde regels. Een spamfilter en een AI die sollicitanten selecteert vallen niet in dezelfde categorie. De wet werkt met een risicopiramide en legt de zwaarste last bij de toepassingen die mensen het hardst kunnen raken.

De AI Act trad in werking op 1 augustus 2024. De verplichtingen komen gefaseerd, verspreid over meerdere jaren. De verboden praktijken en de plicht om je medewerkers AI-geletterd te maken gelden al sinds 2 februari 2025. De regels voor algemene AI-modellen (denk aan de grote taalmodellen achter ChatGPT) gelden sinds 2 augustus 2025. De rest volgt tot 2028.

Waarom dit nu urgent is, ondanks een deel uitstel? Om drie concrete redenen. De transparantieplicht gaat gewoon in op 2 augustus 2026, dus als je een chatbot of AI-content op je site hebt, krijg je daar dit jaar mee te maken. De boetes zijn fors: tot 7% van je wereldwijde omzet voor de zwaarste overtredingen. En de handhaving wordt in Nederland concreet: de uitvoeringswet wijst tien toezichthouders aan die straks boetes kunnen opleggen.

Wat ik hier aan de bestuurstafel zie: de meeste directies onderschatten dit niet omdat de regels onduidelijk zijn, maar omdat AI zich niet gedraagt als één afgebakend project. AI zit verspreid door je hele organisatie: in de klantenservice, in HR, in fraudedetectie, in de tool die een medewerker gisteren zelf installeerde. De compliancevraag is daardoor eerst een inventarisatievraag. Je kunt pas classificeren wat je in kaart hebt. Dat is het werk waar je nu aan moet beginnen, niet in 2027.

Voor wie geldt de EU AI Act?

De AI Act geldt voor vrijwel elke organisatie die met AI werkt, maar niet elke organisatie heeft dezelfde verplichtingen. Dat hangt af van je rol. De wet onderscheidt twee hoofdrollen, en het verschil bepaalt hoe zwaar je last is.

Een aanbieder (provider) ontwikkelt een AI-systeem, of laat het ontwikkelen, en brengt het onder eigen naam op de markt. Aanbieders dragen de zwaarste last: conformiteitsbeoordeling, technische documentatie, een risicobeheersysteem en registratie. Een gebruiksverantwoordelijke (deployer) zet een AI-systeem in onder eigen verantwoordelijkheid, bijvoorbeeld door een ingekochte tool te gebruiken voor cv-selectie. Die last is lichter, maar niet nul: gebruik volgens de instructies, menselijk toezicht, monitoring en het bewaren van logbestanden.

Let op een valkuil in de rolverdeling. Pas je een ingekocht hoog-risicosysteem substantieel aan, of zet je het onder je eigen merk in de markt? Dan kun je volgens artikel 25 zélf aanbieder worden, met alle verplichtingen van dien. "Wij kopen het alleen maar in" is dus niet altijd een geldige geruststelling.

De wet werkt ook buiten de EU. Lever je vanuit een ander land AI-diensten aan gebruikers in de EU, of wordt de output van je systeem in de EU gebruikt, dan val je onder de regels. Dat maakt de AI Act, net als de AVG, een wet met een lange arm.

De vraag of de wet precies voor jóuw organisatie geldt, en op welk risiconiveau, verdient een eigen antwoord. Loop daarvoor de vier concrete criteria door in de aparte gids: geldt de AI Act voor mijn organisatie?. Daar staat ook een zelfcheck per situatie.

De vier risiconiveaus, van verboden tot minimaal

Het hart van de AI Act is de risicopiramide. Elk AI-systeem valt in één van vier niveaus, en dat niveau bepaalt je verplichtingen. Hoe hoger in de piramide, hoe strenger de regels en hoe kleiner de groep systemen die eronder valt.

  1. Onaanvaardbaar risico — verboden (art. 5)

    Bijv. social scoring, subliminale manipulatie, nudifier-apps

  2. Hoog risico — strenge eisen (art. 9-15, Annex III)

    Bijv. werving, kredietbeoordeling, biometrie, onderwijs

  3. Beperkt risico — transparantieplicht (art. 50)

    Bijv. chatbots, deepfakes, AI-gegenereerde content

  4. Minimaal risico — geen extra verplichtingen

    Bijv. spamfilters, aanbevelingssystemen, AI in games

De AI Act-risicopiramide: van onaanvaardbaar risico (boven, verboden) naar minimaal risico (onder, geen extra regels).

Onaanvaardbaar risico: verboden. Deze toepassingen mogen niet in de EU, sinds 2 februari 2025. Denk aan social scoring door overheden, subliminale manipulatie, het ongericht schrapen van gezichten van internet voor herkenningsdatabases, en emotieherkenning op de werkvloer of in het onderwijs. Sinds de Digital Omnibus komt daar een verbod bij op AI die niet-consensuele intieme beelden of materiaal van kindermisbruik maakt, de zogeheten nudifier-apps. Dat verbod gaat in op 2 december 2026.

Hoog risico: strenge eisen. Dit is de categorie met de meeste verplichtingen, en hij is breder dan veel mensen denken. Annex III noemt onder andere AI voor werving en selectie, kredietbeoordeling, toegang tot essentiële diensten, onderwijs en examinering, biometrie, kritieke infrastructuur, rechtshandhaving en migratie. Voor deze systemen gelden de eisen uit artikel 9 tot en met 15: risicobeheer, datakwaliteit, technische documentatie, logging, menselijk toezicht, robuustheid en cybersecurity. Daarbovenop komen een conformiteitsbeoordeling, CE-markering en registratie in een EU-database.

Beperkt risico: transparantieplicht. Systemen die met mensen communiceren of content genereren, vallen onder artikel 50. De kern: je moet duidelijk maken dat iemand met AI te maken heeft. Een chatbot moet zich als chatbot bekendmaken, en AI-gegenereerde of gemanipuleerde content (deepfakes, synthetische beelden, audio en video) moet als zodanig herkenbaar zijn. Voor de meeste organisaties is dit de categorie die het eerst gaat knellen.

Minimaal risico: geen extra regels. De grote meerderheid van AI-toepassingen valt hier: spamfilters, aanbevelingssystemen, AI in games. Hier legt de wet geen extra verplichtingen op. Vrijwillige gedragscodes worden aangemoedigd, maar zijn niet verplicht.

De tijdlijn na de Digital Omnibus: welke deadline geldt nu?

Dit is het onderdeel waar de meeste verouderde informatie rondgaat, dus let hier goed op. De oorspronkelijke tijdlijn is in 2026 aangepast. De Europese Commissie stelde in november 2025 de Digital Omnibus on AI voor, omdat de geharmoniseerde normen en de aanwijzing van toezichthouders vertraging opliepen. Na een mislukte onderhandelingsronde eind april bereikten de instellingen begin mei 2026 alsnog een akkoord. Het Europees Parlement stemde in op 16 juni 2026, en de Raad gaf op 29 juni 2026 definitief groen licht.

Belangrijke nuance: de nieuwe data worden pas volledig bindend als de Omnibus in het Publicatieblad van de EU staat. Dat gebeurt in juli 2026, waarna hij drie dagen later in werking treedt. De definitieve aanname is gedaan, dus dit is de tijdlijn waarop je nu plant. De onderstaande tabel is de actuele stand.

DatumWat gaat inStatus
1 augustus 2024AI Act treedt in werkingVan kracht
2 februari 2025Verboden praktijken (art. 5) en AI-geletterdheid (art. 4)Van kracht
2 augustus 2025Verplichtingen voor algemene AI-modellen (art. 51-55), governance en boetebepalingenVan kracht
2 augustus 2026Transparantieplicht (art. 50), volledige handhaving over algemene AI-modellen, markttoezichtOngewijzigd, gaat door
2 december 2026Watermerkplicht voor bestaande generatieve systemen en het nieuwe verbod op nudifier-appsNieuw via Omnibus
2 augustus 2027Deadline nationale AI-sandboxes en bestaande algemene AI-modellen moeten voldoenVerschoven
2 december 2027Hoog-risicoverplichtingen voor zelfstandige systemen (Annex III)Uitgesteld van 2 aug 2026
2 augustus 2028Hoog-risicoverplichtingen voor AI ingebed in gereguleerde producten (Annex I)Uitgesteld van 2 aug 2027

De architectuur van de wet is niet veranderd. De Omnibus schuift deadlines en verduidelijkt regels, maar laat de risicobenadering intact. Wat wél gebeurt: er komt meer tijd voor de zwaarste hoog-risico-eisen, en de transparantieplicht blijft op de oorspronkelijke datum staan. Dat onderscheid is de kern van je planning.

Waarom starten nu toch de slimste zet is, ondanks het uitstel: het werk zelf wordt niet makkelijker met de tijd. Het lastige aan AI Act-compliance is niet het invullen van een documentatiesjabloon. Het lastige is elk AI-systeem in je organisatie vinden, bepalen in welke categorie het valt, en dat actueel houden terwijl er nieuwe systemen bijkomen. Dat werk hangt niet af van de definitieve normen. Ik werkte deze redenering verder uit in waarom je nu al met de AI Act aan de slag moet.

Welke verplichtingen heb je precies?

Je verplichtingen hangen af van drie dingen: het risiconiveau van je systeem, je rol, en of je met algemene AI-modellen werkt. Hieronder de vier verplichtingen die voor de meeste organisaties dit jaar of volgend jaar spelen.

AI-geletterdheid (artikel 4). Dit is de meest onderschatte verplichting, want hij geldt al sinds 2 februari 2025 en raakt élke organisatie die AI gebruikt. Je moet zorgen dat de mensen die met AI werken voldoende kennis hebben om dat verantwoord te doen. De Omnibus versoepelde de formulering naar een plicht om AI-geletterdheid actief te bevorderen met passende maatregelen. De handhavingsbevoegdheid hiervoor komt vanaf augustus 2026. Wat dit concreet betekent voor je organisatie, staat in de AI-trainingsplicht van 2026.

Transparantie (artikel 50). Vanaf 2 augustus 2026 moet je duidelijk maken wanneer mensen met AI te maken hebben. Chatbots moeten zich bekendmaken. AI-gegenereerde content moet herkenbaar zijn, en generatieve systemen moeten hun output machineleesbaar markeren, bijvoorbeeld met een watermerk. Voor systemen die al vóór augustus 2026 op de markt waren, geldt voor die watermerkplicht een respijt tot 2 december 2026. De technische kant hiervan, met standaarden als C2PA en SynthID, werkte ik uit in hoe je met watermerken verzekeringsfraude tegengaat. Voor spraak- en chatbots is de disclosureplicht extra relevant, zoals in voice-AI in de klantenservice.

Hoog-risico-eisen (artikel 9-15). Val je in de hoog-risicocategorie, dan komt de zware last: een risicobeheersysteem, hoge datakwaliteit, technische documentatie, logging, menselijk toezicht en sterke beveiliging. Aanbieders doen ook een conformiteitsbeoordeling en registreren het systeem. Deze eisen gaan pas in op 2 december 2027, maar de voorbereiding kost maanden.

Algemene AI-modellen (artikel 51-55). Aanbieders van algemene AI-modellen hebben sinds augustus 2025 verplichtingen rond technische documentatie, een auteursrechtbeleid en een samenvatting van de trainingsdata. Voor de zwaarste modellen komen er extra eisen rond systeemrisico. De vrijwillige Code of Practice, gepubliceerd door het AI Office op 10 juli 2025, geeft aanbieders een praktisch pad naar naleving.

Het verschil tussen aanbieder en gebruiksverantwoordelijke bepaalt hoeveel van deze verplichtingen op jou rusten. De tabel maakt dat concreet.

VerplichtingAanbieder (provider)Gebruiksverantwoordelijke (deployer)
Conformiteitsbeoordeling en CE-markeringJaNee
Technische documentatie opstellenJaNee (wel bewaren)
RisicobeheersysteemJaDeels, binnen eigen gebruik
Menselijk toezicht inrichtenOntwerp faciliteert hetJa, in de praktijk
Logbestanden bewarenJaJa
Monitoring en incidentmeldingJaJa, richting aanbieder en toezicht
Grondrechtentoets (FRIA)NeeJa, in bepaalde gevallen
Transparantie richting betrokkenenJaJa

Boetes en toezicht: wie handhaaft in Nederland?

De boetes onder de AI Act zijn hoog genoeg om een bestuur wakker te houden. Ze zijn getrapt: de zwaarste categorie overtredingen krijgt de hoogste maximumboete. De onderstaande percentages gaan over de wereldwijde jaaromzet, en telkens geldt het hoogste van de twee bedragen. Voor kleine bedrijven en start-ups geldt juist het laagste van de twee, zodat de boete evenredig blijft.

Type overtredingMaximumboete
Verboden praktijken (art. 5)35 miljoen euro of 7% van de wereldwijde jaaromzet
Hoog-risico- en transparantieverplichtingen15 miljoen euro of 3% van de wereldwijde jaaromzet
Onjuiste of misleidende informatie aan toezichthouders7,5 miljoen euro of 1% van de wereldwijde jaaromzet

% van wereldwijde jaaromzet

7%
3%
1%

Verboden praktijken (art. 5)

of 35 mln euro

Hoog-risico en transparantie

of 15 mln euro

Onjuiste informatie

of 7,5 mln euro

Telkens geldt het hoogste van percentage en vast bedrag; voor mkb en start-ups juist het laagste. Bron: Verordening (EU) 2024/1689, artikel 99 (en artikel 101 voor algemene AI-modellen).

Handhaving is Europees geregeld, maar wordt nationaal georganiseerd. Nederland kiest in de Uitvoeringswet AI-verordening, in april 2026 in consultatie gegaan, voor een hybride model met tien markttoezichthouders. Elke toezichthouder houdt toezicht binnen het eigen domein, zodat je zoveel mogelijk te maken krijgt met een partij die je al kent.

Twee toezichthouders krijgen de centrale rol. De RDI (Rijksinspectie Digitale Infrastructuur) is het nationale aanspreekpunt en coördineert. De Autoriteit Persoonsgegevens (AP) coördineert het toezicht op grondrechten en op AI die persoonsgegevens verwerkt, en wordt de standaardtoezichthouder waar geen duidelijke sectorale partij is. De AP wordt daarmee bijna een horizontale spil in het AI-toezicht, zonder formeel dé AI-autoriteit te zijn.

DomeinPrimaire toezichthouder
Grondrechten en AI met persoonsgegevensAutoriteit Persoonsgegevens (AP)
Nationaal aanspreekpunt en coördinatieRijksinspectie Digitale Infrastructuur (RDI)
Financiële sector (banken, verzekeraars)DNB en AFM
ProductveiligheidNVWA, NLA en andere inspecties
ZorgNederlandse Zorgautoriteit (NZa) en IGJ-sfeer
ConsumentenbeschermingAutoriteit Consument en Markt (ACM)

Wat ik vanuit verzekeren zie: in de financiële sector wordt de taakverdeling langs het bestaande Twin Peaks-model getrokken. DNB kijkt naar de bedrijfsvoering, de AFM naar gedrag en producten. Het Verbond van Verzekeraars vroeg om duidelijkheid over die verdeling. Terecht, maar in mijn ervaring is de taakverdeling niet de echte rem op AI bij verzekeraars. Dat is een kennisprobleem, geen toezichtprobleem. Ik werkte dat uit in AI-toezicht bij verzekeraars. De AP en RDI richten in 2026 ook een AI-sandbox in, waar je je systemen kunt toetsen en begeleiding kunt krijgen.

Hoe pak je AI Act-compliance aan?

Compliance is geen eenmalig project dat je afvinkt, maar een proces dat je inricht. De volgorde hieronder werkt in de praktijk, en de eerste stap is verreweg de belangrijkste: zonder inventarisatie kun je niets classificeren.

  1. AI in kaart brengen

  2. Per systeem classificeren

  3. Verplichtingen bepalen

  4. Maatregelen en documentatie

  5. Toezicht en herziening

Het AI Act-complianceproces in vijf stappen. Het is een terugkerende cyclus: na stap 5 begin je opnieuw bij stap 1.

Stap 1: breng alle AI in kaart. Maak een centraal AI-register. Noteer per systeem het doel, de leverancier of het model, de datastromen en de verantwoordelijke. Neem ook de tools mee die medewerkers zelf hebben aangeschaft, want die shadow-AI valt ook onder de wet. Het inventariseren is het echte werk. De rest bouwt daarop voort. Waarom shadow-AI blokkeren niet werkt, staat in shadow AI blokkeren werkt niet, en welke gebruikers je in je organisatie tegenkomt in de vier AI-gebruikers in je organisatie.

Stap 2: classificeer elk systeem. Bepaal per systeem het risiconiveau: verboden, hoog, beperkt of minimaal. Wees hier eerlijk, want de hoog-risicocategorie is breder dan hij op het eerste gezicht lijkt. Doe dit niet eenmalig. Herzie het elk kwartaal, want je AI-gebruik verandert continu.

Stap 3: bepaal je verplichtingen. Koppel aan elk geclassificeerd systeem de bijbehorende plichten, en let op je rol. Ben je aanbieder of gebruiksverantwoordelijke? Verwerk je persoonsgegevens, dan loopt dit direct samen met je AVG-verplichtingen. Hoe AI en klantdata samenkomen, staat in klantdata uploaden naar AI.

Stap 4: richt maatregelen en documentatie in. Zorg voor menselijk toezicht, logging, monitoring en de vereiste documentatie. Voor hoog-risicosystemen hoort daar een risicoanalyse bij, en waar het grondrechten raakt een grondrechtentoets. Doe dit gefaseerd, met de eerste deadlines als leidraad.

Stap 5: richt toezicht en herziening in. Wijs een verantwoordelijke aan, leg een meldproces vast en herzie het geheel periodiek. Governance is geen document maar een routine. Waarom dit een bestuurstaak is en geen IT-taak, staat in de blinde vlek in de boardroom.

Compliance-checklist

  • Centraal AI-register aangelegd, inclusief zelf aangeschafte tools?
  • Elk systeem geclassificeerd naar risiconiveau?
  • Je rol per systeem bepaald (aanbieder of gebruiksverantwoordelijke)?
  • AI-geletterdheid van medewerkers geregeld (art. 4)?
  • Transparantie ingericht voor chatbots en AI-content (art. 50)?
  • Verantwoordelijke aangewezen en meldproces vastgelegd?

De grootste misverstanden over de EU AI Act

Misverstand: de AI Act is uitgesteld, dus ik hoef nog niets te doen. In werkelijkheid is alleen een deel van de hoog-risicoverplichtingen uitgesteld. De transparantieplicht, de verboden praktijken en de AI-geletterdheidsplicht gelden gewoon, deels al sinds 2025. En het inventarisatiewerk kost maanden, ongeacht de deadline.

Misverstand: de wet geldt alleen voor techbedrijven. In werkelijkheid geldt de wet voor elke organisatie die AI gebruikt, ook als je alleen tools inkoopt. Gebruik je AI voor beslissingen over mensen, zoals werving of kredietbeoordeling, dan zit je zelfs snel in de hoog-risicocategorie.

Misverstand: als ik AI inkoop, is de leverancier verantwoordelijk. In werkelijkheid draag je als gebruiksverantwoordelijke eigen verplichtingen: menselijk toezicht, monitoring en logging. En pas je een ingekocht hoog-risicosysteem substantieel aan, dan word je volgens artikel 25 mogelijk zelf aanbieder.

Misverstand: de AI Act geldt niet buiten de EU. In werkelijkheid raakt de wet ook partijen buiten de EU, zodra hun AI-diensten of de output daarvan in de EU worden gebruikt. Net als bij de AVG telt waar het effect landt, niet waar de server staat.

Misverstand: compliance is een IT-project. In werkelijkheid is het een bestuursvraag. De aansprakelijkheid ligt bij de leiding, en de keuzes over welke AI je inzet en accepteert horen aan de bestuurstafel, niet alleen bij de techafdeling.

Veelgestelde vragen

Geldt de EU AI Act ook voor kleine bedrijven?

Ja, de wet geldt ook voor het mkb, want het risiconiveau van je AI-gebruik telt, niet je bedrijfsgrootte. Wel zijn er verlichtingen: de vereenvoudigde regels voor kleine bedrijven zijn via de Omnibus uitgebreid naar organisaties tot 750 medewerkers en 150 miljoen euro omzet. In de praktijk hoeven veel kleine bedrijven weinig te doen, tenzij ze AI inzetten voor beslissingen over mensen.

Wanneer gaat de EU AI Act precies in?

De wet trad in werking op 1 augustus 2024 en komt gefaseerd. Verboden praktijken en AI-geletterdheid gelden sinds februari 2025, regels voor algemene AI-modellen sinds augustus 2025. De transparantieplicht gaat in op 2 augustus 2026. De zware hoog-risicoverplichtingen zijn via de Digital Omnibus verschoven naar 2 december 2027 (Annex III) en 2 augustus 2028 (Annex I).

Wat zijn de boetes bij overtreding van de AI Act?

De hoogste boetes gelden voor verboden AI-praktijken: tot 35 miljoen euro of 7% van de wereldwijde jaaromzet, afhankelijk van wat hoger is. Voor overtredingen van hoog-risico- en transparantieverplichtingen geldt tot 15 miljoen euro of 3%. Voor het verstrekken van onjuiste informatie aan toezichthouders geldt tot 7,5 miljoen euro of 1%. Voor kleine bedrijven geldt het laagste van de twee bedragen.

Wie houdt in Nederland toezicht op de AI Act?

Nederland kiest voor een hybride model met tien markttoezichthouders. De RDI is het nationale aanspreekpunt en coördineert, de AP coördineert het toezicht op grondrechten en AI met persoonsgegevens. In de financiële sector houden DNB en AFM toezicht, in de zorg de NZa, en er zijn sectorale inspecties voor productveiligheid. De uitvoeringswet die dit regelt was medio 2026 nog in consultatie.

Wat is het verschil tussen een aanbieder en een gebruiksverantwoordelijke?

Een aanbieder ontwikkelt een AI-systeem en brengt het op de markt, en draagt de zwaarste verplichtingen zoals conformiteitsbeoordeling en documentatie. Een gebruiksverantwoordelijke gebruikt een AI-systeem onder eigen verantwoordelijkheid, en heeft lichtere maar reële plichten zoals menselijk toezicht, monitoring en logging. Je kunt van gebruiksverantwoordelijke veranderen in aanbieder als je een systeem substantieel aanpast.

Valt een chatbot op mijn website onder de EU AI Act?

Ja, een chatbot valt onder de transparantieverplichting van artikel 50. Je moet duidelijk maken dat bezoekers met een AI-systeem communiceren en geen mens. Publiceer je AI-gegenereerde content, dan moet die herkenbaar zijn. Deze verplichting gaat in op 2 augustus 2026 en is voor veel organisaties de eerste concrete AI Act-deadline.

Wat is de Digital Omnibus en wat verandert die?

De Digital Omnibus on AI is een pakket aanpassingen op de AI Act, definitief aangenomen op 29 juni 2026. De belangrijkste verandering is het uitstel van de hoog-risicoverplichtingen naar 2027 en 2028. Er komt ook een verbod op nudifier-apps, de regels voor het mkb worden verruimd, en de omgang met de wet en bestaande productwetgeving wordt verduidelijkt. De risicobenadering van de wet blijft ongewijzigd.

Verder verdiepen

Deze gids is de hub. De onderwerpen hieronder werk ik dieper uit in aparte artikelen.

Rondom de wet zelf: geldt de AI Act voor mijn organisatie? beantwoordt de scopevraag met vier criteria. De AI-trainingsplicht van 2026 gaat over de AI-geletterdheidsplicht uit artikel 4. Waarom je nu al moet starten legt uit waarom het uitstel geen reden is om te wachten.

Rondom governance en bestuur: de blinde vlek in de boardroom over waarom AI een bestuurstaak is, open source AI als bestuurlijke noodzaak over leverancierskeuzes, en AI due diligence bij overnames over AI-risico in transacties.

Rondom AI-gebruik in je organisatie: shadow AI blokkeren werkt niet en de vier AI-gebruikers in je organisatie over inventarisatie, en klantdata uploaden naar AI over de overlap met de AVG.

Rondom transparantie en verzekeren: AI-toezicht bij verzekeraars over de rol van DNB en AFM, watermerken tegen verzekeringsfraude over C2PA en SynthID, en voice-AI in de klantenservice over de disclosureplicht bij spraakbots.

Wil je snel weten of jouw AI-gebruik onder de wet valt en wat je moet regelen? Gebruik de AI Act Impact Scanner.

Over Marc Diks

Ik werk al meer dan 25 jaar in verzekeren en zit aan de bestuurstafel bij AI-strategie. Ik kijk naar AI door de bril van risico, governance en klantvertrouwen, en ik bouw zelf AI-toepassingen in productie. Die combinatie maakt dat ik AI-regelgeving niet als abstractie zie, maar als iets wat je in je processen moet inrichten. Meer over mijn achtergrond staat op de over-pagina.

Wil je wekelijks mijn kijk op AI en bestuur in je inbox? Schrijf je in voor de nieuwsbrief. Sparren over AI Act-compliance in jouw organisatie? Neem contact op.

Bronnen

Volgende stap

Weet jij of jouw organisatie onder de EU AI Act valt?

Veel organisaties gebruiken al hoog-risico AI zonder het te weten. Doe de gratis AI Act Impact Scanner om te ontdekken welke verplichtingen voor jou gelden, of neem contact op voor een gesprek.

Doe de AI Act Impact Scanner

Gepubliceerd: 2 juli 2026 · Auteur: Marc Diks