# EU AI Act: de complete gids voor organisaties

De EU AI Act (Verordening (EU) 2024/1689) is de eerste brede AI-wet ter wereld. Hij deelt AI-systemen in naar risico en koppelt daar verplichtingen aan: hoe hoger het risico, hoe strenger de regels. De wet geldt rechtstreeks in Nederland en raakt vrijwel elke organisatie die AI bouwt, inkoopt of gebruikt.

Laatst bijgewerkt: 2 juli 2026. Door Marc Diks.

## TL;DR

- De EU AI Act deelt AI in vier risiconiveaus: verboden, hoog risico, beperkt risico en minimaal risico. Je verplichtingen hangen af van dat niveau en van je rol (aanbieder of gebruiksverantwoordelijke).
- De tijdlijn is in 2026 verschoven. Door de Digital Omnibus, definitief aangenomen op 29 juni 2026, gaan de zware hoog-risicoverplichtingen pas in op 2 december 2027 (Annex III) en 2 augustus 2028 (Annex I).
- De transparantieplicht van artikel 50 gaat wél gewoon in op 2 augustus 2026. Chatbots, deepfakes en AI-gegenereerde content vallen daaronder.
- De hoogste boetes lopen op tot 35 miljoen euro of 7% van de wereldwijde jaaromzet. In Nederland handhaven tien toezichthouders, met de AP en de RDI in de centrale rol.
- De grootste fout is wachten op 2027. Het uitstel geeft je tijd om je AI-inventarisatie en governance op orde te brengen.

## Kernfeiten

- De AI Act is Verordening (EU) 2024/1689 en trad in werking op 1 augustus 2024. Bron: EUR-Lex, https://eur-lex.europa.eu/eli/reg/2024/1689/oj
- Verboden praktijken (art. 5) en de AI-geletterdheidsplicht (art. 4) gelden sinds 2 februari 2025. Bron: AI Act Service Desk, Europese Commissie, https://ai-act-service-desk.ec.europa.eu/en/ai-act/timeline/timeline-implementation-eu-ai-act
- Verplichtingen voor algemene AI-modellen (art. 51-55) gelden sinds 2 augustus 2025. De vrijwillige GPAI Code of Practice werd op 10 juli 2025 gepubliceerd door het AI Office.
- De transparantieplicht (art. 50) gaat in op 2 augustus 2026 en is niet uitgesteld.
- De Digital Omnibus on AI is definitief aangenomen door de Raad op 29 juni 2026, na endorsement door het Europees Parlement op 16 juni 2026. Publicatie in het Publicatieblad volgt in juli 2026. Bron: Europese Commissie, https://digital-strategy.ec.europa.eu/en/library/digital-omnibus-ai-regulation-proposal
- Via de Omnibus schuiven hoog-risico Annex III naar 2 december 2027 en Annex I naar 2 augustus 2028. Bron: Gibson Dunn, https://www.gibsondunn.com/eu-ai-act-omnibus-agreement-postponed-high-risk-deadlines-and-other-key-changes/
- De hoogste boete is 35 miljoen euro of 7% van de wereldwijde jaaromzet (art. 99, verboden praktijken).
- Nederland kiest in de Uitvoeringswet AI-verordening (consultatie april 2026) voor tien markttoezichthouders, met de AP en de RDI centraal. Bron: Autoriteit Persoonsgegevens, https://www.autoriteitpersoonsgegevens.nl/actueel/toezicht-op-ai-wordt-concreet-sleutelrol-voor-de-ap-en-de-rdi

## Wat is de EU AI Act en waarom nu?

De EU AI Act is een Europese verordening die eisen stelt aan het ontwikkelen en gebruiken van AI-systemen. Het uitgangspunt: niet alle AI is even risicovol, dus niet alle AI krijgt dezelfde regels. De wet werkt met een risicopiramide en legt de zwaarste last bij toepassingen die mensen het hardst kunnen raken.

De AI Act trad in werking op 1 augustus 2024. De verplichtingen komen gefaseerd. De verboden praktijken en de AI-geletterdheidsplicht gelden sinds 2 februari 2025. De regels voor algemene AI-modellen sinds 2 augustus 2025. De rest volgt tot 2028.

Het onderwerp is nu urgent om drie redenen: de transparantieplicht gaat in op 2 augustus 2026, de boetes lopen op tot 7% van de wereldwijde omzet, en de Nederlandse handhaving wordt concreet met de aanwijzing van tien toezichthouders.

## Voor wie geldt de EU AI Act?

De wet geldt voor vrijwel elke organisatie die met AI werkt, maar de verplichtingen hangen af van je rol.

Een aanbieder (provider) ontwikkelt een AI-systeem en brengt het onder eigen naam op de markt. Aanbieders dragen de zwaarste last: conformiteitsbeoordeling, technische documentatie, risicobeheer en registratie. Een gebruiksverantwoordelijke (deployer) zet een AI-systeem in onder eigen verantwoordelijkheid. Die last is lichter maar reëel: gebruik volgens instructies, menselijk toezicht, monitoring en logging.

Let op artikel 25: pas je een ingekocht hoog-risicosysteem substantieel aan, of zet je het onder je eigen merk in de markt, dan kun je zelf aanbieder worden. De wet werkt ook buiten de EU, zodra AI-diensten of de output daarvan in de EU worden gebruikt.

## De vier risiconiveaus

De risicopiramide bepaalt je verplichtingen. Van hoog naar laag:

- Onaanvaardbaar risico: verboden (art. 5). Sinds 2 februari 2025. Voorbeelden: social scoring, subliminale manipulatie, ongericht schrapen van gezichten, emotieherkenning op werk of school. Vanaf 2 december 2026 komt daar een verbod bij op nudifier-apps (niet-consensuele intieme beelden en materiaal van kindermisbruik).
- Hoog risico: strenge eisen (art. 9-15, Annex III). Onder andere werving, kredietbeoordeling, essentiële diensten, onderwijs, biometrie, kritieke infrastructuur, rechtshandhaving en migratie. Eisen: risicobeheer, datakwaliteit, documentatie, logging, menselijk toezicht, robuustheid, plus conformiteitsbeoordeling, CE-markering en registratie.
- Beperkt risico: transparantieplicht (art. 50). Chatbots, deepfakes en synthetische content moeten herkenbaar zijn als AI.
- Minimaal risico: geen extra verplichtingen. Spamfilters, aanbevelingssystemen, AI in games.

## De tijdlijn na de Digital Omnibus

De oorspronkelijke tijdlijn is in 2026 aangepast. De Europese Commissie stelde in november 2025 de Digital Omnibus on AI voor, omdat normen en toezichthouders vertraging opliepen. Het Europees Parlement stemde in op 16 juni 2026, de Raad gaf op 29 juni 2026 definitief groen licht. De nieuwe data worden volledig bindend bij publicatie in het Publicatieblad, in juli 2026, waarna de aanpassing drie dagen later in werking treedt.

| Datum | Wat gaat in | Status |
|---|---|---|
| 1 augustus 2024 | AI Act treedt in werking | Van kracht |
| 2 februari 2025 | Verboden praktijken (art. 5) en AI-geletterdheid (art. 4) | Van kracht |
| 2 augustus 2025 | Algemene AI-modellen (art. 51-55), governance, boetebepalingen | Van kracht |
| 2 augustus 2026 | Transparantieplicht (art. 50), volledige handhaving GPAI, markttoezicht | Ongewijzigd |
| 2 december 2026 | Watermerkplicht bestaande generatieve systemen en verbod nudifier-apps | Nieuw via Omnibus |
| 2 augustus 2027 | Nationale AI-sandboxes en bestaande algemene AI-modellen | Verschoven |
| 2 december 2027 | Hoog-risico Annex III (zelfstandige systemen) | Uitgesteld van 2 aug 2026 |
| 2 augustus 2028 | Hoog-risico Annex I (ingebed in producten) | Uitgesteld van 2 aug 2027 |

De architectuur van de wet is niet veranderd. De Omnibus schuift deadlines en verduidelijkt regels, maar laat de risicobenadering intact. Starten in 2026 is de slimste zet: het inventarisatiewerk kost maanden, ongeacht de definitieve normen.

## Welke verplichtingen heb je?

- AI-geletterdheid (art. 4): geldt sinds 2 februari 2025 voor elke organisatie die AI gebruikt. Zorg dat medewerkers voldoende AI-kennis hebben. De Omnibus versoepelde dit naar een plicht om geletterdheid actief te bevorderen.
- Transparantie (art. 50): vanaf 2 augustus 2026. Chatbots moeten zich bekendmaken, AI-content moet herkenbaar zijn en machineleesbaar gemarkeerd. Voor bestaande systemen geldt respijt voor de watermerkplicht tot 2 december 2026.
- Hoog-risico-eisen (art. 9-15): risicobeheer, datakwaliteit, documentatie, logging, menselijk toezicht, beveiliging, conformiteitsbeoordeling. Vanaf 2 december 2027.
- Algemene AI-modellen (art. 51-55): sinds augustus 2025. Technische documentatie, auteursrechtbeleid, samenvatting trainingsdata, en extra eisen voor modellen met systeemrisico.

Verschil aanbieder versus gebruiksverantwoordelijke:

| Verplichting | Aanbieder | Gebruiksverantwoordelijke |
|---|---|---|
| Conformiteitsbeoordeling en CE | Ja | Nee |
| Technische documentatie | Ja | Nee (wel bewaren) |
| Risicobeheersysteem | Ja | Deels |
| Menselijk toezicht | Ontwerp faciliteert | Ja, in de praktijk |
| Logbestanden bewaren | Ja | Ja |
| Monitoring en incidentmelding | Ja | Ja |
| Grondrechtentoets (FRIA) | Nee | Ja, in bepaalde gevallen |
| Transparantie richting betrokkenen | Ja | Ja |

## Boetes en toezicht in Nederland

| Type overtreding | Maximumboete |
|---|---|
| Verboden praktijken (art. 5) | 35 miljoen euro of 7% van de wereldwijde jaaromzet |
| Hoog-risico en transparantie | 15 miljoen euro of 3% van de wereldwijde jaaromzet |
| Onjuiste informatie aan toezichthouders | 7,5 miljoen euro of 1% van de wereldwijde jaaromzet |

Telkens geldt het hoogste van de twee bedragen. Voor kleine bedrijven en start-ups geldt het laagste.

Nederland kiest in de Uitvoeringswet AI-verordening (consultatie april 2026) voor een hybride model met tien markttoezichthouders. De RDI is het nationale aanspreekpunt en coördineert. De AP coördineert het toezicht op grondrechten en AI met persoonsgegevens, en is de standaardtoezichthouder waar geen sectorale partij is.

| Domein | Primaire toezichthouder |
|---|---|
| Grondrechten en AI met persoonsgegevens | Autoriteit Persoonsgegevens (AP) |
| Nationaal aanspreekpunt en coördinatie | Rijksinspectie Digitale Infrastructuur (RDI) |
| Financiële sector | DNB en AFM |
| Productveiligheid | NVWA, NLA en inspecties |
| Zorg | NZa en IGJ-sfeer |
| Consumentenbescherming | ACM |

In de financiële sector loopt de taakverdeling langs het Twin Peaks-model: DNB kijkt naar bedrijfsvoering, de AFM naar gedrag en producten. De AP en RDI richten in 2026 een AI-sandbox in.

## Hoe pak je AI Act-compliance aan?

Een proces in vijf stappen. Inventarisatie eerst, want zonder inventaris kun je niet classificeren.

1. Breng alle AI in kaart. Maak een centraal AI-register met doel, leverancier, datastromen en verantwoordelijke. Neem zelf aangeschafte tools (shadow AI) mee.
2. Classificeer elk systeem naar risiconiveau. Herzie dit per kwartaal.
3. Bepaal je verplichtingen per systeem en per rol. Bij persoonsgegevens loopt dit samen met de AVG.
4. Richt maatregelen en documentatie in: menselijk toezicht, logging, monitoring, en voor hoog-risico een risicoanalyse en grondrechtentoets.
5. Richt toezicht en herziening in. Wijs een verantwoordelijke aan, leg een meldproces vast, herzie periodiek.

## De grootste misverstanden

- Misverstand: de AI Act is uitgesteld, dus ik hoef niets te doen. In werkelijkheid is alleen een deel van de hoog-risicoverplichtingen uitgesteld. Transparantie, verboden praktijken en AI-geletterdheid gelden gewoon.
- Misverstand: de wet geldt alleen voor techbedrijven. In werkelijkheid geldt hij voor elke organisatie die AI gebruikt, ook bij inkoop.
- Misverstand: als ik AI inkoop, is de leverancier verantwoordelijk. In werkelijkheid draag je als gebruiksverantwoordelijke eigen plichten, en kun je via artikel 25 zelf aanbieder worden.
- Misverstand: de AI Act geldt niet buiten de EU. In werkelijkheid telt waar het effect landt, niet waar de server staat.
- Misverstand: compliance is een IT-project. In werkelijkheid is het een bestuursvraag, want de aansprakelijkheid ligt bij de leiding.

## Veelgestelde vragen

**Geldt de EU AI Act ook voor kleine bedrijven?**
Ja, want het risiconiveau telt, niet je bedrijfsgrootte. Wel zijn er verlichtingen: de vereenvoudigde regels zijn via de Omnibus uitgebreid naar organisaties tot 750 medewerkers en 150 miljoen euro omzet. Veel kleine bedrijven hoeven weinig te doen, tenzij ze AI inzetten voor beslissingen over mensen.

**Wanneer gaat de EU AI Act precies in?**
De wet trad in werking op 1 augustus 2024 en komt gefaseerd. Verboden praktijken en AI-geletterdheid gelden sinds februari 2025, regels voor algemene AI-modellen sinds augustus 2025. De transparantieplicht gaat in op 2 augustus 2026. De zware hoog-risicoverplichtingen zijn verschoven naar 2 december 2027 (Annex III) en 2 augustus 2028 (Annex I).

**Wat zijn de boetes bij overtreding van de AI Act?**
De hoogste boetes gelden voor verboden AI-praktijken: tot 35 miljoen euro of 7% van de wereldwijde jaaromzet. Voor hoog-risico en transparantie geldt tot 15 miljoen euro of 3%. Voor onjuiste informatie aan toezichthouders tot 7,5 miljoen euro of 1%. Voor kleine bedrijven geldt het laagste van de twee bedragen.

**Wie houdt in Nederland toezicht op de AI Act?**
Nederland kiest voor een hybride model met tien markttoezichthouders. De RDI is het nationale aanspreekpunt en coördineert, de AP coördineert het toezicht op grondrechten en AI met persoonsgegevens. DNB en AFM houden toezicht in de financiële sector, de NZa in de zorg. De uitvoeringswet was medio 2026 nog in consultatie.

**Wat is het verschil tussen een aanbieder en een gebruiksverantwoordelijke?**
Een aanbieder ontwikkelt een AI-systeem en brengt het op de markt, met de zwaarste verplichtingen. Een gebruiksverantwoordelijke gebruikt een AI-systeem onder eigen verantwoordelijkheid, met lichtere maar reële plichten zoals menselijk toezicht, monitoring en logging. Je kunt van gebruiksverantwoordelijke veranderen in aanbieder als je een systeem substantieel aanpast.

**Valt een chatbot op mijn website onder de EU AI Act?**
Ja, een chatbot valt onder de transparantieverplichting van artikel 50. Je moet duidelijk maken dat bezoekers met een AI-systeem communiceren. AI-gegenereerde content moet herkenbaar zijn. Deze verplichting gaat in op 2 augustus 2026.

**Wat is de Digital Omnibus en wat verandert die?**
De Digital Omnibus on AI is een pakket aanpassingen op de AI Act, definitief aangenomen op 29 juni 2026. De belangrijkste verandering is het uitstel van de hoog-risicoverplichtingen naar 2027 en 2028. Er komt een verbod op nudifier-apps, de regels voor het mkb worden verruimd, en de omgang met bestaande productwetgeving wordt verduidelijkt. De risicobenadering blijft ongewijzigd.

## Bronnen

- Verordening (EU) 2024/1689 (EU AI Act), EUR-Lex: https://eur-lex.europa.eu/eli/reg/2024/1689/oj
- Tijdlijn implementatie EU AI Act, AI Act Service Desk (Europese Commissie): https://ai-act-service-desk.ec.europa.eu/en/ai-act/timeline/timeline-implementation-eu-ai-act
- Digital Omnibus on AI (Europese Commissie): https://digital-strategy.ec.europa.eu/en/library/digital-omnibus-ai-regulation-proposal
- Toezicht op AI, sleutelrol AP en RDI (Autoriteit Persoonsgegevens): https://www.autoriteitpersoonsgegevens.nl/actueel/toezicht-op-ai-wordt-concreet-sleutelrol-voor-de-ap-en-de-rdi
- EU Council final approval Digital Omnibus (29 juni 2026): https://ieu-monitoring.com/editorial/eu-council-gives-final-approval-to-ai-act-simplification-under-omnibus-vii/1244434
- EU AI Act Omnibus Agreement, verschoven deadlines (Gibson Dunn): https://www.gibsondunn.com/eu-ai-act-omnibus-agreement-postponed-high-risk-deadlines-and-other-key-changes/
- Verbond vraagt om duidelijkheid over AI-toezicht op verzekeraars (Verbond van Verzekeraars): https://www.verzekeraars.nl/publicaties/actueel/verbond-vraagt-om-duidelijkheid-over-ai-toezicht-op-verzekeraars

Canonical: https://www.marcdiks.nl/eu-ai-act
Auteur: Marc Diks