EU Regelgeving · AI Act · Toepassingsgebied
Geldt de AI Act ook voor mijn organisatie?
De AI Act is de eerste bindende AI-wet ter wereld. Maar niet elke organisatie die AI gebruikt valt automatisch onder dezelfde verplichtingen — en sommige organisaties vallen er helemaal buiten. Vier criteria bepalen of de wet voor jou geldt, en zo ja: welke verplichtingen dat zijn.
4
Risicocategorieën
Van verboden tot minimaal risico
2 aug 2026
Hoofdverplichtingen
Hoog-risico AI-systemen
€35 mln
Maximale boete
Of 7% van mondiale omzet
In het kort
- →De AI Act geldt voor aanbieders én gebruikers van AI-systemen die actief zijn op de EU-markt — ook als je buiten de EU gevestigd bent.
- →De wet werkt met risicocategorieën: hoe hoger het risico van jouw AI-systeem, hoe zwaarder de verplichtingen.
- →Verboden AI-toepassingen gelden voor iedereen per 2 februari 2025, ongeacht sector of organisatiegrootte.
- →Gebruik je AI van een externe leverancier? Dan val je mogelijk toch onder de wet als gebruiksverantwoordelijke (“deployer”).
- →Kleine organisaties hebben dezelfde basisverplichtingen, maar krijgen bij sommige categorieën proportionele behandeling.
Wil je weten wat dit voor jouw organisatie betekent?
Doe de gratis AI Act impact scan en ontdek in 3 minuten welke verplichtingen op jou van toepassing zijn.
Deze vraag krijg ik regelmatig van directies en bestuurders: “Wij gebruiken AI, maar moeten wij iets doen met die AI Act?” Het antwoord is zelden een simpel ja of nee. De EU AI Act — officieel Verordening (EU) 2024/1689 — bepaalt verplichtingen op basis van wat je doet met AI, niet puur op basis van wie je bent. Dit artikel legt aan de hand van vier concrete criteria uit of jouw organisatie onder de wet valt, en zo ja: wat dat betekent in de praktijk.
1 — De kernvraag
Wat bepaalt of de AI Act voor jou geldt?
De AI Act stelt geen algemene meldingsplicht in voor elk bedrijf dat AI aanraakt. In plaats daarvan zijn er vier criteria die bepalen of je binnen het toepassingsgebied valt.
1. Vestigingsplaats of marktplaats
De wet geldt voor organisaties die gevestigd zijn in de EU, maar ook voor organisaties buiten de EU als hun AI-systemen beschikbaar worden gesteld aan gebruikers in de EU, of als de output van hun AI-systemen in de EU effect heeft. Dit is hetzelfde territoriale principe als de AVG. Een Amerikaans softwarebedrijf dat een AI-tool aan Nederlandse bedrijven verkoopt, valt dus binnen het bereik van de AI Act.
2. Jouw rol in de AI-keten
De AI Act onderscheidt twee hoofdrollen:
- Aanbieder (provider): Een organisatie die een AI-systeem ontwikkelt of laat ontwikkelen en op de markt brengt. Denk aan een softwarebedrijf dat een AI-recruitmenttool verkoopt.
- Gebruiksverantwoordelijke (deployer): Een organisatie die een AI-systeem van een andere aanbieder inzet voor eigen doeleinden. Denk aan een HR-afdeling die die recruitmenttool gebruikt.
Beide rollen brengen verplichtingen met zich mee — alleen de zwaarte verschilt.
3. Het risiconiveau van jouw AI-systeem
Niet alle AI is gelijk. De AI Act werkt met vier risicocategorieën (zie sectie 2). Hoe hoger het risico, hoe zwaarder de eisen. Een AI-chatbot voor klantenservice en een AI-systeem dat sollicitanten beoordeelt, vallen in volledig verschillende categorieën.
4. Uitsluitingen
De AI Act geldt niet voor AI-systemen die uitsluitend voor militaire of nationale veiligheidsdoeleinden worden gebruikt. Ook AI die louter voor persoonlijk, niet-professioneel gebruik bestemd is, valt buiten de wet. Voor wetenschappelijk onderzoek en de ontwikkeling van AI-systemen (nog niet in gebruik) gelden specifieke uitzonderingen.
“Wie de vraag stelt ‘geldt de AI Act voor mij?’ stelt eigenlijk drie vragen tegelijk: waar ben ik gevestigd, welke rol speel ik, en wat voor AI gebruik ik?”
2 — De vier risicocategorieën
Welk risiconiveau heeft jouw AI-systeem?
De risicocategorie van jouw AI-systeem bepaalt welke verplichtingen concreet op jou van toepassing zijn. De AI Act onderscheidt vier niveaus:
| Risiconiveau | Wat valt hieronder | Verplichtingen |
|---|---|---|
| Onaanvaardbaar risico (verboden) | Sociale scoring door overheden, manipulatieve AI, realtime biometrische identificatie in openbare ruimten, AI die kwetsbare groepen uitbuit | Volledig verbod — deze systemen mogen niet worden aangeboden of gebruikt |
| Hoog risico | AI in kritieke infrastructuur, onderwijs, werkgelegenheid, essentiële diensten, rechtshandhaving, migratiebeheer, rechtsbedeling | Conformiteitsbeoordeling, registratie, technische documentatie, menselijk toezicht, transparantie |
| Beperkt risico | Chatbots, deepfake-generatoren, emotieherkenning | Transparantieverplichtingen (gebruiker moet weten dat hij met AI communiceert) |
| Minimaal risico | AI-spamfilters, AI-aanbevelingssystemen in streaming, AI in games | Geen wettelijke verplichtingen, maar gedragscode aanbevolen |
Praktische vuistregel: als jouw AI-systeem beslissingen neemt of ondersteunt die significante gevolgen hebben voor mensen — op het gebied van werk, krediet, onderwijs, veiligheid of toegang tot diensten — zit je vrijwel zeker in de hoog-risico categorie. Gebruik de AI Act impact scanner om dit voor jouw specifieke situatie te toetsen.
3 — Per sector
Voorbeelden: valt mijn organisatie onder de AI Act?
De abstracte wettekst wordt concreter aan de hand van sectoren. Onderstaande voorbeelden zijn gebaseerd op de bijlagen van de AI Act en de toelichting van de Europese Commissie.
Ja — waarschijnlijk hoog-risico
- HR-software die automatisch cv's scoort
- Kredietscoresystemen bij banken
- AI-systemen in medische hulpmiddelen (klasse IIa of hoger)
- Systemen voor risicobeoordeling in de strafjustitie
- AI in onderwijs die toegang tot studies beïnvloedt
Ja — alleen transparantieverplichting
- Klantenservicechatbots (gebruiker moet weten: het is AI)
- AI die tekst, audio of video genereert die als echt overkomt
- Tools die emoties of kenmerken van personen analyseren
Waarschijnlijk buiten de AI Act
- Interne zoekfunctie op basis van machine learning
- Spellingcorrectie of autocomplete
- AI-gestuurde aanbevelingen voor interne documentatie
Let op: de grens is niet altijd scherp. Een chatbot die klanten adviseert over financiële producten, kan tegelijkertijd in de transparantiecategorie én de hoog-risicocategorie vallen, afhankelijk van de output en het gebruik.
4 — Voor KMO's
Geldt de AI Act ook voor kleine bedrijven?
Ja. De AI Act maakt geen fundamenteel onderscheid op basis van organisatiegrootte. Een startup die een hoog-risico AI-systeem op de markt brengt, heeft dezelfde basisverplichtingen als een multinational.
Er zijn wel enkele proportionele bepalingen voor KMO's en startups:
- —Lagere kosten voor conformiteitsbeoordelingen via sandbox-programma's die EU-lidstaten moeten opzetten
- —Mogelijkheid om gebruik te maken van vereenvoudigde technische documentatie in bepaalde gevallen
- —Extra ondersteuning via nationale toezichthouders voor de implementatie
Wat niet verschilt: de verboden op onaanvaardbaar-risico AI en de fundamentele transparantieverplichtingen gelden voor elke organisatie, ongeacht grootte.
5 — Tijdlijn
Wanneer moet ik wat geregeld hebben?
De AI Act is gefaseerd ingevoerd. Niet alles geldt tegelijk.
| Datum | Wat gaat in |
|---|---|
| 1 augustus 2024 | AI Act in werking getreden (publicatie EU Staatsblad) |
| 2 februari 2025 | Verbod op onaanvaardbare-risico AI van kracht; verplichtingen voor general-purpose AI-modellen |
| Augustus 2025 | Gedragscodes voor general-purpose AI-modellen verwacht |
| 2 augustus 2026 | Verplichtingen voor hoog-risico AI-systemen volledig van kracht |
| 2 augustus 2027 | Aanvullende bepalingen voor bepaalde hoog-risico systemen in bestaande producten |
Wat dit betekent voor nu (juni 2026): Als jouw organisatie hoog-risico AI gebruikt of aanbiedt, ben je nu al verplicht om volledig compliant te zijn — de deadline van 2 augustus 2026 is dit jaar. Organisaties die nog niet begonnen zijn lopen achter. De voorbereiding (documentatie, risicoanalyse, conformiteitsbeoordeling) neemt bij de meeste organisaties 6 tot 12 maanden in beslag.
6 — Concrete stappen
Wat moet je nu doen?
Als je na bovenstaande criteria vermoedt dat de AI Act op jouw organisatie van toepassing is, zijn dit de logische stappen:
Maak een AI-inventarisatie
Breng in kaart welke AI-systemen jouw organisatie gebruikt, ontwikkelt of inkoopt. Inclusief AI-functionaliteiten in bestaande SaaS-tools (denk aan AI in HR-systemen, CRM's of financiële software).
Classificeer per systeem
Bepaal per systeem de risicocategorie op basis van de bijlagen van de AI Act. Raadpleeg hiervoor Bijlage III van de verordening (hoog-risico toepassingen) en de verboden praktijken in Artikel 5.
Bepaal jouw rol
Ben je aanbieder, deployer, of allebei? Dit bepaalt de specifieke verplichtingen die op jou van toepassing zijn.
Stel documentatie op
Voor hoog-risico AI: technische documentatie, risicobeheersysteem, conformiteitsbeoordeling en registratie in de EU-database zijn verplicht. Begin hier vroeg mee — dit is het tijdrovende deel.
Richt menselijk toezicht in
Voor hoog-risico AI moet er aantoonbaar menselijk toezicht zijn op de output van het systeem. Leg vast wie verantwoordelijk is en hoe interventie werkt.
Wat wij niet claimen
- —Dit artikel is geen juridisch advies. De AI Act is complexe regelgeving en de toepassing op specifieke situaties vereist juridisch advies op maat.
- —De AI Act en de bijbehorende uitvoeringsmaatregelen worden nog verder uitgewerkt. Gedelegeerde handelingen en technische normen kunnen de praktische toepassing nog beïnvloeden.
- —De voorbeelden in dit artikel zijn indicatief en gebaseerd op de wettekst en de toelichting van de Europese Commissie per de publicatiedatum van dit artikel.
Bronnen
Veelgestelde vragen over de AI Act
Geldt de AI Act ook voor kleine bedrijven?
Ja, de AI Act geldt ook voor kleine en middelgrote bedrijven als zij AI-systemen ontwikkelen, aanbieden of gebruiken die binnen het toepassingsgebied van de wet vallen. Er gelden wel lichtere verplichtingen voor KMO's bij bepaalde risicocategorieën.
Wanneer gaat de AI Act in?
De AI Act is op 1 augustus 2024 in werking getreden. De verplichtingen worden gefaseerd ingevoerd: verboden AI-praktijken gelden per 2 februari 2025, verplichtingen voor hoog-risico AI per augustus 2026.
Geldt de AI Act buiten de EU?
Ja. De AI Act geldt ook voor organisaties buiten de EU als hun AI-systemen worden ingezet door gebruikers binnen de EU of als de output ervan binnen de EU effect heeft. Dit is vergelijkbaar met het marktplaatsbeginsel van de AVG.
Wat als ik AI inkoop bij een externe leverancier?
Als deployer (gebruiksverantwoordelijke) heb je eigen verplichtingen onder de AI Act, ook als je de AI niet zelf bouwt. Je moet onder meer zorgen voor juist gebruik conform de instructies van de aanbieder, menselijk toezicht inrichten en bij hoog-risico AI logging en monitoring bijhouden.
Wat zijn de boetes bij overtreding?
De maximale boete voor het aanbieden van verboden AI-systemen is €35 miljoen of 7% van de wereldwijde jaaromzet (het hoogste van de twee). Voor andere overtredingen geldt €15 miljoen of 3% van de omzet.
Volgende stap
Weet jij of jouw organisatie onder de AI Act valt?
Veel organisaties gebruiken al hoog-risico AI zonder het te weten. Doe de gratis AI Act impact scan om te ontdekken welke verplichtingen voor jou gelden — of neem contact op voor een persoonlijk gesprek.
Gepubliceerd: 13 juni 2026 · Auteur: Marc Diks