De EU AI Act — Wat je echt moet weten als je met AI werkt

Voor wie is dit artikel?Voor MKB’ers, IT-leads en juristen die willen weten óf ze onder de EU AI Act vallen en zo ja, wat ze moeten regelen.Snel antwoord: de meeste MKB’ers hoeven bijna niks. Alleen als je AI gebruikt voor beslissingen over mensen (werving, kredietbeoordeling, medische diagnose) gelden extra regels. De rest van dit artikel is de uitleg — sla naar de sectie “Voor MKB en ondernemers” als je snel wilt weten wat jouw situatie is.

📌 Let op: deze analyse is bijgewerkt op 20 mei 2026 na het politiek akkoord van 7 mei. De hoogrisico-deadline is officieel verschoven van 2 augustus 2026 naar 2 december 2027 voor de meeste sectoren; producten zoals liften en speelgoed krijgen tot 2 augustus 2028. Transparantieverplichtingen blijven op 2 augustus 2026. Vanaf 2 december 2026 komen er nieuwe verboden bij — onder andere ‘nudifier’-applicaties. (Bron: Consilium — Council and Parliament agree to simplify and streamline rules, 7 mei 2026)

Europa schreef de eerste AI-wet ter wereld. En die raakt jou.

De EU AI Act (Regulation (EU) 2024/1689) is het eerste uitgebreide juridische kader voor AI (Bron: EUR-Lex — Verordening 2024/1689) en legt uniforme spelregels vast voor iedereen die AI ontwikkelt, verkoopt of gebruikt binnen de EU. De kern is vertrouwbare AI: een evenwicht tussen veiligheid, grondrechten en innovatie.

Klinkt abstract? Als je een chatbot bouwt, een AI-tool voor personeelsselectie inzet of gewoon een generatief model integreert in je workflow, dan valt jouw gebruik direct of indirect onder deze regels.

De basis is een risicogebaseerde aanpak: hoe groter het risico van een toepassing voor mensen en maatschappij, hoe strenger de eisen. Deze eisen worden gefaseerd ingevoerd tussen 2024 en 2027, waarbij sommige verboden nu al gelden.

Beginner-tip:Zie de AI Act als een soort CE-keurmerk voor AI. Bepaalde systemen mogen pas de markt op als ze door een veiligheids- en grondrechtentoets heen zijn gegaan.

Wat wil de wet bereiken?

De AI Act creëert één gemeenschappelijk regelgevend kader voor heel Europa. In plaats van 27 verschillende regimes geldt één set regels, wat juist voor grensoverschrijdende digitale diensten duidelijkheid geeft.

De wet geldt voor iedereen die AI aanbiedt of gebruikt binnen de EU, ook als je bedrijf buiten de EU is gevestigd. Militair gebruik en zuiver wetenschappelijk onderzoek zonder marktintroductie vallen in principe buiten scope.

De mens staat centraal: AI-systemen moeten veilig, transparant en eerlijk zijn en grondrechten respecteren. Dit wordt afgedwongen via documentatie, risicobeheer, toezicht en markttoezicht volgens het Europese New Legislative Framework.

Vier risiconiveaus — van “geen probleem” tot “verboden”

De AI Act deelt AI-toepassingen in vier risicocategorieën in.

• Onaanvaardbaar risico (verboden)
  Systemen die een duidelijk gevaar vormen voor grondrechten of democratische waarden, zoals social scoring door overheden of manipulerende AI die kwetsbare groepen uitbuit, zijn verboden.

• Hoog risico
  Dit betreft AI in domeinen als zorg, onderwijs, werkgelegenheid, rechtshandhaving, migratie en kritieke infrastructuur. Deze systemen moeten voldoen aan strikte eisen rond documentatie, risicobeheer, menselijk toezicht en registratie in een EU-database.

• Beperkt risico (limited/low risk)
  Hier gelden vooral transparantieverplichtingen: gebruikers moeten weten dat ze met AI te maken hebben, zeker bij chatbots, emotieherkenning en deepfakes. Voor consumenten die willen weten hoe ze deepfakes in de praktijk herkennen: Deepfakes in 2026 — zo herken je een nep-video.

• Minimaal risico
  Dit zijn de meeste toepassingen, zoals simpele AI-functies in software of spamfilters, waarvoor geen specifieke AI Act-verplichtingen gelden.

De definitie van een AI-systeem is breed: elk machine-based systeem dat met een bepaalde mate van autonomie opereert en adaptief kan zijn na deployment valt hieronder. De wet onderscheidt bovendien aanbieders, importeurs, distributeurs en professionele gebruikers, met elk hun eigen verplichtingen.

Wat is er verboden?

Sinds 2 februari 2025 zijn bepaalde AI-praktijken expliciet verboden binnen de EU.

Belangrijke verboden zijn onder andere:

• Social scoring van personen door overheden.
• Biometrische categorisatie op basis van gevoelige kenmerken zoals etniciteit, religie of seksuele geaardheid, behalve in streng begrensde uitzonderingen.
• Exploiteren van kwetsbaarheid van kinderen, ouderen of mensen met beperkingen via manipulatieve AI.
• Real-time gezichtsherkenning in openbare ruimte door opsporingsdiensten, behalve in uitzonderlijke gevallen en met rechterlijke toestemming.

Vanaf 2 december 2026 komen daar nieuwe verboden bij na het politiek akkoord van 7 mei 2026 (Bron: Consilium):

• ‘Nudifier’-applicaties — AI-systemen die zonder uitdrukkelijke toestemming naakte of seksueel suggestieve beelden van personen genereren of manipuleren.
• AI-systemen die kindermisbruikmateriaal (CSAM) genereren — expliciet verboden, ook in onderzoekscontext.

Deze categorie valt onder onaanvaardbaar risico en mag niet op de EU-markt worden gebruikt.

Hoogrisico AI — waar het ingewikkeld wordt

Hoogrisico AI is het hart van de AI Act en zorgt voor de meeste compliance-druk. Het gaat bijvoorbeeld om AI voor biometrische identificatie, toegang tot essentiële diensten, onderwijs, HR-besluitvorming, rechtshandhaving, migratie en kritieke infrastructuur.

Aanbieders van hoogrisico-systemen moeten onder meer:

• Een conformiteitsbeoordeling uitvoeren (intern of via een derde partij).
• Uitgebreide technische documentatie en een kwaliteitsmanagementsysteem bijhouden.
• Een risicobeheerproces inrichten, inclusief beoordeling van impact op grondrechten.
• Het systeem registreren in een centrale EU-database.

Na marktintroductie blijven verplichtingen gelden: incidenten melden, prestaties monitoren en periodiek rapporteren, vooral bij mogelijke discriminatie of veiligheidsproblemen.

Gevorderden:Voor sommige hoogrisico-categorieën volstaat een interne beoordeling, maar voor andere is een onafhankelijkenotified bodyverplicht. De EU-verklaring van conformiteit moet je minstens tien jaar bewaren en bij elke significante wijziging actualiseren.

Transparantie — laat zien wat je doet

Vanaf 1 augustus 2025 gelden specifieke transparantieregels.

Belangrijk:

• Gebruikers moeten weten wanneer ze met een AI-systeem communiceren, bijvoorbeeld bij chatbots en virtuele assistenten.
• Deepfakes en AI-gegenereerde content moeten als zodanig herkenbaar zijn, bijvoorbeeld via labeling.
• Systemen met emotieherkenning of biometrische analyse vereisen aanvullende waarschuwingen.

Daarnaast moeten aanbieders documenteren welke datasets zijn gebruikt, hoe deze zijn geselecteerd en hoe is getest op nauwkeurigheid, robuustheid en veiligheid. Verwerk je persoonsgegevens, dan gelden zowel de AVG als de AI Act, inclusief DPIA’s en data governance.

General-purpose AI — extra regels voor de grote modellen

General-purpose AI (GPAI) of foundation models krijgen een eigen set regels.

Standaard GPAI-modellen moeten:

• Transparante technische documentatie bijhouden.
• Informatie geven over de gebruikte trainingsdata (voor zover mogelijk).
• Een duidelijk auteursrechtenbeleid en samenvattingen van gebruikte beschermde content voorzien.

Modellen met systeemrisico (bijvoorbeeld zeer grote modellen of door het AI Office aangewezen) moeten daarnaast:

• Uitgebreide red teaming en adversarial testing uitvoeren.
• Systemische risico’s evalueren en mitigeren.
• Ernstige incidenten melden aan het AI Office.

Generatieve AI moet bovendien aangeven wanneer content door AI is gemaakt en safeguards hebben tegen illegale inhoud.

AI en ethiek — de morele kern van de wet

De AI Act verankert expliciet ethische principes in bindende regelgeving. Concepten als eerlijkheid, menselijke autonomie, non-discriminatie en transparantie worden vertaald naar concrete verplichtingen. Voor de bredere filosofische en maatschappelijke achtergrond — bias, black-box-modellen, aansprakelijkheid en werk — lees onze toegankelijke gids AI en ethiek in 2026.

Dit is nodig omdat AI steeds vaker bepaalt wie een baan, lening of vergunning krijgt, of wie extra controle aan de grens krijgt. Zonder normen kan AI bestaande ongelijkheid versterken of nieuwe vormen van discriminatie introduceren.

De ethiek is zichtbaar in:

• Verboden praktijken die grootschalige manipulatie, social scoring en massasurveillance tegenhouden.
• Hoogrisico-eisen rond representatieve datasets, fairness en verplicht menselijk toezicht.
• Transparantie zodat burgers weten wanneer AI in het spel is.
• Grondrechtentoetsen bij overheden voor gevoelige toepassingen.

Waar de AI Act ophoudt en het morele debat begint, zie je goed in onze deep dive over de ethische vragen rond AI en defensie: air-gapped militaire netwerken vallen in de praktijk buiten het transparantieregime dat de AI Act voor civiele toepassingen voorschrijft.

Beginner-tip:Ethische AI is niet meer “nice to have”. Als jouw AI mensen beoordeelt, moet je kunnen aantonen dat het systeem eerlijk, uitlegbaar en controleerbaar is — omdat de wet dat eist.

Wie controleert dit?

Op EU-niveau is het AI Office de centrale autoriteit. Dit orgaan coördineert de toepassing van de AI Act, bewaakt GPAI- en systeemrisicomodellen en ondersteunt nationale toezichthouders.

Elke lidstaat wijst één of meer markttoezichthouders en aanmeldende autoriteiten aan. Zij mogen documentatie en in sommige gevallen broncode opvragen, inspecties uitvoeren, corrigerende maatregelen opleggen en boetes uitdelen.

In verschillende lidstaten liep de aanwijzing van toezichthouders achter op de oorspronkelijke deadline van augustus 2025, waardoor implementatie- en capaciteitsopbouw extra aandacht vragen.

Nederland: toezicht en implementatie

De AI Act geldt als verordening rechtstreeks in Nederland. Nederland werkt aan een uitvoeringswet om de precieze taken en bevoegdheden van toezichthouders vast te leggen.

De Autoriteit Persoonsgegevens (AP) en de Rijksinspectie Digitale Infrastructuur (RDI) worden de centrale toezichthouders voor AI, aangevuld met AFM en DNB in de financiële sector en andere sectorale autoriteiten waar nodig. Het ministerie van EZK coördineert de implementatie. Voor een praktische uitleg hoe dit hybride stelsel van tien Nederlandse toezichthouders concreet uitwerkt voor het MKB, schreven we een aparte handleiding met per sector de primaire toezichthouder.

Belangrijke data voor Nederlandse organisaties:

• 2 februari 2025 – Verboden AI-praktijken en AI-geletterdheidsplicht van kracht.
• 2 augustus 2025 – Regels voor GPAI en transparantieverplichtingen van toepassing.
• 2 augustus 2026 – Transparantieverplichtingen actief; AI-systemen die synthetische content genereren moeten als zodanig herkenbaar zijn (deadline voor markering content die vóór 2 augustus 2026 op de markt kwam: 2 december 2026).
• 2 december 2026 – Nieuwe verboden van kracht: nudifier-apps en CSAM-generatie via AI.
• 2 augustus 2027 – Deadline voor regulatory sandboxes per lidstaat (uitgesteld van augustus 2026 na 7 mei akkoord).
• 2 december 2027 – Hoogrisico-eisen voor de meeste sectoren actief (biometrie, kritieke infrastructuur, onderwijs, werk, migratie, asiel, grens).
• 2 augustus 2028 – Hoogrisico-eisen actief voor AI geïntegreerd in producten zoals liften en speelgoed.

Nederland kent een relatief hoge AI-adoptie; dat vergroot zowel de kansen als de compliance-risico’s. Uiterlijk in 2026 moet minstens één regulatory sandbox operationeel zijn om innovatie met toezicht te combineren. Voor een concreet Nederlands voorbeeld: zie onze analyse van wat de AI Act betekent voor GPT-NL en de AI-fabriek in Groningen, en hoe internationale spelers zich juist positioneren — bijvoorbeeld hoe Europese aanbieders zich positioneren met Claude voor Europese klanten.

Gevorderden:Organisaties die al serieus met AVG, DPIA’s en data governance bezig zijn, hebben een duidelijke voorsprong bij AI Act-compliance.

Innovatie — niet alleen verbieden

De AI Act wil risico’s beperken, maar ook innovatie mogelijk maken. Daarom voorziet de wet in regulatory sandboxes waarin organisaties samen met toezichthouders nieuwe AI-oplossingen kunnen testen.

Voor mkb en startups komen er vereenvoudigde procedures en ondersteuning via advies, mogelijke financiering, testfaciliteiten en toegang tot expertise. Heldere regels creëren rechtszekerheid, wat het aantrekken van investeerders juist makkelijker kan maken. Voor een praktische vertaalslag naar het MKB lees je in ons overzicht welke regels in de praktijk knellen — en waar ze juist minder streng zijn dan veel ondernemers denken.

Hulpmiddelen

Voor implementatie zijn verschillende hulpmiddelen beschikbaar:

• Het centrale AI Act Single Information Platform van de Europese Commissie, met uitleg, Q&A en een explorer.
• Nationale informatiepagina’s en een praktische AI Act-gids van de Nederlandse overheid.
• Roadmaps, checklists en whitepapers van gespecialiseerde advies- en advocatenkantoren.

Daarnaast bieden opleiders en brancheorganisaties trainingen rond AI-geletterdheid, risico-inschatting en praktische compliance.

De boetes — en die zijn niet mals

De AI Act kent hoge maximumboetes die afhankelijk zijn van de aard van de overtreding.

Type overtreding	Maximum boete
Verboden AI-praktijken	€35 miljoen of 7% wereldwijde jaaromzet
Niet-naleving hoogrisico-verplichtingen	€15 miljoen of 3% wereldwijde jaaromzet
Onjuiste informatie aan autoriteiten	€7,5 miljoen of 1% wereldwijde jaaromzet

Voor kleinere organisaties kunnen toezichthouders evenredig lagere boetes opleggen, maar de bovengrenzen laten duidelijk zien dat de wet serieus is.

Wat komt er nog?

De AI Act is op 12 juli 2024 gepubliceerd en op 1 augustus 2024 in werking getreden. De implementatie loopt nu door tot 2028, met vierjaarlijkse evaluaties om de regels aan te passen aan technologische ontwikkelingen.

Het Digital Omnibus-pakket dat de Europese Commissie in november 2025 voorstelde, is op 7 mei 2026 politiek goedgekeurd door Raad en Parlement (Bron: Consilium). De formele adoptie wordt verwacht vóór juli 2026 — ruim voor de oorspronkelijke augustus-deadline. De voornaamste wijzigingen: uitstel hoogrisico naar 2 december 2027, uitstel sandbox-verplichting naar augustus 2027, en nieuwe verboden vanaf december 2026. Door vertraging bij standaardisatieorganen (zoals CEN en CENELEC) schoven technische standaarden door, wat een belangrijke aanleiding was voor het uitstel.

Daarnaast werkt een onafhankelijk scientific panel aan beoordelingsmethoden voor nieuwe AI-technologieën. Voor foundation models ligt al een vrijwillige gedragscode op tafel die later deels verplicht kan worden.

Tot slot komt er aanvullende EU-regelgeving rond cloud- en AI-infrastructuur, zoals de aangekondigde Cloud and AI Development Act. Het loont dus om de officiële communicatie van het AI Office en de Europese Commissie actief te volgen.

Voor MKB en ondernemers — wat betekent dit?

• Moet je iets? Voor de meeste MKB’ers: nee, niks bijzonders. Alleen als je AI gebruikt voor beslissingen óver mensen (werving, kredietbeoordeling, toelating tot onderwijs, medische diagnose, uitkeringen) val je onder de hoogrisico-categorie en gelden extra regels. De goede news: na het 7 mei 2026 akkoord is de hoogrisico-deadline uitgesteld naar 2 december 2027 — je hebt dus anderhalf jaar méér voorbereidingstijd. Chatbots en transparantie-regels gelden breder en gaan al wel in op 2 augustus 2026: als je een AI-chatbot hebt op je site moet duidelijk zijn dat het AI is, geen mens.
• Wat merk je er concreet van? Een marketingbureau dat ChatGPT gebruikt voor copy: niks. Een webshop met een AI-chatbot: één disclaimer toevoegen (“Je chat met een AI-assistent”), klaar vóór 2 augustus 2026. Een recruitmentbureau dat AI inzet voor CV-pre-selectie: vanaf 2 december 2027 krijg je documentatie-plicht, menselijke toets en DPIA (een verplichte impact-analyse bij privacy-gevoelige systemen). Een zorgorganisatie die AI gebruikt voor diagnostische voorselectie: serieuze compliance-opgave, schakel vroeg een jurist in.
• Wat is je eerste stap? Loop deze week je AI-tools langs met één vraag: “Gebruik ik dit om beslissingen over mensen te nemen?” Schrijf het op één A4. Bij alles met “ja” plan je een gesprek met je DPO of een AVG-jurist vóór eind 2026 — je hebt nu tot december 2027, maar wachten tot Q3 2027 is risicovol. Bij alles met “nee” ben je klaar — houd alleen het algemene nieuws in de gaten. Voor een dieper beeld van hoe dit in Nederland georganiseerd wordt: EU AI Act-handhaving in Nederland.

Bronnen

• EU AI Act — officiële Verordening 2024/1689
• Europese Commissie — AI Act overzicht
• Consilium — Council and Parliament agree to simplify and streamline rules (7 mei 2026)
• Autoriteit Persoonsgegevens — AI Act en AVG
• Rijksinspectie Digitale Infrastructuur — AI-toezicht
• artificialintelligenceact.eu — analyses per artikel