📌 Stand van zaken 29 mei 2026: dit artikel bundelt de AI Act-stand van zaken voor Nederland na het politiek akkoord van 7 mei 2026, de definitieve 2 augustus 2026-deadline voor transparantie en chatbot-melding, en de twee watermerk-data die voor veel organisaties nieuw zijn. Voor de basisuitleg van de wet: lees De EU AI Act — wat je echt moet weten als je met AI werkt. Voor sectorspecifiek MKB-toezicht: welke 10 Nederlandse toezichthouders raken jouw MKB.
Het zwaartepunt verschuift — niet de wet, maar de praktijk
Een half jaar geleden ging elk AI-gesprek in Nederland nog over één vraag: wat zegt die wet eigenlijk? Bestuurders lazen samenvattingen, juridische teams maakten matrices, en consultants verkochten awareness-sessies. Tegelijk bleven veel concrete inventarisaties hangen, omdat de hoog-risico-deadline van augustus 2026 nog ver weg leek en de toezichthouders nog niet allemaal benoemd waren.
Sinds het Digital Omnibus-akkoord van 7 mei 2026 is het beeld scherper geworden. De Raad en het Europees Parlement hebben definitief ingestemd met een gefaseerde aanpak: zware hoog-risico-verplichtingen schuiven door naar 2 december 2027, terwijl de praktische dingen — transparantie, chatbot-melding, watermerken — op hun oorspronkelijke data blijven staan (Bron: Consilium). Dat klinkt als lucht voor wie wachtte op duidelijkheid, maar het tegenovergestelde gebeurt: organisaties moeten nu écht aan de slag, omdat de “we wachten op de definitieve regels”-houding niet langer houdbaar is.
In de Nederlandse context zit het zwaartepunt nu vooral in drie dingen: governance op orde krijgen, watermerken en transparantie op de site regelen, en — voor wie modeltraining of gevoelige workloads draait — bewuste keuzes maken over infrastructuur. De rest van dit artikel werkt die drie sporen uit.
Beginner-tip:denk bij governance niet aan een dik beleidsdocument, maar aan vijf dingen die je opschrijft: welke AI je gebruikt, waarvoor, met welke data, met welke logging en wie de eigenaar is. Een spreadsheet van vijf kolommen is een prima begin.
Wat veranderde op 7 mei 2026, en wat juist niet
De drie data die je in je hoofd wilt hebben:
| Datum | Wat | Veranderd na 7 mei? |
|---|---|---|
| 2 februari 2025 | Verboden praktijken + AI-geletterdheidsplicht | Nee |
| 2 augustus 2025 | GPAI / foundation models | Nee |
| 2 augustus 2026 | Artikel 50: transparantie, chatbot-melding, watermerken op nieuwe content | Nee — staat als een huis |
| 2 december 2026 | Watermerk-grandfathering oudere content + nieuwe verboden (nudifier, AI-CSAM) | Termijn ingekort van 6 naar 4 maanden |
| 2 augustus 2027 | Deadline regulatory sandbox per lidstaat | Ja, uitgesteld van augustus 2026 |
| 2 december 2027 | Hoog-risico-eisen voor de meeste sectoren | Ja, uitgesteld van augustus 2026 |
| 2 augustus 2028 | Hoog-risico-eisen voor AI in producten (liften, speelgoed) | Ja, uitgesteld |
De inhoudelijke boodschap is helder: de publieksgerichte verplichtingen — alles waar de eindgebruiker iets van merkt of waar fouten onmiddellijk zichtbaar zijn — blijven op aug 2026 staan. De zwaardere, technische compliance rond hoog-risico-systemen krijgt anderhalf jaar extra. Voor wie hoog-risico AI bouwt is dat lucht; voor de rest is het ‘business as planned’.
Belangrijk: Nederlandse toezichthouders waaronder de AP en de RDI zijn al actief op de eerste tranche. Zij verwachten dat je in 2026 de AI-geletterdheidsplicht en de transparantieregels op orde hebt — niet dat je in Q4 2027 pas begint.
AI-geletterdheid — de stille verplichting die toezichthouders eerst toetsen
Sinds 2 februari 2025 ben je verplicht om medewerkers die AI gebruiken of besluiten op AI baseren voldoende kennis en context mee te geven. Dat is geen vrijblijvende oproep: het is een onderdeel van de verordening dat al afdwingbaar is en dat in inspectiegesprekken vroeg ter sprake komt.
In de praktijk betekent dit drie dingen voor de meeste Nederlandse organisaties:
- Een schriftelijke afspraak waarin staat wie er AI gebruikt, voor welke processen en welke trainingen zij hebben gehad. Een paragraaf in je AI-beleid is genoeg, mits de inhoud klopt.
- Een korte training of onboarding-module voor medewerkers die met generatieve AI of automated decision-making werken — en dat zijn er steeds meer, want AI-gebruik is mainstream geworden (22,7% van de Nederlandse bedrijven in 2024). Dat hoeft geen meerdaagse cursus te zijn; een interne sessie van anderhalf uur met een quiz is verdedigbaar voor MKB.
- Een vaste cadans — bijvoorbeeld jaarlijks — waarop je dit herijkt. AI-gebruik verandert sneller dan de meeste compliance-cycli.
Gevorderden:koppel AI-geletterdheid aan je bestaande AVG-trainingsprogramma. Veel organisaties hebben al een jaarlijkse AVG-refresher; daar één module aan toevoegen over AI-output, hallucinaties, bias en verantwoord prompten is logistiek vrijwel gratis. Voor de inhoudelijke onderbouwing: lees onze gids overAI-hallucinaties herkennenenhoe we AI menselijk houden.
Watermerken — twee deadlines die veel organisaties over het hoofd zien
Artikel 50 van de AI Act verplicht aanbieders van generatieve AI om AI-gegenereerde beelden, video én audio in een machine-leesbaar formaat te markeren. Niet alleen een tekstje “dit beeld is gemaakt met AI”, maar een gelaagde aanpak: zichtbare labels, embedded metadata, onzichtbare pixel-watermerken en — afhankelijk van de toepassing — fingerprinting waarmee detectiesoftware en platforms de content kunnen herkennen (Bron: Bird & Bird).
Twee data om in je agenda te zetten:
- 2 augustus 2026 — alle nieuwe AI-gegenereerde content die je vanaf dat moment publiceert, moet voldoen aan de markerings- en herkenbaarheidsplicht.
- 2 december 2026 — grandfathering: AI-content die je vóór 2 augustus 2026 al gepubliceerd had, moet uiterlijk op deze datum machine-leesbaar gemarkeerd zijn. Het 7 mei akkoord heeft deze termijn ingekort van zes naar vier maanden, omdat de Commissie wilde voorkomen dat oudere ongelabelde content nog lang in omloop blijft (Bron: Inside Privacy).
Boetes voor het niet-naleven van Artikel 50 kunnen oplopen tot €15 miljoen of 3% van de wereldwijde jaaromzet. Voor de meeste MKB-bedrijven zal het in 2026 niet meteen tot boetes komen — de eerste lijn wordt waarschuwingen — maar het signaal is duidelijk.
Wat moet je deze maand al doen? Drie korte stappen, samen één werkdag:
- Inventariseer welke AI-gegenereerde beelden, video en audio op je site, in je app of in je marketingmateriaal staan. Een lijst is genoeg.
- Check je leveranciers. Midjourney, Adobe Firefly en de meeste serieuze GenAI-aanbieders leveren al C2PA-metadata mee. Dat is geen AI Act-verplicht standaard maar voldoet wel aan de machine-leesbaarheidseis. Voor video-AI specifiek (denk aan Seedance 2.0, Veo of Runway) is dit een vraag die je expliciet bij je leverancier moet beleggen — niet alle videomodellen schrijven metadata weg.
- Mark de gaten. Voor content uit modellen of stukken die geen metadata hebben, plan je een markeringsslag in vóór 2 december 2026. Voor consumenten-georiënteerde context: zie Deepfakes in 2026 — zo herken je een nep-video.
NL-toezicht en GPAI: twee sporen op verschillende niveaus
Een veelvoorkomend misverstand: “we vallen onder de AP, dus die regelt al ons AI-toezicht.” Klopt deels. In het Nederlandse stelsel — bevestigd door staatssecretaris Aerdts op 20 april 2026 — zijn tien sector-toezichthouders aangewezen, met de Autoriteit Persoonsgegevens (AP) en de Rijksinspectie Digitale Infrastructuur (RDI) als coördinerende as (Bron: Rijksoverheid). Werk je in zorg (IGJ), financieel (AFM/DNB) of onderwijs (Onderwijsinspectie), dan krijg je waarschijnlijk meer dan één gesprekspartner.
Maar voor General-Purpose AI — de grote foundation-modellen zoals GPT-5, Claude, Gemini, Llama — ligt het toezicht juist Europees. Het AI Office in Brussel beoordeelt deze modellen, kijkt naar systeemrisico’s en kan ingrijpen bij ernstige incidenten. Dat betekent dat jouw leverancierscontracten en de bijbehorende GPAI-transparantie-eisen (samenvatting trainingsdata, auteursrechtenbeleid, technische documentatie) hun bron Europees hebben, ook al voer jij compliance lokaal in Nederland.
Praktische consequentie: ga je een nieuwe AI-leverancier kiezen, vraag dan vóór 2 augustus 2026 drie dingen op: (1) hun GPAI-modelkaart of -samenvatting, (2) hun aanpak voor auteursrechtelijk beschermde trainingsdata, (3) hun mechanisme om incidenten en model-updates te communiceren. Een leverancier die deze drie dingen niet kan tonen, zal het na augustus moeilijk krijgen. Voor MKB-keuzehulp over de grote spelers: ChatGPT, Claude, Gemini en Copilot — welke past bij jou. Een keiharde meetlat: het Amsterdamse Aithos-instituut testte twaalf modellen tegen AVG + AI Act — Claude Opus 4.7 haalt nog 54% naleving, Gemini 3.1 Pro maar 10%.
Drie Nederlandse signalen die ertoe doen
Naast het regelgevende spoor verschuift ook de Nederlandse AI-infrastructuur. Drie ontwikkelingen die niet juridisch verplicht zijn maar wel je opties verbreden:
1. AI-fabriek Groningen. EuroHPC heeft €70 miljoen toegekend voor een Europese AI-fabriek in Groningen, met een totaalinvestering van €200 miljoen (€70M ministeries, €60M Nij Begun) (Bron: SURF). Het expertisecentrum start in 2026; de supercomputer draait naar verwachting in 2027 op volle kracht. Voor startups, mkb en publieke organisaties komt er een realistischer pad naar Europese rekenkracht zonder hyperscaler-afhankelijkheid.
2. GPT-NL op Snellius. TNO, NFI en SURF hebben GPT-NL inmiddels getraind op de nationale supercomputer Snellius, met uitsluitend rechtmatig verkregen Nederlandse data (Bron: GPT-NL). Het model is in 2026 in test bij ICTU en 27 gemeenten — waaronder Utrecht, Rotterdam en Eindhoven — via de virtuele gemeente-assistent Gem; eerste resultaten worden na de zomer van 2026 gepubliceerd. Voor de bredere context lees je GPT-NL, AI-fabriek Groningen en de EU AI Act in gewone taal uitgelegd.
3. Interne AI-platformen winnen aan rijpheid. Nederlandse instellingen verschuiven van losse GenAI-experimenten naar beheerbare interne platformen. De UvA voegde in mei 2026 een persoonlijk energiedashboard (Wh-meting per AI-prompt) en gedeelde Groups-personas toe aan haar interne AI Chat (Bron: UvA). Voor enterprise- en overheidsomgevingen die over een eigen AI-portaal nadenken, is dit een bruikbaar blauwdruk-signaal: kies voor observability, duurzaamheidsmetrics en gedeelde personas voordat je breed gaat uitrollen.
Praktische checklist voor Q3 en Q4 2026
Voor Nederlandse organisaties die niet hoog-risico zijn maar wel AI gebruiken:
- AI-inventaris compleet (tool, proces, persoonsgegevens, risico, leverancier) — ja / nee
- AI-geletterdheidsaanpak schriftelijk vastgelegd én uitgevoerd in 2026 — ja / nee
- Chatbot- en transparantie-meldingen op website en in product live vóór 2 augustus 2026 — ja / nee
- Inventaris AI-gegenereerd beeld/video/audio gemaakt; markering geregeld vóór 2 december 2026 — ja / nee
- GPAI-leverancierscontracten gelezen op modeldocumentatie, training-data, incident-meldingen — ja / nee (onze inkoop-checklist voor AI-contracten 2026 loopt twintig concrete vragen langs)
- Eigenaar van AI-governance benoemd (vaak DPO of CISO + één businessverantwoordelijke) — ja / nee
- Vervolgmoment vastgelegd voor Q1 2027 om hoog-risico-roadmap te starten (deadline 2 december 2027) — ja / nee
Voor wie wel hoog-risico AI bouwt of inkoopt (recruitment, kredietbeoordeling, medische triage, onderwijs-toelating): de uitgestelde deadline is geen reden om te wachten. De zwaarste eisen — conformiteitsbeoordeling, kwaliteitsmanagementsysteem, EU-registratie — vragen typisch 9-12 maanden voorbereiding. Voor MKB-context met concrete voorbeelden: AI voor MKB in 2026 — 5 kansen.
Wat dit betekent — per rol
Voor MKB-ondernemers: focus op transparantie en watermerken in 2026; hoog risico zit voor de meesten van jullie niet in de scope. Plan één werkdag in deze maand voor de inventarisatie, één halve dag voor een interne sessie AI-geletterdheid. En als je toch een AI-budget opstelt: reken niet alleen de licentieprijs — onze analyse ChatGPT duurder dan een stagiair? laat zien wat governance, training en prompt-werk in 2026 ongeveer optellen.
Voor developers en architecten: bouw nu al logging, versiebeheer en abstractielaag in. De abstractielaag betaalt zich terug zodra je tussen leveranciers of tussen hyperscaler en Europese stack (GPT-NL, AI-fabriek) wilt kunnen wisselen. Voor agent-architecturen: 754 open cybersecurity-skills voor AI-agents raakt de audit-eisen direct.
Voor bestuurders, DPO’s en juristen: governance is geen apart spoor naast techniek, maar een gezamenlijke opgave. De organisaties die in 2026 de snelste voortgang boeken, laten techniek en compliance vanaf dag één samen optrekken. Wat je vóór september wilt afgevinkt hebben: AI-inventaris, eigenaarschap, AI-geletterdheid en een leverancier-review voor de top-3 AI-tools.
Voor wie is dit artikel?Voor MKB’ers, IT-leads, DPO’s en juristen die de AI Act-basis al kennen en nu een stand van zaken willen na 7 mei 2026 — inclusief de praktische checklist die in de meeste beleidsdocumenten ontbreekt. Voor de juridische basis lees jeDe EU AI Act — wat je echt moet weten; voor sectoraal toezicht in NederlandEU AI Act-toezichthouders Nederland MKB.
Bronnen
- Consilium — Council and Parliament agree to simplify and streamline AI rules (7 mei 2026)
- Inside Privacy — EU AI Act Update: Timeline Relief, Targeted Simplification, and New Prohibitions
- Bird & Bird — Taking the EU AI Act to Practice: Draft Article 50 Guidelines
- Rijksoverheid — Kabinet zet stap met toezicht op Europese AI-regels (20 april 2026)
- SURF — Netherlands gets AI factory, European funding awarded
- GPT-NL — Training op nationale supercomputer Snellius
- UvA — Nieuw in UvA AI Chat, update mei 2026
- EU AI Act — officiële Verordening 2024/1689
- Digitale Overheid — AI-verordening en AI-geletterdheid