EU AI Act: wat jij vóór 2 augustus moet regelen

Je gebruikt AI. Misschien dagelijks. ChatGPT voor teksten, Copilot voor e-mails, een chatbot op je website, een tool die je agenda inplant of je facturen verwerkt. Maar weet je ook wat de EU AI Act van jou verwacht? Vanaf 2 augustus 2026 gelden de meeste verplichtingen. Voor iedereen. Ook voor jou als ondernemer.

Laten we starten met het goede nieuws: de kans is groot dat je niet in de zwaarste categorie valt. Maar dat betekent niet dat je niets hoeft te doen.

De EU AI Act is de eerste bindende AI-wetgeving ter wereld. Hij geldt niet alleen voor techbedrijven of grote multinationals. Iedereen die AI gebruikt in zijn bedrijf, heeft zich hieraan te houden, ook als je die AI niet zelf hebt gebouwd. En dus ook als je gewoon een abonnement hebt op een tool die toevallig AI gebruikt. En dat is precies de reden waarom dit artikel voor jou relevant is.

Let op: de deadline staat vast. Er waren plannen om de hoog-risico deadline via de Europese Digital Omnibus-wetgeving uit te stellen. Die triloogonderhandelingen zijn op 28 april 2026 mislukt, meldt compliance-platform Modulos. De deadline van 2 augustus 2026 is juridisch van kracht op basis van de originele verordening (EU) 2024/1689. Wacht dus niet op een uitstel dat er vooralsnog niet komt.

Wat is de EU AI Act eigenlijk?

De EU AI Act is Europese wetgeving die op 12 juli 2024 gepubliceerd is in het Publicatieblad van de Europese Unie, en in augustus 2024 in werking trad. Het doel: AI-systemen reguleren op basis van het risico dat ze vormen voor mensen en de samenleving. Hoe groter het risico, hoe zwaarder de eisen.

De wet kent vier risicocategorieën:

1. Verboden AI

Systemen die nooit mogen. Denk aan AI die mensen manipuleert zonder dat ze het weten, systemen die kwetsbare groepen uitbuiten, social scoring door overheden, of realtime biometrisch toezicht in openbare ruimtes. Dit verbod geldt al sinds februari 2025.

2. Hoog-risico AI

Systemen die ingrijpen op fundamentele rechten, veiligheid of belangrijke beslissingen over mensen. Denk aan AI bij sollicitatieprocedures, krediet beoordeling, medische diagnoses, rechtsbeslissingen of onderwijs. Hier gelden de strengste eisen: documentatie, risicobeheersing, menselijk toezicht en transparantie richting gebruikers. De deadline voor naleving: 2 augustus 2026.

3. Beperkt-risico AI

Systemen waarbij transparantie verplicht is, maar geen zware compliance-eisen gelden. Als je een chatbot inzet waarvan mensen denken dat het een mens is, moet je dat melden. Hetzelfde geldt voor AI-gegenereerde content: in steeds meer gevallen ben je verplicht die te labelen.

4. Minimaal risico

Het gros van de AI-tools: spamfilters, aanbevelingssystemen, productiviteit-tools. Geen wettelijke verplichtingen, maar vrijwillige gedragscodes worden wel gestimuleerd.

Belangrijk om te weten: de wet maakt onderscheid tussen aanbieders (bedrijven die AI-systemen ontwikkelen) en gebruikers (bedrijven die AI inzetten in hun werkprocessen). Volgens Artikel 3 van de AI Act is iedere organisatie die AI toepast om bedrijfsprocessen te ondersteunen of te automatiseren een gebruiker. Maar ook als gebruiker heb je verplichtingen. Dat is het punt waar veel ondernemers de mist in gaan.

Wat verandert er op 2 augustus 2026?

Er zijn meerdere data in de AI Act, maar 2 augustus 2026 is de meest bepalende voor ondernemers. Het Europees Parlement meldt dat op die datum de verplichtingen voor hoog-risico AI-systemen van kracht worden, samen met de handhavingsregels en de registratieplicht voor AI-systemen in de EU-database. Dat zijn de regels rondom transparantie, menselijk toezicht, documentatie en risicobeheer. Tegelijkertijd worden ook de bredere transparantieplichten van kracht voor beperkt-risico systemen.

Concreet betekent dit:

• Gebruik je AI bij personeelsselectie? Dan moet je dat onderbouwen, documenteren en menselijk toezicht borgen.
• Gebruik je een chatbot die advies geeft of vragen beantwoordt? Dan moet voor gebruikers helder zijn dat het AI is.
• Publiceer je AI-gegenereerde content? Dan moet je dat in steeds meer gevallen kenbaar maken.
• Gebruik je een AI-systeem dat beoordelingen maakt over mensen? Dan moet je kunnen uitleggen hoe die beoordeling tot stand komt.

Er zijn ook boetes. Volgens juridisch bureau EBH Legal kunnen overtredingen in de hoog-risico categorie oplopen tot 15 miljoen euro of 3% van de wereldwijde jaarlijkse omzet. Voor verboden AI gaat het zelfs om 35 miljoen euro of 7% van de omzet. Voor mkb en startups geldt een proportioneel lager boeteplafond op basis van omzet, maar een uitzondering op de wet zelf is het niet.

Welke tools gebruik jij eigenlijk?

Dit is de vraag die de meeste ondernemers niet kunnen beantwoorden. Ze gebruiken AI, maar weten niet precies welke systemen, waarvoor en door wie in hun organisatie. Dat is het eerste probleem. Je kunt niet beoordelen of je compliant bent als je niet weet welke AI je gebruikt.

Een paar veelgebruikte tools en hoe ze zich verhouden tot de wet:

ChatGPT, Claude, Gemini

Vallen onder de regels voor general purpose AI-modellen. Gebruik je ze intern voor tekst, samenvatting of analyse? Dan is het risico laag. Gebruik je de output direct voor beslissingen over mensen (een beoordeling, een afwijzing, een advies) dan verschuift de verantwoordelijkheid naar jou als gebruiker, zo stelt juridisch platform Legiscope.

AI-chatbots op je website

Vallen in de beperkt-risico categorie als ze klantvragen beantwoorden of advies geven. Volgens de Europese Commissie moet dit expliciet en begrijpelijk worden gecommuniceerd: de gebruiker moet weten dat het geen mens is.

AI-gestuurde recruitment tools

Vallen in vrijwel alle gevallen in de hoog-risico categorie, zo omschrijft het Europees Parlement in zijn implementatietoelichting. Als zo’n tool CV’s beoordeelt, kandidaten rankt of sollicitanten filtert, ben jij als werkgever verantwoordelijk voor hoe dat systeem werkt en wat de gevolgen zijn.

AI in boekhoud- of facturatiesoftware

Valt doorgaans in de minimaal-risico categorie, zolang het geen beslissingen neemt over mensen. Denk aan automatisch categoriseren van kosten of herkennen van bonnen.

AI-scoring voor krediet of betalingsgedrag

Is hoog-risico. Gebruik je een tool die klanten of prospects automatisch beoordeelt op betalingsrisico, dan gelden zware verplichtingen. Dit is een van de categorieën die expliciet wordt genoemd in Bijlage 3 van de verordening.

Jij bent de gebruiker. Dat maakt jou verantwoordelijk.

Dit is het deel van de wet dat de meeste ondernemers verrast.

Veel mensen denken: ik gebruik gewoon een tool van een groot bedrijf, die zijn toch verantwoordelijk? Dat klopt gedeeltelijk. De aanbieder van de AI moet voldoen aan bepaalde eisen. Maar als gebruiker heb jij een eigen verantwoordelijkheid. Kennisplatform Symbis omschrijft het treffend: als gebruiker blijf je verantwoordelijk voor hoe je het systeem gebruikt. Ook al heb je het ingekocht.

Die verantwoordelijkheid omvat onder meer:

• Begrijpen voor welk doel je de AI gebruikt.
• Zorgen dat er menselijk toezicht is bij beslissingen die mensen raken.
• Transparant zijn richting klanten, sollicitanten of andere betrokkenen.
• Bijhouden welke systemen je gebruikt en met welk doel.
• Meldplichten naleven als er iets misgaat met een hoog-risico systeem.

Dat laatste punt wordt door veel ondernemers onderschat. Als een AI-systeem een fout maakt die iemand schaadt, ben jij als gebruiker mede verantwoordelijk voor de gevolgen. De aanbieder heeft zijn tool geleverd. Wat jij ermee doet, is jouw verantwoordelijkheid.

Wat zijn de kansen?

Compliance klinkt als een last. Maar er zit ook een andere kant aan.

Ondernemers die nu transparant zijn over hun AI-gebruik, bouwen vertrouwen op. Bij klanten, bij medewerkers, bij samenwerkingspartners. Dat vertrouwen wordt de komende jaren steeds waardevoller. AI is niet meer weg te denken uit het bedrijfsleven, maar het wantrouwen groeit even snel als de adoptie.

Wie nu laat zien dat hij AI verantwoord inzet, onderscheidt zich. Niet als techbedrijf, maar als ondernemer die begrijpt wat hij doet en waarom.

De wet dwingt je dat te expliciteren. En dat is, als je het zo bekijkt, geen nadeel.

Drie stappen die je nu kunt zetten

Je hoeft niet morgen een juridisch team in te huren. Maar wegkijken is geen optie.

1. Maak een AI-inventarisatie

Schrijf op welke AI-tools je gebruikt, waarvoor en door wie in je organisatie. Dat klinkt simpel, maar de meeste ondernemers weten dit niet precies. Adviesbureau Innoworks raadt aan om dit als een simpel overzicht te beginnen: het kost een uur en geeft je grip.

2. Bepaal je risicoclassificatie

Voor elke tool: in welke categorie valt dit systeem? Gebruik je AI bij het beoordelen van mensen (medewerkers, klanten, sollicitanten)? Dan is de kans groot dat je in hoog-risico terechtkomt. Gebruik je AI intern voor productiviteit? Dan zit je waarschijnlijk laag.

3. Controleer je transparantie

Heeft je website een chatbot? Staat er duidelijk bij dat het AI is? Gebruik je AI-gegenereerde content in je communicatie? Is dat kenbaar? Zijn je medewerkers op de hoogte van welke AI-tools gebruikt worden en waarvoor? Dit zijn geen grote ingrepen, maar wel verplichte stappen.

Begin nu

De deadline nadert. Maar je hebt nog tijd.

2 augustus 2026 is over 3 maanden. Dat is genoeg tijd om orde op zaken te stellen, als je nu begint.

De EU AI Act is geen papieren tijger. De Europese toezichthouders hebben al aangegeven dat handhaving serieus wordt opgepakt. En anders dan bij de AVG, waarbij het jaren duurde voordat er echt boetes volgden, is er nu meer urgentie bij de autoriteiten. Daarbij geldt (zo benadrukt juridisch bureau EBH Legal) dat de wet geen uitzonderingen kent voor ondernemers of mkb.

Het goede nieuws: de meeste ondernemers hoeven geen ingrijpende aanpassingen te doen. Ze moeten vooral bewust worden van wat ze gebruiken en hoe. Dat bewustzijn is de eerste stap. Begin met die inventarisatie. Schrijf op wat je gebruikt. Dat ene velletje papier is je vertrekpunt voor alles wat daarna komt.