Implementatie

EU AI Act deadline augustus 2026: ben je er klaar voor?

Over minder dan zes maanden gelden de regels voor hoog-risico AI-systemen. De Kamer van Koophandel onderzocht het: 50% van de ondernemers kent de wet niet eens. En maar 3% heeft maatregelen genomen. Dit artikel geeft je een eerlijke stand van zaken — en een concrete checklist.

Dennis ClaassenDennis Claassen11 min lezen
EU-sterrenembleem op een gouden sokkel met een sculpturale aftellende rij gouden staven die de naderende deadline verbeeldt

AI implementeren in je team?

Van strategie tot dagelijkse toepassing — wij trainen je team hands-on.

Dennis Claassen

Dennis Claassen

AI-trainer · 35+ teams getraind

Bekijk AI als Teamsport

Key Takeaways

  • 2 augustus 2026: dan gelden de regels voor hoog-risico AI en transparantieverplichtingen. Over minder dan zes maanden.
  • 50% van de ondernemers kent de AI Act niet, slechts 3% heeft maatregelen genomen (KVK-onderzoek, 651 ondernemers).
  • AI-geletterdheid is al meer dan een jaar verplicht — sinds februari 2025. De meeste bedrijven hebben die stap nog niet gezet.
  • De Autoriteit Persoonsgegevens wacht niet — AI is handhavingsprioriteit voor 2026-2028. Ze kijken al preventief mee.
  • 5 concrete stappen om je bedrijf voor te bereiden. Stap 1 kost je twee uur. En je had het eigenlijk al moeten doen.

Laten we met een ongemakkelijk feit beginnen.

De Kamer van Koophandel onderzocht afgelopen jaar hoe het staat met de voorbereiding van ondernemers op de EU AI Act. Ze vroegen 651 ondernemers. De uitkomst:

  • De helft kent de wet niet
  • 7% is goed op de hoogte
  • 2 tot 3% heeft daadwerkelijk iets gedaan
  • 40% weet niet eens of de wet op hen van toepassing is

En ondertussen groeit het AI-gebruik wel. CBS meet dat het aantal bedrijven dat AI gebruikt in twee jaar is verdubbeld. Meer gebruik, minder voorbereiding. Dat is de kern van het probleem.

Dit artikel is geen juridisch handboek. Daarvoor hebben we ons uitgebreide overzicht van de EU AI Act. Dit is een nuchter antwoord op de vraag: moet ik me zorgen maken, en zo ja — wat moet ik concreet doen? Met een checklist die je deze week nog kunt afwerken.

Waar staan we nu?

Even de tijdlijn op een rij. De EU AI Act is gefaseerd ingevoerd:

  • Februari 2025 — Verboden AI-praktijken en AI-geletterdheid zijn verplicht. Dit geldt nu al meer dan een jaar.
  • Augustus 2025 — Boeteregime actief, regels voor general purpose AI-modellen van kracht.
  • Augustus 2026 — Regels voor hoog-risico AI-systemen en transparantieverplichtingen. Dat is over minder dan zes maanden.
  • Augustus 2027 — Volledige naleving voor alle AI-systemen, inclusief bestaande.

De eerste stap — AI-geletterdheid — had je vorig jaar al moeten regelen. Als je dat nog niet gedaan hebt, loop je nu al achter. Niet straks. Nu.

Wat verandert er op 2 augustus 2026?

Twee grote dingen.

Hoog-risico AI moet compliant zijn

Gebruik je AI voor beslissingen die mensen direct raken? Dan heb je waarschijnlijk een hoog-risico AI-systeem. Denk aan:

  • HR en recruitment — CV-screening, geautomatiseerde selectie, functiebeoordeling
  • Krediet en verzekering — AI die meebesluit over leningen of polissen
  • Onderwijs — toelatingsbeslissingen, prestatiebeoordeling
  • Kritieke infrastructuur — AI in energienetwerken, watervoorziening, verkeer

Voor deze systemen gelden strenge eisen: risicobeheersing, technische documentatie, logging, menselijk toezicht en een conformiteitsbeoordeling. Dat is niet iets dat je in een middag regelt.

Maar — en dit is belangrijk — de meeste MKB-bedrijven gebruiken geen hoog-risico AI. Gebruik je ChatGPT voor e-mails, marketing of rapportages? Dat is minimaal risico. Gebruik je een AI-tool die helpt bij het screenen van sollicitanten? Dat is een ander verhaal.

Transparantieverplichtingen worden actief

Vanaf augustus 2026 moet je:

  • Gebruikers laten weten wanneer ze met AI communiceren (chatbots op je website)
  • Deepfakes en AI-gegenereerde content als zodanig labelen
  • Duidelijk maken wanneer AI-gegenereerde tekst over publieke onderwerpen gaat

De Europese Commissie werkt aan een Code of Practice met concrete richtlijnen — inclusief een standaard "AI"-icoon. Het definitieve concept wordt verwacht in juni 2026, net voor de deadline.

Update mei 2026: Omnibus akkoord — hoog-risico deadline verschoven

Bijgewerkt 5 juni 2026. Op 7 mei 2026 bereikten de Raad van de EU en het Europees Parlement een provisorisch akkoord over gerichte wijzigingen in de AI Act via het Digital Omnibus-initiatief (EU Raad officieel; DLA Piper; Hogan Lovells).

Wat er concreet verandert:

  • Annex III hoog-risico systemen (standalone) — zoals AI in recruitment, kredietverlening en onderwijs — de deadline verschuift van 2 augustus 2026 naar 2 december 2027.
  • Annex I systemen (ingebed in gereguleerde producten zoals medische apparaten of auto's) — deadline verschuift naar 2 augustus 2028.
  • Wat onveranderd blijft: de transparantieverplichtingen (chatbots labelen, deepfakes markeren, AI-gegenereerde content identificeren) gelden nog steeds vanaf augustus 2026. De Commissie publiceert hiervoor in juni 2026 de definitieve Code of Practice.

Het provisorisch akkoord vereiste nog formele stemming door beide instellingen — die heeft inmiddels plaatsgevonden. Op 16 juni 2026 keurde het Europees Parlement de Digital Omnibus on AI formeel goed met 423 stemmen voor, 57 tegen en 174 onthoudingen (DataGuidance). Op 29 juni 2026 gaf de Raad van de EU zijn definitieve goedkeuring (ComplianceHub.Wiki). Publicatie in het Publicatieblad van de EU volgt binnenkort — de wet treedt drie dagen daarna in werking. De nieuwe deadlines zijn daarmee definitief vastgesteld.

Info

Gebruik je AI voor recruitment, kredietbeoordeling of onderwijs? Dan heb je tot december 2027 de tijd voor volledige Annex III-compliance. Maar: AI-geletterdheid, het boeteregime en de transparantieverplichting lopen gewoon door. Die klok tikt niet op pauze.

De reden voor het uitstel is simpel: de Commissie miste haar eigen deadline voor het publiceren van guidance over hoog-risico systemen. De richtlijnen en normen zijn er simpelweg nog niet klaar. Het uitstel erkent dit — en verwacht tegelijk dat organisaties doorgaan met voorbereiden.

De toezichthouder wacht niet tot augustus

Dit is iets dat veel ondernemers niet beseffen. De Autoriteit Persoonsgegevens heeft AI aangewezen als een van drie topprioriteiten voor 2026-2028. En ze hanteren een preventieve aanpak — "kaders vooraf zijn effectiever dan correcties achteraf."

Concreet betekent dat: de AP wacht niet tot na de deadline met rondkijken. Ze focussen nu al op:

  • AI in selectieprocessen (recruitment, toelating)
  • Risicoprofilering (klantbeoordelingen, fraudedetectie)
  • Geautomatiseerde dienstverlening (chatbots die advies geven)

ICTrecht analyseert dat de AP transparantie, vooroordelen-preventie en governance-kaders verwacht vóór deployment — niet achteraf.

Daarnaast is de Rijksinspectie Digitale Infrastructuur (RDI) medeverantwoordelijk voor het AI-toezicht. Het toezicht wordt sectoraal georganiseerd: de AFM voor financiële diensten, de IGJ voor zorg, enzovoort. Maar de AP coördineert het geheel.

De boetes: hoeveel risico loop je echt?

Even de cijfers, nuchter:

  • Verboden AI-praktijken: tot €35 miljoen of 7% van je omzet
  • Niet-naleving hoog-risico verplichtingen: tot €15 miljoen of 3%
  • Onjuiste informatie aan toezichthouders: tot €10 miljoen of 2%

Voor het MKB geldt het laagste van de twee bedragen. Maar zelfs 3% van je omzet is voor de meeste bedrijven een serieus bedrag. En boetes kunnen gestapeld worden met AVG-boetes — dezelfde overtreding, twee keer beboet.

Dat gezegd: de kans dat je in 2026 direct een miljoenenboete krijgt is klein. Net als bij de AVG begint de handhaving naar verwachting met waarschuwingen en begeleidend toezicht. Maar het patroon is duidelijk — AVG-boetes begonnen mild en werden elk jaar hoger. Verwacht hetzelfde bij de AI Act.

Er is ook een risico dat niet in euro's te meten is: reputatieschade. Als je AI-systeem een discriminerende beslissing neemt en je kunt niet aantonen dat je er beleid voor had, is de boete het kleinste probleem.

5 stappen om je bedrijf voor te bereiden

Genoeg context. Hier is wat je concreet moet doen.

Stap 1 — Maak een AI-inventarisatie (2-4 uur)

Klinkt basaal, maar bijna niemand heeft dit gedaan. Documenteer alle AI-tools die in je organisatie worden gebruikt. En dan bedoel ik echt alle — niet alleen de officieel aangeschafte, maar ook de tools die medewerkers op eigen initiatief gebruiken.

Per tool: waarvoor wordt het gebruikt, welke data gaat erin, wie gebruikt het, en neemt het beslissingen over mensen? Dat laatste is de cruciale vraag.

Vergeet de embedded AI niet — Copilot in Microsoft 365, AI-features in je CRM, slimme filters in je e-mailsysteem. Die tellen ook.

Stap 2 — Classificeer per risicocategorie (1-2 uur)

Met je inventarisatie in de hand: welke tools vallen onder welke categorie? De vuistregel is simpel: raakt het mensenrechten of -kansen? Dan is het waarschijnlijk hoog-risico.

In de praktijk voor de meeste MKB-bedrijven:

  • ChatGPT voor teksten, marketing, samenvattingen: minimaal risico — geen speciale verplichtingen
  • AI-chatbot op je website: beperkt risico — gebruiker moet weten dat het AI is
  • AI voor CV-screening of sollicitantenbeoordeling: hoog-risico — volledige compliance vereist
  • AI voor kredietbeslissingen: hoog-risico

Het Algoritmekader van het Ministerie van BZK heeft een interactieve beslishulp waarmee je per toepassing kunt checken of de AI-verordening voor jou geldt. Gratis en praktisch.

Stap 3 — Regel AI-geletterdheid (doorlopend)

Dit is al verplicht. Al meer dan een jaar. En toch heeft vrijwel niemand het gedaan.

AI-geletterdheid betekent niet dat iedereen een AI-expert moet worden. Het betekent dat medewerkers die met AI werken, moeten begrijpen wat ze doen. AKD Advocaten legt uit dat het maatwerk vereist: een directeur heeft andere kennis nodig dan een klantenservicemedewerker.

Wat je minimaal moet doen:

  • Train je team in de basisprincipes van AI — wat kan het, wat niet, waar zitten de risico's
  • Documenteer die training — wanneer, wie, wat
  • Plan vervolgtrainingen — AI-kennis veroudert snel

Voor precies deze verplichting hebben we een AI-geletterdheid training (EU AI Act artikel 4): hands-on, rolspecifiek zoals de AP adviseert, en inclusief deelnamebewijs per deelnemer voor je interne AI-register. Wil je breder inzetten op vaardigheden, dan dekt onze ChatGPT, Claude & Gemini Masterclass dezelfde basis met extra diepgang in de tools zelf.

AI Training

Wil je AI leren inzetten?

In onze praktische trainingen leer je hoe je ChatGPT, Claude en andere AI-tools effectief inzet voor jouw werk.

Stap 4 — Stel een AI-beleid op (halve dag)

Je hebt een privacybeleid. Je hebt een social media-beleid. Je hebt nu ook een AI-beleid nodig.

Het hoeft geen juridisch meesterwerk te zijn. Een goed AI-beleid beantwoordt vier vragen:

  • Welke AI-tools zijn goedgekeurd?
  • Welke data mag erin — en welke absoluut niet?
  • Wie controleert de output voordat het naar buiten gaat?
  • Wie is verantwoordelijk als er iets misgaat?

Twee tot drie pagina's is genoeg om mee te beginnen. Lees ons stappenplan voor het opstellen van een AI-beleid als je hier concreet mee aan de slag wilt.

Stap 5 — Bereid je voor op hoog-risico (als dat op je van toepassing is)

Deze stap geldt alleen als je in stap 2 hoog-risico toepassingen hebt gevonden. Als dat zo is, heb je te maken met serieuze verplichtingen:

  • Een risicobeheerssysteem opzetten
  • Technische documentatie opstellen
  • Menselijk toezicht organiseren
  • Mogelijk een conformiteitsbeoordeling doorlopen

Dit is complex genoeg om er extern advies bij te halen. Het Ondernemersplein van de Rijksoverheid biedt ondersteuning via een AI Act Service Desk en regulatory sandboxes.

Maar voor de meeste MKB-bedrijven geldt: als je stap 1 tot 4 goed doet, ben je voor 90% van je AI-gebruik compliant. Hoog-risico AI is de uitzondering, niet de regel.

De echte boodschap

Ik begrijp dat dit overweldigend klinkt. Weer een wet, weer deadlines, weer compliance-verplichtingen. En als ondernemer heb je al genoeg aan je hoofd.

Maar hier is het perspectief. VNO-NCW en MKB-Nederland steunen de wet — ze vinden alleen dat ondernemers meer ondersteuning nodig hebben bij de uitvoering. De SER adviseert hetzelfde: investeer in praktische ondersteuning voor het MKB.

De wet is er niet om je dwars te zitten. Die is er omdat AI steeds meer impact heeft op mensen — op wie je aanneemt, wie een lening krijgt, hoe je klanten behandeld worden. En bij die impact hoort verantwoordelijkheid.

Het goede nieuws: de stappen zijn helder, de meeste zijn te doen in een paar uur, en als je nu begint heb je ruim de tijd. Begin deze week met de inventarisatie. Plan een training. Stel een AI-beleid op. Dat zijn drie dingen die je deze maand nog kunt regelen.

En als je team er klaar voor is om gezamenlijk AI-geletterd te worden — met hands-on training, op basis van jullie eigen processen — dan helpen we je graag. Bekijk ons AI als Teamsport-programma voor een complete aanpak, of start met de ChatGPT, Claude & Gemini Masterclass voor directe, praktische AI-vaardigheden.

AI Training

Wil je AI leren inzetten?

In onze praktische trainingen leer je hoe je ChatGPT, Claude en andere AI-tools effectief inzet voor jouw werk.

Bronnen

Veelgestelde vragen

Geldt de EU AI Act ook voor het MKB?

Ja, de EU AI Act geldt voor alle organisaties die AI inzetten of aanbieden in de EU, ongeacht grootte. AI-geletterdheid is al verplicht sinds februari 2025. Vanaf augustus 2026 gelden de regels voor hoog-risico AI-systemen. Voor het MKB gelden lagere boeteplafonds, maar de verplichtingen blijven hetzelfde. KVK-onderzoek toont dat slechts 2-3% van de ondernemers maatregelen heeft genomen.

Wordt de deadline van augustus 2026 uitgesteld door het Digital Omnibus?

Gedeeltelijk ja. Op 7 mei 2026 bereikten de Raad van de EU en het Europees Parlement een provisorisch akkoord. Annex III hoog-risico systemen (recruitment, krediet, onderwijs) krijgen uitstel tot 2 december 2027. Annex I systemen ingebed in gereguleerde producten tot 2 augustus 2028. Maar de transparantieverplichtingen (chatbots labelen, deepfakes markeren) gelden nog steeds vanaf augustus 2026. Formele goedkeuring is nog nodig maar geldt als formaliteit.

Welke AI-toepassingen zijn hoog-risico onder de EU AI Act?

Hoog-risico AI-systemen zijn toepassingen die significante impact hebben op mensenrechten of -kansen. Voorbeelden: AI voor werving en selectie (CV-screening), kredietbeoordeling, onderwijs (toelating, beoordeling), biometrische identificatie en kritieke infrastructuur. Standaard bedrijfstools zoals ChatGPT voor teksten of AI-marketingtools vallen hier niet onder.

Wie houdt toezicht op de EU AI Act in Nederland?

Het toezicht wordt sectoraal georganiseerd met de Autoriteit Persoonsgegevens (AP) en Rijksinspectie Digitale Infrastructuur (RDI) als centrale coördinatoren. De AP heeft AI aangewezen als handhavingsprioriteit voor 2026-2028. De AFM houdt toezicht op AI in de financiële sector, de IGJ op AI in de zorg.

Wat zijn de boetes als ik niet compliant ben met de EU AI Act?

De boetes zijn gelaagd: tot 35 miljoen euro of 7% van de omzet voor verboden AI-praktijken, tot 15 miljoen euro of 3% voor niet-naleving van hoog-risico verplichtingen, en tot 10 miljoen euro of 2% voor onjuiste informatie aan toezichthouders. Voor het MKB geldt het laagste van het vaste bedrag of het omzetpercentage. Boetes kunnen gestapeld worden met AVG-boetes.

Tags
eu-ai-actai-act-deadlinecomplianceai-geletterdheidhoog-risico-aimkb
Dennis Claassen
Geschreven door

Dennis Claassen

Founder & AI Trainer

Dennis is de oprichter van Project Impact en traint Nederlandse bedrijven in het effectief gebruiken van AI. Met jarenlange ervaring in tech en onderwijs helpt hij teams om AI praktisch toe te passen.

AI leren toepassen in je bedrijf?

Ontdek onze praktische AI trainingen voor teams.