EU AI Act deadline augustus 2026: ben je er klaar voor?

Laten we met een ongemakkelijk feit beginnen.

De Kamer van Koophandel onderzocht afgelopen jaar hoe het staat met de voorbereiding van ondernemers op de EU AI Act. Ze vroegen 651 ondernemers. De uitkomst:

• •De helft kent de wet niet
• •7% is goed op de hoogte
• •2 tot 3% heeft daadwerkelijk iets gedaan
• •40% weet niet eens of de wet op hen van toepassing is

En ondertussen groeit het AI-gebruik wel. CBS meet dat het aantal bedrijven dat AI gebruikt in twee jaar is verdubbeld. Meer gebruik, minder voorbereiding. Dat is de kern van het probleem.

Dit artikel is geen juridisch handboek. Daarvoor hebben we ons uitgebreide overzicht van de EU AI Act. Dit is een nuchter antwoord op de vraag: moet ik me zorgen maken, en zo ja — wat moet ik concreet doen? Met een checklist die je deze week nog kunt afwerken.

Waar staan we nu?

Even de tijdlijn op een rij. De EU AI Act is gefaseerd ingevoerd:

• •Februari 2025 — Verboden AI-praktijken en AI-geletterdheid zijn verplicht. Dit geldt nu al meer dan een jaar.
• •Augustus 2025 — Boeteregime actief, regels voor general purpose AI-modellen van kracht.
• •Augustus 2026 — Regels voor hoog-risico AI-systemen en transparantieverplichtingen. Dat is over minder dan zes maanden.
• •Augustus 2027 — Volledige naleving voor alle AI-systemen, inclusief bestaande.

De eerste stap — AI-geletterdheid — had je vorig jaar al moeten regelen. Als je dat nog niet gedaan hebt, loop je nu al achter. Niet straks. Nu.

Wat verandert er op 2 augustus 2026?

Twee grote dingen.

Hoog-risico AI moet compliant zijn

Gebruik je AI voor beslissingen die mensen direct raken? Dan heb je waarschijnlijk een hoog-risico AI-systeem. Denk aan:

• •HR en recruitment — CV-screening, geautomatiseerde selectie, functiebeoordeling
• •Krediet en verzekering — AI die meebesluit over leningen of polissen
• •Onderwijs — toelatingsbeslissingen, prestatiebeoordeling
• •Kritieke infrastructuur — AI in energienetwerken, watervoorziening, verkeer

Voor deze systemen gelden strenge eisen: risicobeheersing, technische documentatie, logging, menselijk toezicht en een conformiteitsbeoordeling. Dat is niet iets dat je in een middag regelt.

Maar — en dit is belangrijk — de meeste MKB-bedrijven gebruiken geen hoog-risico AI. Gebruik je ChatGPT voor e-mails, marketing of rapportages? Dat is minimaal risico. Gebruik je een AI-tool die helpt bij het screenen van sollicitanten? Dat is een ander verhaal.

Transparantieverplichtingen worden actief

Vanaf augustus 2026 moet je:

• •Gebruikers laten weten wanneer ze met AI communiceren (chatbots op je website)
• •Deepfakes en AI-gegenereerde content als zodanig labelen
• •Duidelijk maken wanneer AI-gegenereerde tekst over publieke onderwerpen gaat

De Europese Commissie werkt aan een Code of Practice met concrete richtlijnen — inclusief een standaard "AI"-icoon. Het definitieve concept wordt verwacht in juni 2026, net voor de deadline.

Maar wacht — wordt de deadline uitgesteld?

Misschien. En misschien niet.

De Europese Commissie heeft een voorstel gedaan — het Digital Omnibus — dat onder andere voorstelt om de deadline voor bepaalde hoog-risico systemen te verschuiven naar december 2027 of zelfs augustus 2028. De reden: de richtlijnen en normen zijn er simpelweg nog niet. De Commissie heeft haar eigen deadline gemist voor het publiceren van guidance over hoog-risico systemen.

Maar — en dit is cruciaal — het Digital Omnibus is een voorstel. Het is niet goedgekeurd. Het Europees Parlement en de lidstaten moeten er nog over stemmen. Als het niet op tijd wordt aangenomen, geldt gewoon de oorspronkelijke deadline van 2 augustus 2026.

En er is nog iets: zelfs als de deadline voor hoog-risico verschuift, verandert er niets aan de verplichtingen die al gelden. AI-geletterdheid is al verplicht. Het boeteregime is al actief. Die klok tikt gewoon door.

De toezichthouder wacht niet tot augustus

Dit is iets dat veel ondernemers niet beseffen. De Autoriteit Persoonsgegevens heeft AI aangewezen als een van drie topprioriteiten voor 2026-2028. En ze hanteren een preventieve aanpak — "kaders vooraf zijn effectiever dan correcties achteraf."

Concreet betekent dat: de AP wacht niet tot na de deadline met rondkijken. Ze focussen nu al op:

• •AI in selectieprocessen (recruitment, toelating)
• •Risicoprofilering (klantbeoordelingen, fraudedetectie)
• •Geautomatiseerde dienstverlening (chatbots die advies geven)

ICTrecht analyseert dat de AP transparantie, vooroordelen-preventie en governance-kaders verwacht vóór deployment — niet achteraf.

Daarnaast is de Rijksinspectie Digitale Infrastructuur (RDI) medeverantwoordelijk voor het AI-toezicht. Het toezicht wordt sectoraal georganiseerd: de AFM voor financiële diensten, de IGJ voor zorg, enzovoort. Maar de AP coördineert het geheel.

De boetes: hoeveel risico loop je echt?

Even de cijfers, nuchter:

• •Verboden AI-praktijken: tot €35 miljoen of 7% van je omzet
• •Niet-naleving hoog-risico verplichtingen: tot €15 miljoen of 3%
• •Onjuiste informatie aan toezichthouders: tot €10 miljoen of 2%

Voor het MKB geldt het laagste van de twee bedragen. Maar zelfs 3% van je omzet is voor de meeste bedrijven een serieus bedrag. En boetes kunnen gestapeld worden met AVG-boetes — dezelfde overtreding, twee keer beboet.

Dat gezegd: de kans dat je in 2026 direct een miljoenenboete krijgt is klein. Net als bij de AVG begint de handhaving naar verwachting met waarschuwingen en begeleidend toezicht. Maar het patroon is duidelijk — AVG-boetes begonnen mild en werden elk jaar hoger. Verwacht hetzelfde bij de AI Act.

Er is ook een risico dat niet in euro's te meten is: reputatieschade. Als je AI-systeem een discriminerende beslissing neemt en je kunt niet aantonen dat je er beleid voor had, is de boete het kleinste probleem.

5 stappen om je bedrijf voor te bereiden

Genoeg context. Hier is wat je concreet moet doen.

Stap 1 — Maak een AI-inventarisatie (2-4 uur)

Klinkt basaal, maar bijna niemand heeft dit gedaan. Documenteer alle AI-tools die in je organisatie worden gebruikt. En dan bedoel ik echt alle — niet alleen de officieel aangeschafte, maar ook de tools die medewerkers op eigen initiatief gebruiken.

Per tool: waarvoor wordt het gebruikt, welke data gaat erin, wie gebruikt het, en neemt het beslissingen over mensen? Dat laatste is de cruciale vraag.

Vergeet de embedded AI niet — Copilot in Microsoft 365, AI-features in je CRM, slimme filters in je e-mailsysteem. Die tellen ook.

Stap 2 — Classificeer per risicocategorie (1-2 uur)

Met je inventarisatie in de hand: welke tools vallen onder welke categorie? De vuistregel is simpel: raakt het mensenrechten of -kansen? Dan is het waarschijnlijk hoog-risico.

In de praktijk voor de meeste MKB-bedrijven:

• •ChatGPT voor teksten, marketing, samenvattingen: minimaal risico — geen speciale verplichtingen
• •AI-chatbot op je website: beperkt risico — gebruiker moet weten dat het AI is
• •AI voor CV-screening of sollicitantenbeoordeling: hoog-risico — volledige compliance vereist
• •AI voor kredietbeslissingen: hoog-risico

Het Algoritmekader van het Ministerie van BZK heeft een interactieve beslishulp waarmee je per toepassing kunt checken of de AI-verordening voor jou geldt. Gratis en praktisch.

Stap 3 — Regel AI-geletterdheid (doorlopend)

Dit is al verplicht. Al meer dan een jaar. En toch heeft vrijwel niemand het gedaan.

AI-geletterdheid betekent niet dat iedereen een AI-expert moet worden. Het betekent dat medewerkers die met AI werken, moeten begrijpen wat ze doen. AKD Advocaten legt uit dat het maatwerk vereist: een directeur heeft andere kennis nodig dan een klantenservicemedewerker.

Wat je minimaal moet doen:

• •Train je team in de basisprincipes van AI — wat kan het, wat niet, waar zitten de risico's
• •Documenteer die training — wanneer, wie, wat
• •Plan vervolgtrainingen — AI-kennis veroudert snel

Onze ChatGPT, Claude & Gemini Masterclass dekt precies deze basis: hands-on training met de tools die je team dagelijks gebruikt, inclusief verantwoord gebruik en de kaders van de AI Act. Na afloop heeft je team aantoonbare AI-geletterdheid.

Stap 4 — Stel een AI-beleid op (halve dag)

Je hebt een privacybeleid. Je hebt een social media-beleid. Je hebt nu ook een AI-beleid nodig.

Het hoeft geen juridisch meesterwerk te zijn. Een goed AI-beleid beantwoordt vier vragen:

• •Welke AI-tools zijn goedgekeurd?
• •Welke data mag erin — en welke absoluut niet?
• •Wie controleert de output voordat het naar buiten gaat?
• •Wie is verantwoordelijk als er iets misgaat?

Twee tot drie pagina's is genoeg om mee te beginnen. Lees ons stappenplan voor het opstellen van een AI-beleid als je hier concreet mee aan de slag wilt.

Stap 5 — Bereid je voor op hoog-risico (als dat op je van toepassing is)

Deze stap geldt alleen als je in stap 2 hoog-risico toepassingen hebt gevonden. Als dat zo is, heb je te maken met serieuze verplichtingen:

• •Een risicobeheerssysteem opzetten
• •Technische documentatie opstellen
• •Menselijk toezicht organiseren
• •Mogelijk een conformiteitsbeoordeling doorlopen

Dit is complex genoeg om er extern advies bij te halen. Het Ondernemersplein van de Rijksoverheid biedt ondersteuning via een AI Act Service Desk en regulatory sandboxes.

Maar voor de meeste MKB-bedrijven geldt: als je stap 1 tot 4 goed doet, ben je voor 90% van je AI-gebruik compliant. Hoog-risico AI is de uitzondering, niet de regel.

De echte boodschap

Ik begrijp dat dit overweldigend klinkt. Weer een wet, weer deadlines, weer compliance-verplichtingen. En als ondernemer heb je al genoeg aan je hoofd.

Maar hier is het perspectief. VNO-NCW en MKB-Nederland steunen de wet — ze vinden alleen dat ondernemers meer ondersteuning nodig hebben bij de uitvoering. De SER adviseert hetzelfde: investeer in praktische ondersteuning voor het MKB.

De wet is er niet om je dwars te zitten. Die is er omdat AI steeds meer impact heeft op mensen — op wie je aanneemt, wie een lening krijgt, hoe je klanten behandeld worden. En bij die impact hoort verantwoordelijkheid.

Het goede nieuws: de stappen zijn helder, de meeste zijn te doen in een paar uur, en als je nu begint heb je ruim de tijd. Begin deze week met de inventarisatie. Plan een training. Stel een AI-beleid op. Dat zijn drie dingen die je deze maand nog kunt regelen.

En als je team er klaar voor is om gezamenlijk AI-geletterd te worden — met hands-on training, op basis van jullie eigen processen — dan helpen we je graag. Bekijk ons AI als Teamsport-programma voor een complete aanpak, of start met de ChatGPT, Claude & Gemini Masterclass voor directe, praktische AI-vaardigheden.

Bronnen

• •KVK — Ondernemers zetten nauwelijks stappen rond AI-wetgeving
• •Autoriteit Persoonsgegevens — Focus 2026: massasurveillance, AI en digitale weerbaarheid
• •CBS — Gebruik AI door bedrijven neemt toe
• •Ondernemersplein — Regels voor het werken met veilige AI
• •DDMA — Wat de Digital Omnibus voor jou verandert: AI Act
• •IAPP — European Commission misses deadline for AI Act guidance
• •ICTrecht — Waar de AP in 2026 op gaat letten
• •RDI — Toezicht op kunstmatige intelligentie
• •AKD — Organisaties moeten AI-geletterdheid borgen
• •Europese Commissie — Code of Practice AI-gegenereerde content
• •VNO-NCW — Standpunt Artificial Intelligence
• •Algoritmekader — AI-verordening in het kort
• •Rijksoverheid — Gids AI-verordening