EU AI Act uitgelegd: dit moet je weten als Nederlands bedrijf

De EU AI Act is de eerste uitgebreide AI-wetgeving ter wereld. En in tegenstelling tot wat veel bedrijven denken, is het geen abstract regelgevingsverhaal dat pas over een paar jaar relevant wordt. De eerste verplichtingen zijn al actief sinds februari 2025.

Toch heeft de helft van de Nederlandse organisaties nog geen AI-beleid. Ondertussen gebruikt driekwart van de kenniswerkers generatieve AI op het werk — en 78% doet dat met eigen, niet-goedgekeurde tools. Twee derde van de medewerkers controleert de output niet eens.

Dat is een combinatie van juridisch risico, beveiligingsrisico en reputatierisico. Dit artikel legt uit wat de EU AI Act concreet van je vraagt, welke deadlines eraan komen, en wat je als Nederlands bedrijf nu moet regelen.

Wat is de EU AI Act?

De EU AI Act is een Europese verordening die regels stelt aan de ontwikkeling en het gebruik van AI-systemen. De wet is op 1 augustus 2024 in werking getreden en wordt gefaseerd ingevoerd tot augustus 2027.

Het basisprincipe: hoe groter het risico van een AI-toepassing, hoe strenger de eisen. Een AI-chatbot die je marketingteksten helpt schrijven valt in een lage risicocategorie. AI die bepaalt of iemand een lening krijgt of wordt aangenomen, is hoog-risico en moet aan strenge eisen voldoen.

De wet geldt voor alle organisaties die AI-systemen aanbieden of gebruiken binnen de EU — ongeacht waar het bedrijf gevestigd is. Als Nederlands bedrijf val je er dus sowieso onder.

Wat is al verplicht sinds februari 2025?

Sinds 2 februari 2025 zijn twee categorieën actief:

Verboden AI-praktijken

De EU heeft bepaalde AI-toepassingen volledig verboden. Dit zijn systemen die als onacceptabel risico worden beschouwd:

• •Manipulatieve AI — systemen die subliminale technieken gebruiken om gedrag te beïnvloeden en daarmee schade veroorzaken
• •Exploitatie van kwetsbare groepen — AI die leeftijd, handicap of sociaaleconomische situatie misbruikt
• •Social scoring — het beoordelen van burgers op basis van sociaal gedrag (zoals in China)
• •Emotieherkenning op de werkvloer en in onderwijs — behalve voor medische of veiligheidsredenen
• •Ongericht scrapen van gezichtsafbeeldingen — het type systemen dat Clearview AI gebruikte (de Autoriteit Persoonsgegevens legde hen een boete van €30,5 miljoen op)
• •Voorspellend politiewerk puur gebaseerd op profilering

Voor de meeste bedrijven zijn deze verboden niet direct relevant — je gebruikt waarschijnlijk geen social scoring of emotieherkenning. Maar het is belangrijk om te weten dat de wet al actief is en gehandhaafd wordt.

AI-geletterdheid

De tweede verplichting die al geldt is AI-geletterdheid (Artikel 4). Iedereen in je organisatie die AI-systemen inzet of ermee in aanraking komt, moet aantoonbaar over voldoende kennis en vaardigheden beschikken.

PwC beschrijft drie competentieniveaus:

1. •Kennis — weten wat AI is, hoe het werkt en wat de beperkingen zijn
2. •Begrip — die kennis kunnen toepassen in nieuwe situaties
3. •Vaardigheden — het herhaaldelijk toepassen in de dagelijkse praktijk

Er is geen one-size-fits-all aanpak. Een directeur heeft andere AI-kennis nodig dan een klantenservicemedewerker. Maar beide moeten aantoonbaar getraind zijn.

In onze ChatGPT, Claude & Gemini Masterclass trainen we teams hands-on in alle drie de grote AI-platforms — inclusief verantwoord gebruik en de kaders van de EU AI Act. Na afloop heeft je team aantoonbare AI-geletterdheid.

De grote deadline: 2 augustus 2026

Op 2 augustus 2026 worden de regels voor hoog-risico AI-systemen en transparantieverplichtingen van kracht. Dit is de deadline waar bedrijven zich nu op moeten voorbereiden.

Hoog-risico AI-systemen

Annex III van de EU AI Act definieert welke AI-toepassingen als hoog-risico worden geclassificeerd:

Als je AI gebruikt voor recruitment — denk aan een tool die CV's screent of sollicitanten rangschikt — dan moet dat systeem per augustus 2026 voldoen aan eisen voor technische documentatie, logging, menselijk toezicht en een conformiteitsbeoordeling.

Transparantieverplichtingen

Artikel 50 stelt transparantie-eisen voor AI-systemen met beperkt risico:

• •Chatbot-disclosure — gebruikers moeten weten dat ze met AI communiceren
• •Deepfake-labeling — AI-gegenereerde of -gemanipuleerde beelden, audio en video moeten als zodanig worden aangemerkt
• •AI-content labeling — AI-gegenereerde tekst over publieke belangen moet gelabeld worden

Dit raakt bedrijven die chatbots op hun website hebben, AI-gegenereerde marketingcontent publiceren of AI-video's maken.

Hoe ziet het risicosysteem eruit?

De EU AI Act werkt met vier risiconiveaus:

1. Verboden (onacceptabel risico)

De toepassingen die hierboven staan — social scoring, manipulatieve AI, ongericht gezichtsherkenning. Deze zijn simpelweg niet toegestaan.

2. Hoog risico

AI in HR, krediet, onderwijs, kritieke infrastructuur, rechtshandhaving. Moet voldoen aan strenge eisen: documentatie, logging, menselijk toezicht, conformiteitsbeoordeling, risicomanagement.

3. Beperkt risico

Chatbots, deepfakes, AI-gegenereerde content. Moet transparant zijn — gebruikers moeten weten dat ze met AI te maken hebben.

4. Minimaal risico

De overgrote meerderheid van AI-toepassingen: spamfilters, AI in games, voorraadbeheer, interne analyses, tekstgeneratie met ChatGPT. Geen verplichtingen, wel vrijwillige gedragscodes.

De meeste bedrijven zullen voornamelijk met minimaal en beperkt risico-toepassingen werken. Maar zodra je AI inzet voor beslissingen die mensen direct raken — wie je aanneemt, wie een lening krijgt, hoe je leerlingen beoordeelt — ben je in hoog-risico terrein.

Wat zijn de boetes?

De EU AI Act hanteert een gelaagd boetesysteem:

Belangrijk voor het MKB: voor kleine en middelgrote ondernemingen geldt het lagere van de twee bedragen (vast bedrag of omzetpercentage). Maar zelfs het laagste niveau — €7,5 miljoen — is voor de meeste bedrijven een existentieel bedrag.

En deze boetes kunnen gestapeld worden met GDPR-boetes. Eén overtreding kan dus twee keer beboet worden.

Wie houdt toezicht in Nederland?

De handhaving in Nederland is verdeeld over meerdere toezichthouders:

• •Autoriteit Persoonsgegevens (AP) — coördinerende toezichthouder voor de AI Act, plus AVG/GDPR-handhaving. De AP heeft aangekondigd dat AI een van hun drie focusgebieden voor 2026-2028 is.
• •Rijksinspectie Digitale Infrastructuur (RDI) — markttoezicht op digitale producten
• •AFM — toezicht op AI in de financiële sector. De AFM heeft in hun agenda voor 2026 verscherpt AI-toezicht aangekondigd.
• •DNB — toezicht op AI in bankwezen en betalingsverkeer

De AP en DNB/AFM publiceerden samen een rapport over AI-impact in de financiële sector. De boodschap: bestaande toezichtsnormen gelden ongeacht de technologie die je gebruikt.

Nederland loopt overigens achter met de nationale implementatiewet. De Uitvoeringswet was niet klaar voor de deadline van augustus 2025. Maar dat betekent niet dat de EU-verordening niet geldt — die is rechtstreeks van toepassing.

Het echte probleem: shadow AI

De wetgeving is één ding. Wat er in de praktijk op de werkvloer gebeurt, is een ander verhaal.

Beeckestijn's Trendrapport 2026 schetst een verontrustend beeld:

• •50% van de Nederlandse organisaties heeft geen AI-beleid
• •78% van de medewerkers gebruikt eigen, niet-goedgekeurde AI-tools
• •50% uploadt bedrijfsdata naar publieke tools als ChatGPT
• •67% controleert de output niet

Dit is shadow AI — ongecontroleerd AI-gebruik buiten het zicht van management en IT. En het is een groeiend probleem. Gartner voorspelt dat meer dan 40% van de bedrijven tegen 2030 beveiligings- of compliance-incidenten zal ervaren door shadow AI.

De oplossing is niet verbieden — dat werkt niet. De oplossing is kaders bieden: goedgekeurde tools, duidelijke regels over welke data erin mag, en training zodat medewerkers weten wat wel en niet kan.

Wat moet je als bedrijf nu doen?

Stap 1: Inventariseer je AI-gebruik

Breng in kaart welke AI-systemen je organisatie gebruikt. Niet alleen de officieel aangeschafte tools, maar ook wat medewerkers op eigen initiatief gebruiken. Denk aan:

• •ChatGPT-accounts (gratis en betaald)
• •Chrome-extensies met AI-functionaliteit
• •AI-features in bestaande software (CRM, e-mail, presentatietools)
• •Claude, Gemini, Copilot, Perplexity

Stap 2: Classificeer het risiconiveau

Per AI-toepassing: valt het onder verboden, hoog-risico, beperkt risico of minimaal risico? De meeste dagelijkse zakelijke toepassingen — teksten schrijven, data analyseren, e-mails opstellen — zijn minimaal risico. Maar AI voor recruitment, kredietbeslissingen of klantprofilering kan hoog-risico zijn.

Stap 3: Stel een AI-beleid op

Een goed AI-beleid bevat minimaal:

• •Welke tools zijn goedgekeurd (en welke niet)
• •Welke data mag erin (nooit persoonsgegevens in gratis tools)
• •Wie controleert AI-output voordat het naar buiten gaat
• •Hoe je documenteert welke AI je waarvoor gebruikt
• •Escalatieprocedure bij twijfel

Stap 4: Train je team

AI-geletterdheid is al verplicht. Maar het gaat verder dan een checkbox. McKinsey meldt dat slechts 27% van de organisaties alle AI-output laat controleren door medewerkers. Training moet dus niet alleen gaan over "hoe gebruik ik ChatGPT" maar ook over kritisch denken, verificatie en verantwoord gebruik.

In onze AI als Teamsport-training leren teams samen effectiever én verantwoorder met AI werken. Voor teams die dieper willen gaan in specifieke tools bieden we de ChatGPT, Claude & Gemini Masterclass aan.

Stap 5: Borg menselijk toezicht

Bij hoog-risico toepassingen is menselijk toezicht verplicht. Maar ook bij lagere risiconiveaus is het verstandig: laat AI geen beslissingen nemen die mensen direct raken zonder dat een mens meekijkt.

De tijdlijn op een rij

Hoe Nederlandse koplopers het aanpakken

Niet alle bedrijven lopen achter. Het Kickstart AI-consortium — Ahold Delhaize, ING, KLM, NS en Philips — heeft een gezamenlijk initiatief voor verantwoorde AI. Hun aanpak: centrale platformen met duidelijke richtlijnen en één verantwoordelijke AI-eigenaar per systeem.

PwC's CEO Survey 2026 toont dat bedrijven met een sterk Responsible AI-framework 3x meer kans hebben op meetbaar financieel rendement van AI. AI-governance is dus niet alleen een compliancekwestie — het is een strategisch voordeel.

Zoals PwC Global Chairman Mohamed Kande het verwoordt: "2026 wordt het beslissende jaar voor AI. Een kleine groep bedrijven haalt al meetbaar rendement, terwijl veel anderen nog worstelen om voorbij de pilotfase te komen."

Aan de slag

De EU AI Act is geen reden voor paniek, maar wel voor actie. De verplichtingen zijn helder, de deadlines concreet, en de boetes reëel. Het goede nieuws: als je nu begint, heb je ruim de tijd om compliant te worden.

Drie dingen die je deze week kunt doen:

1. •Inventariseer welke AI-tools je organisatie gebruikt — inclusief de niet-officiële
2. •Start met AI-geletterdheid — dat is al verplicht. Een goede teamtraining dekt deze basis én maakt je team productiever
3. •Stel een basis AI-beleid op — het hoeft geen juridisch document te zijn, maar leg vast welke tools goedgekeurd zijn en welke data erin mag

Wil je met je team in één sessie zowel AI-vaardigheden als verantwoord gebruik onder de knie krijgen? Bekijk onze ChatGPT, Claude & Gemini Masterclass of plan een vrijblijvend adviesgesprek.

Bronnen

• •EU AI Act — Volledige tekst en uitleg
• •EU AI Act — Implementation Timeline
• •EU AI Act — Artikel 4: AI-geletterdheid
• •EU AI Act — Artikel 5: Verboden praktijken
• •EU AI Act — Artikel 50: Transparantieverplichtingen
• •EU AI Act — Artikel 99: Boetes
• •EU AI Act — Annex III: Hoog-risico systemen
• •Beeckestijn — Helft Nederlandse organisaties heeft geen AI-beleid
• •Autoriteit Persoonsgegevens — Focus 2026: massasurveillance, AI en digitale weerbaarheid
• •AFM — Agenda 2026: verscherpt AI-toezicht
• •PwC — AI Literacy under the EU AI Act
• •PwC — 29th Global CEO Survey 2026
• •McKinsey — The State of AI 2025
• •Gartner — Top Predictions for 2026
• •CBS — Bedrijven gebruiken AI vaakst voor marketing of verkoop
• •GLACIS — Guide EU AI Act Netherlands
• •Rijksoverheid — AI Act Guide
• •TechCrunch — Clearview AI €30,5M boete van AP