Analyse AI Compliance

EU AI Act: de deadline van augustus 2026 is twee maanden weg. Wat uw organisatie nu moet doen

De EU AI Act geldt voor uw organisatie, ongeacht of u zelf AI bouwt. Elke organisatie die AI inzet om beslissingen te nemen of te ondersteunen die mensen raken, heeft wettelijke verplichtingen onder de wet. Gebruikt u AI bij werving, prestatiebeheer, kredietbeoordeling, biometrische identificatie of kritieke infrastructuur, dan sluit het compliancevenster in augustus 2026.

CE
Cyvra Redactieteam
AI & Compliance Praktijk
22 juni 2026
8 min lezen
Belangrijkste punten
  • Augustus 2026 is de handhavingsdeadline voor hoog-risico AI-systemen onder bijlage III, twee maanden weg
  • Hoog-risico categorieën omvatten werving, kredietbeoordeling, biometrie, kritieke infrastructuur, onderwijs en rechtshandhaving
  • Organisaties die AI inzetten (inzetters) dragen eigen wettelijke verplichtingen, los van die van hun AI-leveranciers (aanbieders)
  • Boetes lopen op tot maximaal 35 miljoen euro of 7% van de wereldwijde omzet bij de zwaarste overtredingen
  • Een gestructureerde sprint van vier weken brengt de meeste organisaties in een verdedigbare compliancepositie

Waar de handhavingstijdlijn staat

De EU AI Act trad op 1 augustus 2024 in werking. Sindsdien verloopt de handhaving in drie duidelijke golven. De eerste golf, die in februari 2025 van kracht werd, verbood een gedefinieerde reeks AI-praktijken volledig: sociale scoringssystemen door publieke autoriteiten, realtime biometrische surveillance op openbare plaatsen (met beperkte uitzonderingen), AI ontworpen om psychologische kwetsbaarheden te misbruiken, en systemen die gezichtsafbeeldingen van internet verzamelen om herkenningstabellen op te bouwen.

De tweede golf volgde in augustus 2025. Aanbieders van algemene AI-modellen zoals OpenAI's GPT-4, Anthropic's Claude en Google's Gemini werden onderworpen aan nieuwe transparantie- en auteursrechtnalevingsvereisten. Deze verplichtingen rusten op de modelontwikkelaars zelf, niet op de bedrijven die deze modellen via een API benaderen.

De derde golf, in augustus 2026, is de golf die de meeste commerciële organisaties raakt. Dit is de deadline voor hoog-risico AI-systemen onder bijlage III van de wet. Bijlage III omvat de AI-tools met het grootste potentieel om het leven van mensen te beïnvloeden: wie aangenomen wordt, wie krediet ontvangt, wie biometrisch geïdentificeerd wordt, wie sociale uitkeringen ontvangt, en hoe kritieke infrastructuur functioneert.

Augustus 2024
AI Act treedt in werking
Verordening gepubliceerd en bindend. Overgangsperiode van twee jaar begint.
Februari 2025
Verboden AI-systemen verboden
Sociale scoring, realtime biometrische surveillance op openbare plaatsen en manipulatieve AI worden illegaal.
Augustus 2025
GPAI-modelverplichtingen van kracht
Aanbieders van algemene AI-modellen moeten voldoen aan transparantie- en auteursrechtsregels.
Augustus 2026: DEADLINE
Hoog-risico AI (bijlage III) moet compliant zijn
Alle hoog-risico AI-systemen moeten voldoen aan volledige conformiteitsvereisten. Dit is de deadline die de meeste commerciële organisaties raakt.
2027 en verder
Overige bepalingen
Aanvullende verplichtingen voor bepaalde ingebedde AI-systemen en productveiligheidsintegraties treden in werking.
35 mln
maximale boete voor verboden AI-overtredingen, of 7% van de wereldwijde jaaromzet
Aug 2026
compliancedeadline voor hoog-risico AI onder bijlage III
8
risico-categorieën in bijlage III, waaronder werving, krediet, biometrie en meer

Is uw AI-gebruik hoog-risico? Wat bijlage III omvat

Bijlage III van de EU AI Act omschrijft acht categorieën van hoog-risico AI-gebruik. De lijst is breder dan de meeste organisaties verwachten. U hoeft geen machine learning-modellen te bouwen om eronder te vallen. Een softwaretool van derden die een beslissing over mensen automatiseert of wezenlijk beïnvloedt in een van deze categorieën, plaatst u als inzetter in scope.

De acht categorieën zijn:

  • Biometrische identificatie en categorisering van natuurlijke personen, inclusief systemen voor identificatie op afstand en emotieherkenning
  • Beheer van kritieke infrastructuur, waaronder AI gebruikt bij elektriciteit, water, gas, transport en digitale infrastructuur
  • Onderwijs en beroepsopleiding, inclusief AI die toegang tot onderwijsinstellingen bepaalt of studenten beoordeelt (geautomatiseerde examenscoring, toelatingsvolgorde)
  • Werkgelegenheid, personeelsbeheer en toegang tot zelfstandige arbeid, inclusief CV-screening, wervingsvolgorde, prestatiemonitoring en AI-ondersteunde beslissingen over promotie of ontslag
  • Essentiële particuliere diensten, inclusief AI gebruikt bij kredietscoring, risicobeoordeling voor verzekeringen en acceptatie van levens- en ziekteverzekeringen
  • Rechtshandhaving, inclusief AI gebruikt voor risicoanalyse van personen, profilering, bewijsevaluatie en misdaadanalyse
  • Beheer van migratie, asiel en grenscontrole, inclusief risicoanalyse van visumzoekers en beoordeling van documentauthenticiteit
  • Rechtsbedeling en democratische processen, inclusief AI die rechtbanken helpt bij het onderzoeken of toepassen van wetgeving

De categorieën werkgelegenheid en essentiële diensten treffen meer commerciële organisaties dan alle andere. Als uw HR-platform sollicitanten rangschikt, uw CRM klanten beoordeelt op kredietrisico, of uw prestatiebeheersoftware productiviteitsscores toekent aan medewerkers, gebruikt u een hoog-risico AI-systeem onder bijlage III.

De wet richt zich grotendeels op organisaties die AI inzetten voor ingrijpende beslissingen over mensen, niet op de bedrijven die het bouwen. De meeste getroffen organisaties zijn kopers en gebruikers van AI-tools van derden.

Wat hoog-risico AI-systemen voor augustus 2026 op orde moeten hebben

Hoog-risico AI-systemen moeten meer doen dan nauwkeurige uitkomsten leveren. Elk systeem moet functioneren binnen een gedocumenteerd en controleerbaar kader. De wet schrijft acht verplichte vereisten voor.

Aanbieders zijn primair verantwoordelijk voor het inbouwen van deze vereisten in het systeem. Inzetters moeten binnen die kaders opereren en hun eigen verplichtingen rond inzet en monitoring nakomen.

  1. Risicobeheersysteem. Een continu, gedocumenteerd proces voor het identificeren en beperken van risico's gedurende de gehele levenscyclus van het AI-systeem. Dit is geen eenmalige beoordeling; het moet worden onderhouden en bijgewerkt naarmate het systeem evolueert.
  2. Gegevensbeheer. Documentatie van de trainings-, validatie- en testdata die zijn gebruikt om het systeem te bouwen. Gegevens moeten relevant, representatief en vrij van fouten zijn die tot discriminerende uitkomsten kunnen leiden.
  3. Technische documentatie. Een gedetailleerd technisch dossier met het ontwerp, de ontwikkeling en de mogelijkheden van het systeem. Deze documentatie moet op verzoek beschikbaar zijn voor nationale toezichthoudende autoriteiten.
  4. Automatische registratie. Het systeem moet auditlogs genereren die elke beslissing of uitkomst vastleggen, zodat achteraf kan worden nagegaan hoe specifieke resultaten tot stand kwamen.
  5. Transparantie en informatie aan inzetters. Aanbieders moeten inzetters voorzien van documentatie die hen in staat stelt het systeem te begrijpen, correct te gebruiken en aan hun eigen verplichtingen te voldoen.
  6. Menselijk toezicht. Hoog-risico AI-systemen moeten zo zijn ontworpen dat menselijke beoordeling en overschrijving mogelijk zijn. Een mens moet kunnen ingrijpen, corrigeren of het systeem stopzetten. Volledig geautomatiseerde beslissingen zonder menselijk toezicht zijn voor de meeste hoog-risico categorieën niet compliant.
  7. Nauwkeurigheid, robuustheid en cyberbeveiliging. Systemen moeten voldoen aan gedefinieerde nauwkeurigheidsniveaus. Ze moeten bestand zijn tegen pogingen om uitkomsten te manipuleren en moeten de gegevens die ze verwerken beschermen.
  8. EU-conformiteitsverklaring en CE-markering equivalent. Aanbieders moeten een formele verklaring uitgeven dat het systeem voldoet aan de vereisten van de wet. Systemen moeten in de EU AI-database worden geregistreerd vóór inzet.
Belangrijk punt

De EU-database voor hoog-risico AI-systemen is een openbaar register. Voordat een hoog-risico AI-systeem in de EU mag worden ingezet, moet de aanbieder het registreren. Inzetters moeten bij hun leveranciers bevestigen dat alle gebruikte tools geregistreerd zijn en geldige conformiteitsverklaringen hebben vóór augustus 2026.

Uw plichten als inzetter versus wat uw AI-leverancier moet regelen

De wet trekt een duidelijke grens tussen aanbieders en inzetters. Weten waar die grens ligt, voorkomt dubbel werk en gevaarlijke lacunes in uw compliancepositie.

Aanbieders zijn verantwoordelijk voor: het inbouwen van risicobeheer en gegevensbeheer in het systeem zelf, het opstellen en bijhouden van technische documentatie, ervoor zorgen dat het systeem zijn beslissingen registreert, het uitgeven van de EU-conformiteitsverklaring, het registreren van het systeem in de EU AI-database, en het voorzien van inzetters van duidelijke gebruiksinstructies.

Inzetters zijn verantwoordelijk voor: het gebruiken van het systeem conform de instructies van de aanbieder en de vereisten van de wet, het uitvoeren van een eigen risicoanalyse voor de inzet in hun specifieke context, het implementeren van de door de aanbieder omschreven menselijk-toezicht-maatregelen, het informeren van medewerkers wanneer AI-systemen worden gebruikt om hun prestaties te monitoren of beoordelen, het uitvoeren van grondrechteffectbeoordelingen waar relevant, en het bijhouden van registers van het gebruik van het systeem voor ten minste tien jaar.

Veel AI-tools op de markt zijn niet gebouwd met EU AI Act-compliance in gedachten. Als uw leverancier voor augustus 2026 geen geldige EU-conformiteitsverklaring en een volledig technisch documentatiepakket kan overleggen, heeft u twee opties: werk samen met de leverancier om conformiteitsdocumentatie te verkrijgen, of stop het gebruik van de tool voor gereguleerde doeleinden totdat compliance is aangetoond.

Waarschuwing

Ga er niet van uit dat uw AI-leverancier de compliance regelt. Veel leveranciers, ook die buiten de EU zijn gevestigd, zijn nog niet begonnen met hun conformiteitsproces. Vraag nu om bewijs. De verzekering van een leverancier dat ze "aan compliance werken" is geen verdedigbare positie zodra de handhaving begint.

De boetestructuur

De EU AI Act hanteert hetzelfde gelaagde boetemodel als de AVG: maximumboetes zijn het hogere van een vast eurobedrag of een percentage van de wereldwijde jaaromzet. Leidinggevenden die niet-conforme inzet autoriseren, lopen persoonlijke aansprakelijkheid naast de bedrijfsboete.

  • Overtredingen met verboden AI (artikel 5): maximaal 35 miljoen euro of 7% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is
  • Niet-naleving van hoog-risico AI (bijlage III verplichtingen niet nageleefd): maximaal 15 miljoen euro of 3% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is
  • Onjuiste informatie aan autoriteiten: maximaal 7,5 miljoen euro of 1,5% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is

Voor een bedrijf met een miljard euro aan wereldwijde omzet bedraagt de maximale boete bij een hoog-risico compliancefout 30 miljoen euro. Nationale toezichthoudende autoriteiten in elke EU-lidstaat handhaven de wet. Het AVG-precedent wijst erop dat de grootste boetes gereserveerd blijven voor stelselmatige fouten of gevallen met duidelijke schade aan personen, maar vroege handhavingsbeslissingen bepalen hoe hard de autoriteiten optreden.

Een sprint van vier weken om gereed te zijn

Twee maanden is niet genoeg om een volwassen AI-governance-programma van de grond op te bouwen. Het is wel genoeg om een verdedigbare compliancepositie te bereiken voor de meest relevante tools. Deze sprint gaat ervan uit dat grootschalig herontwerp van AI-systemen niet meer haalbaar is, en richt zich op de acties die het regelgevingsrisico het snelst verlagen.

Week 1: Bouw uw AI-inventaris op

Stel elke bedrijfseenheid één vraag: welke software gebruiken we die beslissingen neemt of aanbeveelt over mensen? Neem HR-platforms op, wervingstools, CRM-systemen met lead- of kredietscoring, werkroostersystemen, fraudedetectietools en routeringssystemen voor klantenservice. Leg voor elk instrument de leverancier, de specifieke toepassing en de bijbehorende bijlage III-categorie vast.

Week 2: Classificeer en prioriteer

Stel voor elk AI-systeem in uw inventaris vast of het voldoet aan de hoog-risico definitie van bijlage III. Niet elke geautomatiseerde tool kwalificeert. Een chatbot die klantvragen doorstuurt valt er niet onder. Een systeem dat sollicitanten rangschikt of klanten beoordeelt op kredietwaardigheid wel. Prioriteer hoog-risico systemen voor directe actie. Schakel uw juridisch of compliance-team in om classificaties te bevestigen waar twijfel bestaat.

Week 3: Neem contact op met leveranciers en beoordeel documentatie

Neem contact op met elke leverancier van een hoog-risico AI-systeem en vraag drie documenten op: de EU-conformiteitsverklaring, het technisch documentatiepakket voor inzetters, en bevestiging dat het systeem is geregistreerd in de EU AI-database. Leg alle leverancierscommunicatie schriftelijk vast. Kan een leverancier deze documenten niet overleggen, escaleer dan intern en beslis of voortgezet gebruik van dat instrument acceptabel is gezien uw risicobereidheid.

Week 4: Documenteer menselijk toezicht en begin met het registreren van beslissingen

Schrijf voor elk hoog-risico AI-systeem in gebruik het toezichtproces uit: wie AI-uitkomsten beoordeelt, hoe ze het systeem kunnen overschrijven, en hoe die overschrijvingen worden vastgelegd. Informeer getroffen medewerkers schriftelijk waar een systeem hun prestaties monitort of beoordeelt. Begin AI-ondersteunde beslissingen te registreren in een opvraagbaar formaat. Wijs voor elk systeem een verantwoordelijke aan voor de doorlopende compliance.

Waar u de komende twee maanden op focust

De deadline van augustus 2026 is vastgesteld en de verplichtingen zijn niet optioneel. Compliance betekent niet dat u de AI-tools die waarde genereren moet opgeven. Het betekent dat u ze inzet met documentatie, toezicht en verantwoording die de meeste organisaties nog niet hebben geformaliseerd.

Niets doen brengt twee concrete risico's met zich mee. Toezichthouders kunnen u beboeten zodra de handhaving begint. En als een AI-ondersteunde beslissing een persoon schaadt en u kunt niet aantonen dat passende waarborgen aanwezig waren, loopt u naast regelgevende boetes ook civiele aansprakelijkheid.

Twee maanden is genoeg om een verdedigbare positie te bereiken: een AI-inventaris geclassificeerd tegen bijlage III, leveranciersconformiteitsdocumentatie bevestigd, toezichtprocedures gedocumenteerd, en sleutelbeslissingen geregistreerd. Dat is haalbaar voor augustus. Een volwassen AI-governance-kader kost meer tijd, maar bouwt precies op dat fundament.

  • Voltooi een AI-inventaris over alle bedrijfsfuncties vóór eind juli
  • Classificeer elk AI-gebruik tegen bijlage III en bevestig de scope met juridisch of compliance-advies
  • Vraag schriftelijk EU-conformiteitsdocumentatie op bij elke leverancier van een hoog-risico AI-systeem
  • Documenteer procedures voor menselijk toezicht voor elk hoog-risico AI-instrument in gebruik
  • Informeer medewerkers schriftelijk waar AI-systemen hun prestaties beoordelen of monitoren
  • Begin met het registreren van AI-ondersteunde beslissingen met voldoende detail om de basis voor elke uitkomst te reconstrueren
  • Wijs voor elk hoog-risico AI-systeem een verantwoordelijke aan en plan een beoordelingsdatum voor doorlopende compliance

Hoe Cyvra helpt bij naleving van de EU AI-verordening

Cyvra helpt inzetters (organisaties die AI in hun bedrijfsvoering gebruiken) vaststellen welke systemen onder bijlage III vallen, het vereiste documentatiepakket samenstellen en de menselijke toezichtprocessen inrichten die de verordening vereist. Onze focus ligt op uw verplichtingen, niet die van uw AI-leverancier.

  • AI-systeeminventaris: catalogiseer elk AI-instrument in gebruik binnen uw organisatie, inclusief ingebedde AI-functies in software die uw IT-team voor andere doeleinden heeft goedgekeurd
  • Bijlage III-classificatie: beoordeel elk systeem aan de hand van de acht hoog-risico categorieën en documenteer de redenering in een formaat dat toezichthouders kunnen controleren
  • Leveranciersdocumentatie beoordelen: controleer of uw AI-leveranciers de vereiste technische documentatie en conformiteitsverklaringen hebben aangeleverd, en stel vast waar dat niet het geval is
  • Menselijk toezicht ontwerpen: bouw de processen en beheersmaatregelen die hoog-risico AI-toepassingen voor augustus 2026 op orde moeten hebben
  • ISO 42001-afstemming: koppel uw nalevingswerk voor de AI-verordening aan de ISO 42001-norm voor AI-managementsystemen, zodat één auditklaar kader twee compliancetrajecten dekt

Neem contact op met onze AI-praktijk of ons complianceteam over wat de deadline van augustus 2026 betekent voor uw specifieke AI-toepassingen.

Veelgestelde vragen

Geldt de EU AI Act ook voor mijn organisatie als wij geen AI-bedrijf zijn?

Ja. Als uw organisatie AI-systemen inzet in een van de categorieën van bijlage III, zoals HR, werving, kredietbeoordeling, biometrie of kritieke infrastructuur, bent u een inzetter onder de wet en heeft u wettelijke verplichtingen. U hoeft geen AI te ontwikkelen of verkopen om in scope te vallen. De meeste getroffen organisaties zijn gebruikers van AI-tools van derden, geen AI-ontwikkelaars.

Wat is het verschil tussen een aanbieder en een inzetter onder de EU AI Act?

Een aanbieder ontwikkelt en brengt een AI-systeem op de markt. Een inzetter is elke organisatie of persoon die een AI-systeem onder eigen verantwoordelijkheid in een professionele context gebruikt. Als u een CV-screentool van een leverancier koopt en inzet in uw HR-proces, is uw leverancier de aanbieder en bent u de inzetter. Beide partijen dragen verplichtingen, maar deze verschillen. Aanbieders moeten conformiteitsvereisten inbouwen; inzetters moeten risicoanalyses uitvoeren, menselijk toezicht implementeren en medewerkers informeren wanneer AI hun prestaties beoordeelt.

Wat zijn de boetes bij overtreding van de EU AI Act?

Boetes zijn afhankelijk van het type overtreding. Het gebruik van verboden AI-systemen kan leiden tot boetes van maximaal 35 miljoen euro of 7% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Niet-naleving van verplichtingen voor hoog-risico AI leidt tot boetes van maximaal 15 miljoen euro of 3% van de omzet. Het verstrekken van onjuiste informatie aan toezichthoudende autoriteiten kan leiden tot boetes van maximaal 7,5 miljoen euro of 1,5% van de omzet.

Valt het gebruik van ChatGPT of Claude via API onder de GPAI-bepalingen voor ons?

Als u een algemeen AI-model via een API voor intern gebruik benadert, bent u een inzetter en geen GPAI-aanbieder. De GPAI-verplichtingen rusten op de modelontwikkelaars zoals OpenAI, Anthropic en Google. Als u echter een GPAI-model integreert in een product of systeem dat anderen gebruiken, kunnen uw verplichtingen toenemen. Inzetters die bouwen op GPAI-modellen moeten beoordelen of het resulterende systeem een hoog-risico AI-systeem is onder bijlage III.

Spreek met Cyvra

Twee maanden tot de deadline van augustus. Begin met uw AI-inventaris.

Onze AI- en compliancepraktijk helpt u uw inventaris op te bouwen, bijlage III-blootstelling te classificeren en leveranciersdocumentatie te bevestigen voor de handhaving begint.

Contact Opnemen Compliance Diensten

Disclaimer: Dit artikel is uitsluitend bedoeld voor algemene informatieve doeleinden en vormt geen juridisch, regelgevend of professioneel advies. Cyvra geeft geen garantie met betrekking tot de juistheid of volledigheid van deze inhoud. Lezers dienen onafhankelijk juridisch advies in te winnen dat passend is voor hun specifieke omstandigheden. Cyvra aanvaardt geen aansprakelijkheid voor enig verlies als gevolg van het vertrouwen op deze inhoud.