Veel organisaties denken dat de EU AI Act pas "later" relevant wordt. Dat is een misverstand dat ze duur kan komen te staan.
We zitten nu in 2026. En dit jaar is het jaar waarin de wet zijn volle kracht krijgt. Niet ergens in de verre toekomst — dit jaar. In dit artikel zet ik uiteen wat er precies verandert, wanneer het ingaat en wat jouw organisatie nu moet doen om niet achter te lopen.
Wat al geldt sinds februari 2025
Op 2 februari 2025 traden de eerste verplichtingen van de EU AI Act in werking. Het ging om twee onderdelen die organisaties direct raakten.
Het eerste onderdeel is het verbod op bepaalde AI-toepassingen (Artikel 5). Systemen die mensen sublimaal manipuleren, die sociale scoring toepassen, die realtime biometrische identificatie uitvoeren in openbare ruimten — die zijn per februari 2025 verboden. Niet straks. Nu.
Het tweede onderdeel is de AI-geletterdheidsplicht (Artikel 4). Organisaties die AI-systemen gebruiken, zijn verplicht te zorgen dat hun medewerkers voldoende AI-geletterd zijn. Dit geldt voor elke organisatie in de EU, ongeacht grootte of sector.
Wat geldt vanaf augustus 2025
Per 2 augustus 2025 zijn de verplichtingen voor General Purpose AI (GPAI) modellen en de bijbehorende governance-structuur van kracht geworden. Dit raakt vooral aanbieders van grote AI-modellen zoals GPT-4, Gemini of Claude. Voor de meeste Nederlandse organisaties als gebruiker is dit indirect relevant: het betekent dat de tools die je gebruikt zélf ook aan eisen moeten voldoen, en dat je als deployer moet nagaan of je leverancier compliant is.
Wat verandert op 2 augustus 2026
Dit is de datum die er toe doet voor het overgrote deel van de Nederlandse organisaties. Vanaf 2 augustus 2026 geldt de EU AI Act volledig. Dat betekent concreet:
Alle deployer-verplichtingen voor hoog-risico AI-systemen worden van kracht. Als je een hoog-risico AI-systeem gebruikt — en dat kan van alles zijn, van een AI-gedreven ATS-systeem in HR tot een kredietbeoordeling in finance — moet je per die datum aan de volledige set verplichtingen uit Artikel 26 voldoen.
Die verplichtingen omvatten: aantoonbaar menselijk toezicht, logboekbewaring van minimaal zes maanden, informatievoorziening aan medewerkers, risicobeheersingsmaatregelen en het melden van incidenten.
Registers van hoog-risico AI worden verplicht. Organisaties die hoog-risico AI inzetten als deployer, moeten hun systemen registreren in de EU-database die de Europese Commissie beheert. Dit is een openbare database. Niet-registratie is een handhaafbare overtreding.
Handhaving wordt breder. De Autoriteit Persoonsgegevens is aangesteld als coördinerend nationaal toezichthouder. In aanloop naar augustus 2026 verwacht de markt een toename van proactieve handhavingssignalen — vergelijkbaar met hoe de GDPR in 2018 gefaseerd werd gehandhaafd, maar dan sneller.
Wat betekent dit voor jouw organisatie in de praktijk?
Er zijn drie typen organisaties. Ten eerste: organisaties die geen hoog-risico AI gebruiken en hun medewerkers al gecertificeerd hebben. Zij hebben de minste zorg voor augustus 2026, maar moeten wel hun registratieplicht checken.
Ten tweede: organisaties die hoog-risico AI gebruiken maar er nog niet klaar voor zijn. Dit is de meest kwetsbare groep. Zij hebben tot 2 augustus 2026 om hun processen, documentatie en toezichtsstructuren op orde te krijgen. Dat lijkt ver weg, maar de praktijk leert dat het inregelen van menselijk toezicht, het opzetten van een logboekkstructuur en het trainen van medewerkers maanden kost.
Ten derde: organisaties die niet weten of ze hoog-risico AI gebruiken. Dit is de gevaarlijkste situatie. Bijlage III van de AI Act somt de categorieën op: HR-systemen voor werving en beoordeling, kredietwaardigheidsanalyse, medische diagnose-ondersteuning, toegang tot essentiële diensten. Als je software gebruikt in een van deze categorieën, is de kans groot dat je in scope bent.
De drie dingen die je nu moet doen
Breng je AI-toollandschap in kaart. Welke systemen gebruik je, in welke afdeling, voor welk doel? Dit is de basis van alles en het kost minder tijd dan je denkt.
Bepaal of een van die systemen in de hoog-risico categorie valt. De AI Use Case Checker van AIGA helpt je dit binnen enkele minuten bepalen zonder juridisch voorwerk.
Zorg dat je medewerkers aantoonbaar AI-geletterd zijn vóór augustus 2026. Dit is de verplichting die al geldt, maar ook de sterkste bescherming bij een audit. Een organisatie met gecertificeerde medewerkers staat aanzienlijk sterker dan een organisatie die geen enkel bewijs kan overleggen.
De wet wacht niet. Augustus 2026 is dichterbij dan het lijkt.
Lees ook: EU AI Act boetes: wat zijn de maximale bedragen?
Lees ook: AI Act compliance checklist voor kleine bedrijven
Lees ook: AI-geletterdheidsplicht: zo voldoe je in 5 stappen
Ferry Hoes
Ferry Hoes is veelgevraagd spreker en trainer op het gebied van AI-geletterdheid. Hij staat meermaals per maand op het podium voor organisaties zoals a.s.r., VodafoneZiggo en verschillende ministeries. In 2020 won hij de Anti-Discriminatie AI-Hackathon van de Nederlandse overheid.