EU AI Act boetes: wat zijn de maximale bedragen?

Veel organisaties weten dat de EU AI Act boetes mogelijk maakt. Maar de meeste weten niet hoeveel die boetes kunnen zijn, wanneer ze worden opgelegd, en of ze zelf risico lopen. Dat is een probleem. Want per augustus 2025 wordt de wet actief gehandhaafd. En dan is "ik wist het niet" geen verweer. In dit artikel zet ik de boetestructuur van de EU AI Act uiteen op basis van de officiële wettekst. Geen giswerk, geen vage bedragen. Gewoon de feiten, zodat jij weet waar je staat. ## Waar staan de boetes in de AI Act? De boetes zijn vastgelegd in Artikel 99 van de EU AI Act (Verordening 2024/1689). Dit artikel beschrijft drie boetecategorieën, elk gekoppeld aan een specifiek type overtreding. De wet spreekt van "administratieve sancties" die door nationale toezichthouders worden opgelegd. In Nederland is de Autoriteit Persoonsgegevens aangesteld als coördinerend toezichthouder. Belangrijk om te begrijpen: de EU stelt de maximumbedragen vast, maar lidstaten bepalen de exacte handhavingsregels. Dat betekent dat Nederlandse organisaties te maken krijgen met toezicht en handhaving op nationaal niveau, binnen de kaders van de EU AI Act. ## De drie boetecategorieën ## Categorie 1: Verboden AI-praktijken (Artikel 5) Dit is de zwaarste categorie. Gebruik je AI die de wet expliciet verbiedt? Dan riskeer je een boete van maximaal **€35.000.000** of **7% van de wereldwijde jaaromzet**, afhankelijk van welk bedrag hoger is. Wat valt onder verboden AI? Denk aan: - AI die mensen sublimaal manipuleert om gedrag te beïnvloeden zonder dat ze het weten - Social scoring: mensen beoordelen op basis van gedrag, persoonlijkheid of sociale kenmerken - Realtime biometrische identificatie in openbare ruimten - AI die kwetsbare groepen uitbuit op basis van leeftijd, beperking of financiële situatie - AI die crimineel gedrag voorspelt op basis van iemands uiterlijk of persoonskenmerken Dit zijn geen theoretische scenario's. Er zijn organisaties die nu tools gebruiken die dicht tegen deze grenzen aanzitten. Zeker op het gebied van personeelsmonitoring en profilering. ## Categorie 2: Niet-naleving van verplichtingen voor hoog-risico AI (Artikel 26 en meer) Gebruik je een hoog-risico AI-systeem maar voldoe je niet aan de verplichtingen die daarvoor gelden? Dan geldt een boete van maximaal **€15.000.000** of **3% van de wereldwijde jaaromzet**. Dit is de categorie die voor de meeste Nederlandse organisaties relevant is. De verplichtingen voor deployers van hoog-risico AI staan in Artikel 26 en omvatten onder andere: - Menselijk toezicht toewijzen aan een bevoegd persoon - Logs bewaren van minimaal 6 maanden - Medewerkers informeren dat ze met een hoog-risico systeem werken - Input data controleren op relevantie en representativiteit - Incidenten melden bij de leverancier en toezichthouder Hoog-risico AI-systemen zijn omschreven in Bijlage III van de wet. De categorieën die het meest voorkomen in Nederlandse organisaties: - AI voor werving, selectie en beoordeling van medewerkers (ATS-systemen, HR-analytics) - AI voor kredietwaardigheidsbeoordelingen - AI voor medische triage of diagnose - AI voor toegang tot essentiële diensten zoals uitkeringen, zorg of onderwijs Gebruik je HireVue, Textkernel, LinkedIn Talent AI of een vergelijkbaar systeem? Dan val je hoogstwaarschijnlijk in deze categorie. ## Categorie 3: Onjuiste informatie aan toezichthouders (Artikel 99, lid 5) Verstrek je onjuiste, onvolledige of misleidende informatie aan een toezichthoudende instantie? Dan geldt een boete van maximaal **€7.500.000** of **1% van de wereldwijde jaaromzet**. Dit klinkt misschien als een kleine categorie, maar het is juist relevant bij audits. Als een organisatie tijdens een handhavingsprocedure onvolledige documentatie aanlevert of de inzet van AI-systemen verzwijgt, valt dat hieronder. ## Wat is de boetekorting voor het MKB? Dit is een detail dat veel organisaties missen, maar het is cruciaal voor kleinere bedrijven. Artikel 99, lid 6 stelt expliciet: voor kleine en middelgrote ondernemingen en startups geldt elke boete tot het **laagste** van het percentage of het vaste bedrag. Niet het hoogste, maar het laagste. Wat betekent dat in de praktijk? Stel je bent een klein bedrijf met een jaaromzet van €5.000.000 en je gebruikt een hoog-risico AI-systeem zonder de vereiste maatregelen. De boete kan dan oplopen tot €15.000.000 of 3% van €5.000.000 = €150.000. Omdat je een MKB-organisatie bent, geldt het laagste bedrag: **€150.000**. Dat is nog altijd een substantiële boete. Maar het is niet €15.000.000. Voor grote organisaties met een omzet van meer dan €500.000.000 geldt het percentage altijd als het hogere bedrag, waardoor de maximale boete voor hoog-risico schendingen kan oplopen tot tientallen miljoenen euro's. ## Wat bepaalt de hoogte van de boete? De maximumbedragen zijn plafonds, geen vaste tarieven. Artikel 99, lid 7 somt de factoren op die een toezichthouder meeweegt: - De ernst en duur van de overtreding - Of de organisatie al eerder beboet is voor vergelijkbare overtredingen - Of er sprake is van opzet of nalatigheid - De omvang van de organisatie en haar marktaandeel - Of de organisatie actief meewerkt aan het onderzoek - Welke maatregelen al waren genomen om de schade te beperken Een organisatie die aantoonbaar bezig is met compliance, die trainingsbewijzen kan overleggen en documentatie op orde heeft, staat beduidend sterker dan een organisatie die geen enkele stap heeft gezet. ## En de AI-geletterdheidsplicht? Wat is de boete daarvoor? Dit is een vraag die ik veel krijg. Artikel 4, de verplichting om medewerkers AI-geletterd te maken, staat niet als aparte post in Artikel 99. Dat betekent niet dat er geen consequenties zijn. Het niet naleven van Artikel 4 valt onder de algemene categorie van schendingen van deployer-verplichtingen, wat de weg opent naar boetes uit Categorie 2. Bovendien speelt het bij een audit een grote rol: een organisatie zonder aantoonbare AI-geletterdheidsmaatregelen kan niet bewijzen dat ze serieus met de wet omgaat. Dat verzwakt de positie bij elk handhavingsonderzoek, ongeacht de precieze boetecategorie. De slimste investering is dan ook simpel: zorg dat je medewerkers gecertificeerd zijn voordat er een handhavingstraject start. ## Wanneer worden deze boetes opgelegd? De tijdlijn op basis van Artikel 113: - **2 februari 2025** -- de verboden AI-praktijken (Artikel 5) en de AI-geletterdheidsplicht (Artikel 4) zijn al van kracht - **2 augustus 2025** -- handhaving start voor GPAI-verplichtingen, governance en toezichtsbepalingen - **2 augustus 2026** -- volledige toepassing van de wet, inclusief alle deployer- en providerverplichtingen We zitten nu in de fase tussen februari en augustus 2025. De verboden praktijken gelden al. De handhaving van de bredere verplichtingen begint in augustus. Dat geeft organisaties een smalle marge om orde op zaken te stellen. Niet jaren, maar maanden. ## Wat riskeert jouw organisatie concreet? Dat hangt af van drie dingen: welke AI-tools je gebruikt, in welke rol je dat doet (provider of deployer), en hoe compliant je op dit moment bent. Een marketingbureau dat ChatGPT intern gebruikt voor teksten, met gecertificeerde medewerkers en een gedocumenteerd AI-beleid, heeft een verwacht boeterisico van nul. Een HR-afdeling die een AI-gedreven ATS-systeem gebruikt zonder menselijk toezicht, zonder medewerkersinformering en zonder trainingsbewijzen, zit midden in Categorie 2. Het maakt uit. [Bereken jouw specifieke boeterisico met de gratis AIGA Boetecalculator](/tools/boetecalculator) De calculator vraagt je naar de rol van jouw organisatie, welke tools je gebruikt en wat de huidige compliancestatus is. Op basis daarvan geeft hij een indicatie van het maximale en meest waarschijnlijke boeterisico, gebaseerd op de officiële bedragen uit Artikel 99. ## De drie dingen die je nu kunt doen Ten eerste: breng in kaart welke AI-tools jouw organisatie gebruikt en of een van die tools in de hoog-risico categorie van Bijlage III valt. Dat kost een middag en geeft direct inzicht. Ten tweede: zorg voor aantoonbare AI-geletterdheid bij alle medewerkers die AI-tools gebruiken. Dit is de meest directe manier om je positie bij een audit te versterken, en het is de verplichting die het meest wordt onderschat. Ten derde: documenteer. Een goed bijgehouden AI-register, met per tool het doel, het risiconiveau en de verantwoordelijke persoon, is meer waard dan een uitgebreid intern AI-beleid dat niemand leest. --- Lees ook: [EU AI Act uitgelegd: complete gids voor organisaties](/kenniscentrum/eu-ai-act-uitgelegd) Lees ook: [Wat zijn high-risk AI-systemen volgens de EU AI Act?](/kenniscentrum/wat-zijn-high-risk-ai-systemen) Lees ook: [AI Act compliance checklist voor kleine bedrijven](/kenniscentrum/ai-act-compliance-checklist-kleine-bedrijven)