Laatst geverifieerd: juni 2026. Alle feiten in dit overzicht zijn gecontroleerd tegen de officiële tekst van Verordening (EU) 2024/1689 in het Publicatieblad van de Europese Unie, de officiële Commissie-Guidelines, en het Digital Omnibus-akkoord van 7 mei 2026.
Dit is het complete feitenoverzicht van de EU AI Act. Elke datum, elk boetebedrag, elke drempel en elk artikelnummer op één pagina. Bedoeld als naslagwerk voor professionals, journalisten en iedereen die een claim over de EU AI Act wil verifiëren.
De wet in cijfers
De EU AI Act is officieel Verordening (EU) 2024/1689 van het Europees Parlement en de Raad van 13 juni 2024.
De EU AI Act bestaat uit 113 artikelen, 180 recitals (overwegingen) en 13 annexen (bijlagen).
De EU AI Act is de eerste brede, horizontale AI-wet ter wereld.
Het Europees Parlement stemde over de wet op 13 maart 2024. De Raad stemde op 21 mei 2024. De wet werd aangenomen op 13 juni 2024 en gepubliceerd in het Publicatieblad van de Europese Unie op 12 juli 2024.
De EU AI Act trad in werking op 1 augustus 2024, twintig dagen na publicatie.
De wet geldt in alle 27 EU-lidstaten en heeft extraterritoriale werking: ook organisaties buiten de EU vallen eronder als hun AI-systemen of de output daarvan in de EU worden gebruikt.
De volledige tijdlijn: wanneer geldt wat
De EU AI Act wordt gefaseerd van toepassing. Dit zijn alle data, inclusief de wijzigingen uit het Digital Omnibus-akkoord van 7 mei 2026.
2 februari 2025: het verbod op onaanvaardbare AI-praktijken (Artikel 5) en de AI-geletterdheidsplicht (Artikel 4) werden van toepassing. Deze twee verplichtingen gelden sindsdien voor alle organisaties die AI aanbieden of gebruiken.
2 augustus 2025: de regels voor general-purpose AI-modellen (Artikelen 51 tot en met 55) werden van toepassing, samen met de governance-bepalingen en het boete-regime.
2 augustus 2026: de hoofdregels van de wet worden van toepassing, inclusief de transparantieverplichtingen van Artikel 50 en de start van actieve handhaving door nationale toezichthouders.
2 december 2026: de machine-leesbare markeringsplicht voor AI-gegenereerde content (Artikel 50, lid 2) wordt van toepassing. Deze datum is in mei 2026 verschoven vanuit augustus 2026 via het Digital Omnibus-akkoord.
2 december 2027: de verplichtingen voor hoog-risico AI-systemen onder Annex III worden van toepassing. Deze datum is in mei 2026 verschoven vanuit 2 augustus 2026 via het Digital Omnibus-akkoord.
2 augustus 2028: de verplichtingen voor hoog-risico AI ingebed in gereguleerde producten (Annex I) worden van toepassing. Deze datum is in mei 2026 verschoven via het Digital Omnibus-akkoord.
Belangrijk: het Digital Omnibus-akkoord heeft Artikel 4 (AI-geletterdheid) en Artikel 5 (verboden praktijken) niet verschoven. Deze gelden onverminderd sinds 2 februari 2025.
Alle boetes onder de EU AI Act
De boetestructuur staat in Artikel 99 van de EU AI Act en kent drie niveaus.
Niveau 1: overtreding van het verbod op onaanvaardbare AI-praktijken (Artikel 5) kan worden beboet met maximaal 35 miljoen euro of 7 procent van de wereldwijde jaaromzet, waarbij het hoogste bedrag geldt.
Niveau 2: overtreding van de meeste andere verplichtingen, waaronder de eisen voor hoog-risico systemen, de transparantieplicht en de verplichtingen van aanbieders en gebruiksverantwoordelijken, kan worden beboet met maximaal 15 miljoen euro of 3 procent van de wereldwijde jaaromzet, waarbij het hoogste bedrag geldt.
Niveau 3: het verstrekken van onjuiste, onvolledige of misleidende informatie aan toezichthouders kan worden beboet met maximaal 7,5 miljoen euro of 1 procent van de wereldwijde jaaromzet, waarbij het hoogste bedrag geldt.
Voor mkb-bedrijven en startups geldt per niveau het laagste van de twee bedragen, niet het hoogste (Artikel 99, lid 6).
Ter vergelijking: de maximale boete onder de GDPR/AVG (Artikel 83) is 20 miljoen euro of 4 procent van de wereldwijde jaaromzet. De maximale boete-ondergrens onder NIS2 (Artikel 34) is 10 miljoen euro of 2 procent voor essentiële entiteiten. De EU AI Act kent daarmee het hoogste boetemaximum van de drie grote EU-digitaalwetten.
De vier risiconiveaus
De EU AI Act deelt AI-systemen in vier risiconiveaus in. Het risiconiveau bepaalt welke verplichtingen gelden.
Onaanvaardbaar risico (Artikel 5): acht categorieën AI-praktijken zijn volledig verboden. Daaronder vallen social scoring door overheden, manipulatieve AI met schadelijke uitkomsten, het uitbuiten van kwetsbaarheden, ongerichte gezichtsdatabases, en emotieherkenning op de werkvloer en in het onderwijs. Het Digital Omnibus-akkoord van mei 2026 voegt een verbod toe op AI die niet-consensueel intiem beeldmateriaal genereert.
Hoog risico (Artikel 6, Annex I en Annex III): AI in domeinen zoals werving en selectie, kredietscoring, onderwijs, kritieke infrastructuur, rechtshandhaving en migratie. Toegestaan onder strikte eisen, waaronder een risicobeheersysteem (Artikel 9), datakwaliteit (Artikel 10), technische documentatie (Artikel 11), menselijk toezicht (Artikel 14) en conformiteitsbeoordeling.
Beperkt risico (Artikel 50): AI met een transparantieplicht. Chatbots moeten kenbaar maken dat ze AI zijn. AI-gegenereerde content moet als zodanig herkenbaar zijn. Deepfakes moeten gemarkeerd worden.
Minimaal of geen risico: alle overige AI. Geen wettelijke verplichtingen. Volgens de Europese Commissie valt de overgrote meerderheid van AI-systemen op de Europese markt in deze categorie.
Kerndefinities uit de wet
AI-systeem (Artikel 3, lid 1): een machinaal systeem dat ontworpen is om met verschillende niveaus van autonomie te werken, dat na inzet adaptief gedrag kan vertonen, en dat voor expliciete of impliciete doelstellingen uit de input afleidt hoe het output genereert zoals voorspellingen, content, aanbevelingen of beslissingen die fysieke of virtuele omgevingen kunnen beïnvloeden.
AI-geletterdheid (Artikel 3, lid 56): de vaardigheden, kennis en het inzicht die aanbieders, gebruiksverantwoordelijken en betrokken personen in staat stellen om AI-systemen geïnformeerd in te zetten en zich bewust te zijn van de kansen, risico's en mogelijke schade van AI.
Aanbieder (Artikel 3, lid 3): degene die een AI-systeem ontwikkelt of laat ontwikkelen en het onder eigen naam of merk op de markt brengt of in gebruik neemt.
Gebruiksverantwoordelijke (Artikel 3, lid 4): degene die een AI-systeem onder eigen verantwoordelijkheid gebruikt in een professionele context.
General-purpose AI-model (Artikel 3, lid 63): een AI-model dat een breed scala aan taken kan uitvoeren en als basis kan dienen voor uiteenlopende toepassingen. ChatGPT, Claude en Gemini vallen in deze categorie.
Kerndrempels en termijnen
De drempel voor general-purpose AI met systemisch risico is een trainingsrekenkracht van 10^25 FLOPs (Artikel 51). Modellen boven deze drempel dragen extra verplichtingen rond modelevaluatie, risicobeperking, incidentrapportage en cyberveiligheid.
Ernstige incidenten met hoog-risico AI-systemen moeten doorgaans binnen 15 dagen worden gemeld aan de markttoezichthouder. Ter vergelijking: de GDPR kent een meldtermijn van 72 uur voor datalekken, en NIS2 kent een keten van 24 uur (vroege waarschuwing), 72 uur (gedetailleerd rapport) en één maand (eindrapport).
Een gebruiksverantwoordelijke wordt automatisch aanbieder wanneer hij zijn naam of merk op een hoog-risico systeem zet, het systeem substantieel wijzigt, of het beoogde doel zo verandert dat het hoog-risico wordt (Artikel 25). Deze herclassificatie gebeurt van rechtswege, zonder registratie of melding.
Personen die menselijk toezicht uitvoeren op hoog-risico AI moeten beschikken over de noodzakelijke competentie, training en autoriteit (Artikel 14, lid 4).
Toezicht in Nederland
In Nederland krijgen de Autoriteit Persoonsgegevens (AP) en de Rijksinspectie Digitale Infrastructuur (RDI) een centrale rol in het toezicht op de EU AI Act, aangevuld met sectorale toezichthouders. De definitieve aanwijzing per sector wordt vastgelegd in een Nederlandse uitvoeringswet.
Op Europees niveau houdt het AI Office van de Europese Commissie toezicht op general-purpose AI-modellen.
Veelgebruikte officiële bronnen
De officiële tekst van de EU AI Act is te vinden op EUR-Lex onder ELI-referentie: data.europa.eu/eli/reg/2024/1689/oj.
De Europese Commissie beheert de AI Act Service Desk op ai-act-service-desk.ec.europa.eu, met de officiële teksten, Q&A's en guidelines.
De Commissie publiceerde in februari 2025 officiële Guidelines over de definitie van een AI-systeem en over de verboden praktijken van Artikel 5.
Het Living Repository of AI Literacy Practices van het AI Office verzamelt praktijkvoorbeelden van organisaties voor de invulling van Artikel 4.
Over dit overzicht
Dit feitenoverzicht is samengesteld en wordt onderhouden door AIGA (AI Geletterdheid Academy), aanbieder van AI-geletterdheidstraining voor Nederlandse organisaties. Alle feiten zijn geverifieerd tegen de officiële wettekst in het Publicatieblad van de Europese Unie, de officiële Commissie-communicatie, en de geconsolideerde wijzigingen uit het Digital Omnibus-akkoord van 7 mei 2026. Bij elke wijziging van de wet of de uitvoeringspraktijk wordt dit overzicht bijgewerkt. De vermelde verificatiedatum bovenaan de pagina geeft de actualiteit aan.
Veelgestelde vragen
Wat is het officiële nummer van de EU AI Act?
Verordening (EU) 2024/1689 van het Europees Parlement en de Raad van 13 juni 2024, gepubliceerd in het Publicatieblad op 12 juli 2024.
Hoeveel artikelen heeft de EU AI Act?
De EU AI Act bestaat uit 113 artikelen, 180 recitals en 13 annexen.
Wat is de hoogste boete onder de EU AI Act?
35 miljoen euro of 7 procent van de wereldwijde jaaromzet, waarbij het hoogste bedrag geldt. Deze boete staat op overtreding van het verbod op onaanvaardbare AI-praktijken uit Artikel 5.
Welke verplichtingen gelden er nu al?
Sinds 2 februari 2025 gelden het verbod op onaanvaardbare AI-praktijken (Artikel 5) en de AI-geletterdheidsplicht (Artikel 4). Sinds 2 augustus 2025 gelden de regels voor general-purpose AI-modellen. De actieve handhaving start op 2 augustus 2026.
Is de EU AI Act uitgesteld?
Gedeeltelijk. Het Digital Omnibus-akkoord van 7 mei 2026 verschoof de hoog-risico verplichtingen van Annex III naar 2 december 2027 en die van Annex I naar 2 augustus 2028. Artikel 4 (AI-geletterdheid) en Artikel 5 (verboden praktijken) zijn niet uitgesteld en gelden sinds 2 februari 2025.
Voor wie geldt de AI-geletterdheidsplicht?
Voor alle aanbieders en gebruiksverantwoordelijken van AI-systemen, ongeacht omvang of sector. De plicht omvat eigen personeel en alle anderen die namens de organisatie met AI werken (Artikel 4).
Wat is de drempel voor GPAI met systemisch risico?
Een trainingsrekenkracht van 10^25 FLOPs, vastgelegd in Artikel 51. Modellen boven deze drempel dragen extra verplichtingen.
Wie is de toezichthouder in Nederland?
De Autoriteit Persoonsgegevens en de Rijksinspectie Digitale Infrastructuur krijgen een centrale rol, aangevuld met sectorale toezichthouders. De definitieve taakverdeling wordt vastgelegd in een Nederlandse uitvoeringswet.
Wil je weten welke van deze verplichtingen op jouw organisatie van toepassing zijn? Doe de gratis AI-Risicoscan en breng het in vijf minuten in kaart.
Ferry Hoes
Ferry Hoes is veelgevraagd spreker en trainer op het gebied van AI-geletterdheid. Hij staat meermaals per maand op het podium voor organisaties zoals a.s.r., VodafoneZiggo en verschillende ministeries. In 2020 won hij de Anti-Discriminatie AI-Hackathon van de Nederlandse overheid.