Op 2 augustus 2026 wordt de EU AI Act volledig gehandhaafd voor hoog-risico AI-systemen. Dat is over vier maanden. Als je nog geen compliance-traject bent gestart, loop je achter — maar het is nog niet te laat. Dit artikel geeft je een concreet maand-voor-maand actieplan, een risicoclassificatietabel voor veelgebruikte MKB-tools en een overzicht van de boetes die je riskeert.
Samengevat: De EU AI Act vereist dat elk bedrijf dat AI-systemen gebruikt of ontwikkelt in de EU, voldoet aan verplichtingen die afhangen van de risicocategorie van het systeem. De zwaarste verplichtingen — conformiteitsbeoordelingen, technische documentatie, menselijk toezicht — worden vanaf 2 augustus 2026 gehandhaafd, inclusief boetes tot 35 miljoen euro.
Ben je op zoek naar de volledige achtergrond bij de wet? Lees dan ons uitgebreide overzicht van de EU AI Act en AI-wetgeving in Nederland. Wil je een algemene compliancechecklist? Die vind je in onze AI compliance checklist voor het MKB. Dit artikel is anders: het is een countdown. Vijf maanden, vijf fasen, nul excuses.
Waarom augustus 2026 het kantelpunt is
De EU AI Act is geen nieuwe wet — hij is in werking getreden op 2 augustus 2024. Sindsdien zijn de verplichtingen gefaseerd ingevoerd:
- Februari 2025: Verbod op onaanvaardbare AI-praktijken (social scoring, manipulatie kwetsbare groepen)
- Augustus 2025: Verplichtingen voor general-purpose AI-modellen (GPT-achtige systemen)
- 2 augustus 2026: Volledige handhaving voor hoog-risico AI-systemen
Die laatste datum is waar het nu om draait. Hoog-risico systemen — AI voor werving, kredietbeoordeling, medische besluitvorming — moeten op die datum volledig compliant zijn. Niet "in voorbereiding." Niet "we zijn ermee bezig." Volledig compliant.
De handhaving ligt in Nederland bij de Autoriteit Persoonsgegevens (AP) en de Rijksinspectie Digitale Infrastructuur (RDI). Beide instanties hebben aangekondigd dat ze vanaf augustus 2026 actief gaan handhaven. De AP heeft daarbij specifiek benoemd dat bedrijven die geen risicoanalyse kunnen overleggen, als eerste aan de beurt zijn.
Heb je al een concrete stappenchecklist doorlopen? Onze AI Act deadline 2026 checklist helpt je met acht specifieke actiepunten.
Maand-voor-maand actieplan: april tot augustus 2026
April: inventariseer al je AI-systemen
Je kunt niet compliant zijn met iets waarvan je het bestaan niet kent. De eerste stap is een volledige inventarisatie.
Doe dit in april:
- Stuur een inventarisatievragenlijst naar elke afdeling: welke AI-tools gebruiken jullie?
- Check alle software-abonnementen op ingebouwde AI-functies (je CRM, je e-mailtool, je boekhoudsoftware — veel hebben AI-features die je niet bewust hebt ingeschakeld)
- Breng shadow AI in kaart: tools die medewerkers zelf zijn gaan gebruiken zonder goedkeuring
- Maak een centraal register met per systeem: naam, leverancier, doel, verwerkte data, verantwoordelijke afdeling
Het resultaat: een compleet AI-register dat de basis vormt voor alles wat volgt.
Belangrijk: de meeste MKB-bedrijven onderschatten hoeveel AI ze gebruiken. Bij inventarisaties komen doorgaans twee tot drie keer meer systemen aan het licht dan verwacht.
Mei: classificeer elk systeem op risiconiveau
Met je inventarisatie in de hand ga je elk systeem classificeren volgens de vier risicocategorieën van de AI Act.
Doe dit in mei:
- Beoordeel elk systeem: is het onaanvaardbaar, hoog risico, beperkt risico of minimaal risico?
- Gebruik de risicoclassificatietabel verderop in dit artikel als startpunt
- Markeer alle systemen waar persoonsgegevens bij betrokken zijn — daar overlappen de AI Act en de AVG. Lees meer over die overlap in ons artikel over AVG en AI-regels
- Systemen in de categorie "onaanvaardbaar": onmiddellijk stopzetten
- Systemen in de categorie "hoog risico": markeer als prioriteit voor de volgende stap
Het resultaat: een geclassificeerd overzicht dat duidelijk maakt welke systemen welke aanpak vereisen.
Juni: documenteer en voer DPIA's uit
Documentatie is de kern van AI Act-compliance. Zonder documentatie kun je niet aantonen dat je compliant bent — en dat is hetzelfde als niet-compliant zijn.
Doe dit in juni:
- Stel voor elk hoog-risico systeem technische documentatie op: hoe werkt het, welke data verwerkt het, welke beslissingen neemt het, hoe is menselijk toezicht geregeld?
- Voer een Data Protection Impact Assessment (DPIA) uit voor elk systeem dat persoonsgegevens op schaal verwerkt
- Documenteer je risicomanagementsysteem: welke risico's heb je geïdentificeerd, welke maatregelen neem je, wie is verantwoordelijk?
- Maak een transparantieregister: waar en hoe informeer je gebruikers dat ze met AI communiceren? Bekijk de specifieke eisen in ons artikel over AI-transparantieplicht voor bedrijven
Het resultaat: een compleet documentatiedossier per hoog-risico systeem dat je kunt overleggen bij een audit.
Meer weten over AI advies?
Bekijk dienstJuli: test, audit en remedieer
Met documentatie op orde is het tijd voor de testfase. Werkt je compliance in de praktijk?
Doe dit in juli:
- Voer een interne audit uit: klopt de documentatie met de werkelijkheid?
- Test of menselijk toezicht daadwerkelijk functioneert — kan een medewerker een AI-beslissing overrulen?
- Controleer je transparantiemeldingen: staan ze op de juiste plekken, zijn ze duidelijk genoeg?
- Test de bias in hoog-risico systemen (met name bij AI voor werving of kredietbeoordeling)
- Overweeg deelname aan de AIC4NL-standaard — het Nederlandse keurmerk voor betrouwbare AI-systemen, ontwikkeld in samenwerking met het Ministerie van Economische Zaken
- Check of je leveranciers (de aanbieders van AI-systemen) hun conformiteitsbeoordelingen op orde hebben — als deployer ben je daar deels afhankelijk van
Het resultaat: een getest en gevalideerd compliancedossier, met een lijst van restpunten die je in de laatste weken afhandelt.
Augustus: sign-off en monitoring
De deadline is 2 augustus. Zorg dat je voor die datum alles afrondt.
Doe dit in de eerste week van augustus:
- Laat een verantwoordelijke (directie of compliance officer) formeel tekenen voor de compliance-status van elk hoog-risico systeem
- Richt een doorlopend monitoringproces in: compliance is geen eenmalige actie maar een continu proces
- Plan een halfjaarlijkse review om je AI-register, documentatie en risicoanalyses te actualiseren
- Communiceer intern: alle medewerkers moeten weten welke regels gelden en wat er van hen verwacht wordt
Het resultaat: formele compliance op de deadline, met een structuur die ook daarna standhoudt.
Bespaar 8 uur per week op compliance-inventarisatie door een gestructureerd maand-voor-maand actieplan
Risicoclassificatie: veelgebruikte MKB AI-toepassingen
Welk risiconiveau geldt voor de AI-tools die jij gebruikt? Deze tabel geeft een overzicht van veelvoorkomende toepassingen in het MKB.
| AI-toepassing | Risiconiveau | Toelichting |
|---|---|---|
| Klantenservice-chatbot | Beperkt risico | Transparantieplicht: gebruiker moet weten dat het AI is |
| Spamfilter (e-mail) | Minimaal risico | Geen specifieke verplichtingen |
| AI-gestuurde productaanbevelingen | Minimaal risico | Geen specifieke verplichtingen |
| CV-screening / sollicitantselectie | Hoog risico | Conformiteitsbeoordeling, documentatie, menselijk toezicht verplicht |
| Kredietbeoordeling / leenbeslissing | Hoog risico | Directe impact op financiele toegang van personen |
| AI-contentgeneratie (teksten, social media) | Beperkt risico | Labelen als AI-gegenereerd verplicht |
| Geautomatiseerde facturenverwerking | Minimaal risico | Geen specifieke verplichtingen (tenzij beslissingsbevoegd) |
| AI-leadscoring (sales) | Beperkt risico | Transparantieplicht bij directe impact op klanten |
| Sentimentanalyse klantenservice | Beperkt risico | Transparantieplicht |
| AI voor medische triage / advies | Hoog risico | Valt onder kritieke gezondheidstoepassingen |
| Deepfake-detectie of -generatie | Beperkt risico | Disclosure verplicht |
| Geautomatiseerde prijsoptimalisatie | Minimaal risico | Geen specifieke verplichtingen |
Let op: deze tabel is een vereenvoudiging. De exacte classificatie hangt af van de specifieke toepassing, de context en de mate van autonomie van het systeem. Bij twijfel: laat je adviseren.
Je kunt je AI-systemen ook toetsen via de Nederlandse regulatory sandboxes — testomgevingen die de overheid heeft opgezet waar bedrijven hun AI-toepassingen kunnen laten beoordelen voordat ze live gaan. Dit is vooral waardevol voor innovatieve toepassingen waar de risicocategorie niet direct duidelijk is.
Boetestructuur: wat riskeer je?
De EU AI Act hanteert een gelaagde boetestructuur. De hoogte van de boete hangt af van het type overtreding.
| Type overtreding | Maximale boete (groot bedrijf) | Maximale boete (MKB/startup) |
|---|---|---|
| Inzet verboden AI-systeem | 35 miljoen euro of 7% wereldwijde omzet | Proportioneel verlaagd |
| Niet-naleving hoog-risico verplichtingen | 15 miljoen euro of 3% wereldwijde omzet | Proportioneel verlaagd |
| Onjuiste informatie aan toezichthouders | 7,5 miljoen euro of 1,5% wereldwijde omzet | Proportioneel verlaagd |
| Niet voldoen aan transparantieplicht | 15 miljoen euro of 3% wereldwijde omzet | Proportioneel verlaagd |
Voor het MKB: De wet voorziet in proportionele boetes voor kleine en middelgrote ondernemingen en startups. Dat betekent niet dat je veilig bent — het betekent dat de boete wordt afgestemd op je bedrijfsgrootte, maar hij komt er wel. De Autoriteit Persoonsgegevens heeft aangekondigd bij eerste overtredingen eerst te waarschuwen, maar heeft ook duidelijk gemaakt dat herhaalde niet-naleving direct beboet wordt.
Nederlandse context: AP, AIC4NL en regulatory sandboxes
Nederland heeft een relatief actieve rol in de implementatie van de AI Act. Een paar specifieke punten:
Autoriteit Persoonsgegevens (AP) is aangewezen als de primaire toezichthouder voor de AI Act in Nederland. De AP heeft al ervaring met handhaving van de AVG en past die ervaring toe op AI-toezicht. Ze hebben een specifiek AI-team opgericht dat vanaf augustus 2026 actief gaat handhaven.
AIC4NL is de Nederlandse standaard voor betrouwbare AI-systemen, gebaseerd op de Duitse AIC4-standaard en aangepast aan de Nederlandse markt. Certificering volgens AIC4NL is niet wettelijk verplicht, maar het biedt een concreet kader om aan te tonen dat je AI-systemen voldoen aan de eisen van de AI Act. Steeds meer zakelijke klanten en aanbestedingen vragen erom.
Regulatory sandboxes zijn door de overheid opgezette testomgevingen waar bedrijven hun AI-toepassingen in een gecontroleerde setting kunnen testen. De Nederlandse Digital Trust Center (DTC) coördineert deze. Voor MKB-bedrijven die onzeker zijn over de classificatie van hun AI-systemen, bieden sandboxes een laagdrempelige manier om duidelijkheid te krijgen.
Je kunt de compliance van je AI-systemen verbeteren door bedrijfsautomatisering op de juiste manier op te zetten — met ingebouwde logging, menselijk toezicht en transparantiemeldingen.
Wat als je niet op tijd klaar bent?
Laten we eerlijk zijn: veel MKB-bedrijven gaan de deadline niet halen. Wat doe je dan?
Scenario 1: Je bent grotendeels compliant maar mist documentatie. De AP zal waarschijnlijk eerst een waarschuwing geven en een hersteltermijn bieden. Maar: je moet wel actief bezig zijn. "We zijn ermee gestart" is een betere positie dan "we wisten het niet."
Scenario 2: Je hebt niets gedaan. Dit is het risicoscenario. De AP heeft aangekondigd dat bedrijven zonder enige voorbereidingen prioriteit krijgen bij handhaving. Begin vandaag, ook als je de deadline niet haalt — elke stap die je zet verbetert je positie.
Scenario 3: Je gebruikt geen hoog-risico AI. Dan zijn je verplichtingen beperkt tot transparantiemeldingen bij chatbots en AI-gegenereerde content. Dat is relatief eenvoudig te regelen, maar je moet het wel doen. Check je situatie met behulp van onze AI Act deadline 2026 checklist.
Volgende stappen
De klok tikt. Vier maanden is niet veel, maar het is genoeg als je nu begint en gestructureerd werkt. Je hebt een actieplan, een classificatiekader en een overzicht van de consequenties. De vraag is niet of de AI Act je raakt — dat doet hij. De vraag is of je voorbereid bent.
Start met stap één: de inventarisatie. Dat kun je deze week nog doen.
Meer weten over AI advies?
Bekijk dienst