ENNL
Gratis consult
Home / Inzichten / EU AI Act compliance in Nederland: gids voor 2026
Compliance

EU AI Act compliance in Nederland: gids voor 2026

Santhul Joseph · AI Engineer 8 juni 2026 · 5 min lezen

EU AI Act compliance is voor bedrijven in Nederland geen toekomstmuziek meer. Vanaf 2 augustus 2026 gelden de kernverplichtingen voor AI-systemen met een hoog risico en begint de handhaving — inclusief boetes. Of je organisatie nu AI bouwt, verkoopt of simpelweg gebruikt: deze gids legt in begrijpelijke taal uit wat de Act van je vraagt, welke regels echt op jouw situatie van toepassing zijn, en welke praktische stappen je op tijd klaarzetten. Geschreven voor Nederlandse en Europese bedrijven, en het is geen juridisch advies — waar het telt, verwijzen we naar de officiële bronnen.

Wat de EU AI Act is, in één alinea

De AI Act is de risicogebaseerde AI-wet van de EU. Hij reguleert niet de technologie in het abstracte, maar hóé een AI-systeem wordt gebruikt en hoeveel risico dat gebruik met zich meebrengt. Hoe groter de kans op schade, hoe zwaarder de verplichtingen. De Act is al van kracht in de hele EU en wordt gefaseerd ingevoerd: verboden op de meest schadelijke toepassingen en plichten rond AI-geletterdheid kwamen eerst, regels voor general-purpose AI-modellen volgden, en de mijlpaal die voor de meeste bedrijven telt is het hoog-risicoregime dat op 2 augustus 2026 handhaafbaar wordt. Het overzicht van het regelgevend kader voor AI van de Europese Commissie geeft de officiële tijdlijn.

Welke regels gelden voor jou? Begin bij je rol

De Act kent verplichtingen toe op basis van je rol in de AI-waardeketen. De eerste vraag is dus niet "wat is AI?" maar "wat doen wij ermee?" Hetzelfde systeem kan heel verschillende plichten met zich meebrengen, afhankelijk van of je het hebt gemaakt of alleen gebruikt.

  • Provider (aanbieder) — je ontwikkelt een AI-systeem (of laat het ontwikkelen) en brengt het onder je eigen naam op de markt. Aanbieders dragen de zwaarste verplichtingen.
  • Deployer (gebruiksverantwoordelijke) — je gebruikt een AI-systeem in je bedrijfsvoering. De meeste Nederlandse mkb'ers zijn deployer, met lichtere maar reële plichten zoals menselijk toezicht en gebruik zoals bedoeld.
  • Importeur / distributeur — je brengt een niet-EU-systeem op de EU-markt of stelt het verder beschikbaar, met controles dat de aanbieder zijn deel deed.

Je rol bepaalt welk deel van de Act je moet lezen. Een bedrijf dat een kant-en-klare AI-tool koopt is meestal deployer; een bedrijf dat een model finetunet en aan klanten levert kan aanbieder worden.

De vier risiconiveaus

De Act deelt AI-toepassingen in vier niveaus in, en je verplichtingen volgen het niveau, niet de hype.

  • Onaanvaardbaar risico (verboden) — toepassingen zoals social scoring of manipulatieve systemen zijn volledig verboden.
  • Hoog risico — AI in gevoelige domeinen zoals werving, krediet- en verzekeringsbeslissingen, kritieke infrastructuur, onderwijs, of als veiligheidscomponent van een product. Dit niveau draagt vanaf 2 augustus 2026 de volledige nalevingslast.
  • Beperkt risico — systemen die met mensen communiceren of content genereren, vooral onderworpen aan transparantieplichten (zie hieronder).
  • Minimaal risico — de grote meerderheid van zakelijke AI (spamfilters, productiviteitshulpjes), zonder specifieke verplichtingen.

Transparantieplichten, ook voor 'beperkt risico'

Veel bedrijven zijn opgelucht dat hun gebruik in het beperkte niveau valt. Toch horen daar regels bij: een chatbot moet duidelijk maken dat iemand met een machine praat, en door AI gegenereerde of gemanipuleerde content — inclusief deepfakes — moet als zodanig worden gelabeld. Ook deze transparantieplichten gaan in de golf van augustus 2026 in. Heb je een klantgerichte assistent, begin daar dan; onze uitleg over wat AI-agents zijn laat zien waar deze systemen op het spectrum staan.

Wie houdt toezicht in Nederland

Nederland kiest voor een decentraal model in plaats van één AI-toezichthouder. De Autoriteit Persoonsgegevens (AP) en de Rijksinspectie Digitale Infrastructuur (RDI) hebben een coördinerende rol, terwijl sectorale toezichthouders AI binnen hun domein bewaken — voor de financiële sector zijn dat de AFM en DNB. Werk je in een gereguleerde sector zoals finance of de zorg, ga er dan van uit dat je bestaande toezichthouder ook je AI-toezichthouder is. Nederlandse autoriteiten bieden daarnaast een regulatory sandbox om naleving te testen; de uitleg op business.gov.nl is een goed startpunt.

Wat hoog-risiconaleving echt inhoudt

Heb je wél een hoog-risicosysteem, dan vraagt de Act om een kwaliteits- en risicomanagementdiscipline die goede engineeringteams herkennen. In de praktijk: een risicomanagementproces over de levenscyclus, datagovernance voor de data waarmee het traint en draait, technische documentatie en logging, betekenisvol menselijk toezicht, en passende nauwkeurigheid, robuustheid en cybersecurity — plus registratie waar vereist. Niets daarvan is exotisch; het is gedisciplineerde, gedocumenteerde engineering. Het gat voor de meeste organisaties is niet kunde maar bewijs: op verzoek kunnen aantonen hoe het systeem is gebouwd en beheerst.

Een praktische checklist

Je hebt geen complianceafdeling nodig om vóór augustus echt vooruit te komen. Werk dit op volgorde af:

  • Inventariseer elk AI-systeem dat je bouwt of gebruikt, inclusief functies die stilletjes aan bestaande tools zijn toegevoegd.
  • Classificeer elk systeem op risiconiveau en op je rol (aanbieder of deployer).
  • Wijs een eigenaar aan per systeem die verantwoordelijk is voor gebruik en toezicht.
  • Breng de data in kaart die elk systeem raakt en stem die af op je AVG-verplichtingen — beide regimes overlappen sterk.
  • Documenteer doel, grenzen en menselijk toezicht voor alles wat hoog-risico is.
  • Doe leveranciersonderzoek op externe AI die je inzet — vraag aanbieders om hun conformiteitsbewijs.
  • Bouw AI-geletterdheid zodat medewerkers de grenzen van AI begrijpen.

Deze inventarisatie-en-classificatie is de stap met de hoogste waarde, want meestal blijkt dat de grote meerderheid van je systemen minimaal of beperkt risico is, zodat je je schaarse inspanning op de paar systemen richt die er echt toe doen.

Hoe je begint zonder de oceaan te koken

De fout is de AI Act als één enorm project te zien. De pragmatische route: eerst inventariseren en classificeren, de transparantiebasis op orde brengen (label je chatbots en gegenereerde content), en dan goed investeren in het kleine aantal hoog-risicosystemen — de datagovernance en het toezicht die ze nodig hebben meteen goed bouwen in plaats van later aanplakken. Dat is dezelfde discipline die AI überhaupt betrouwbaar maakt, en daarom verweven we het in onze AI-implementatie en LLM-optimalisatie in plaats van compliance als bijzaak te behandelen.

Bij Crux Digits, een AI-consultancy en softwarestudio uit Utrecht, doen we een engineering-gedreven readiness-audit die je AI inventariseert, risico en rol classificeert en je een geprioriteerd plan geeft — doorgaans vanaf circa €2.500. Bekijk onze transparante prijzen, of boek een gratis consult en we brengen je risico samen in kaart. (Dit artikel is algemene informatie, geen juridisch advies; raadpleeg voor een bindende uitleg een gekwalificeerd adviseur en de officiële bronnen hierboven.)

Veelgestelde vragen

Wanneer geldt de EU AI Act voor bedrijven?

De AI Act is al van kracht en wordt gefaseerd ingevoerd. De mijlpaal voor de meeste bedrijven is 2 augustus 2026, wanneer de verplichtingen voor hoog-risico-AI en de bijbehorende transparantieplichten gelden en de handhaving begint. Eerdere fases brachten al verboden toepassingen en regels voor general-purpose AI-modellen.

Geldt de AI Act ook voor het mkb?

Ja, maar naar verhouding. Verplichtingen volgen het risico van het gebruik en je rol, niet je omvang. De meeste mkb'ers zijn deployer van beperkt- of minimaal-risico-AI, dus hun hoofdplichten zijn transparantie (bijvoorbeeld chatbots aankondigen) en verstandig toezicht, niet het volledige hoog-risicoregime.

Wat telt als een hoog-risico-AI-systeem?

Hoog-risico zijn toepassingen in gevoelige domeinen zoals werving, krediet- en verzekeringsbeslissingen, kritieke infrastructuur, onderwijs, en AI als veiligheidscomponent van een product. Deze dragen vanaf augustus 2026 de volledige verplichtingen — risicomanagement, datagovernance, documentatie, menselijk toezicht en robuustheid.

Wie houdt in Nederland toezicht op de AI Act?

Nederland gebruikt een decentraal model. De Autoriteit Persoonsgegevens (AP) en de Rijksinspectie Digitale Infrastructuur (RDI) coördineren, terwijl sectorale toezichthouders AI in hun domein bewaken — bijvoorbeeld de AFM en DNB voor de financiële sector. Er is een regulatory sandbox om naleving te testen.

Wat zijn de boetes bij niet-naleving?

De Act kent getrapte maxima. De zwaarste overtredingen — verboden AI gebruiken — kunnen oplopen tot €35 miljoen of 7% van de wereldwijde jaaromzet, afhankelijk van wat hoger is. Andere overtredingen en misleidende informatie kennen lagere maxima. De exacte bedragen hangen van de overtreding af, dus zie dit als plafonds, niet als schattingen.

Iets hiervan toepassen in uw bedrijf?

Wij maken van deze concepten werkende tools — gegrond, veilig en meetbaar. Begin met een gratis consult.

Gratis consult boeken →