Op 2 augustus 2026 wordt het grootste deel van de EU AI Act volledig afdwingbaar. Vanaf die datum moeten hoog-risico AI-systemen in Nederland aantoonbaar voldoen aan strikte eisen rond documentatie, transparantie, menselijk toezicht en risicobeheer. Toch geeft 82% van het Nederlandse MKB aan nog niet voorbereid te zijn (EY, 2025). In dit artikel leest u welke EU AI Act verplichtingen precies gelden en welke concrete stappen u nu moet zetten.
1. Waarom is 2 augustus 2026 zo belangrijk?
De EU AI Act trad in werking op 1 augustus 2024 en wordt gefaseerd ingevoerd. Vanaf 2 augustus 2026 moeten alle hoog-risico AI-systemen volledig compliant zijn, gelden de transparantieverplichtingen voor chatbots en generatieve AI, en starten Nederlandse toezichthouders met handhaving.
De boetes liegen er niet om: tot €35 miljoen of 7% van uw wereldwijde jaaromzet bij verboden AI-praktijken, en tot €15 miljoen of 3% bij overtredingen rond hoog-risico systemen. Voor MKB en startups gelden lagere plafonds, maar de impact blijft fors.
2. Welke AI-systemen vallen onder hoog risico?
Niet elk AI-systeem valt onder de strengste regels. Hoog-risico AI-systemen onder de EU AI Act zijn systemen die gebruikt worden voor kredietscoring, CV-screening en HR-selectie, biometrische identificatie, beslissingen over sociale uitkeringen, AI in kritieke infrastructuur (energie, transport), medische hulpmiddelen en AI in rechtshandhaving of rechtspraak.
Werkt uw organisatie met een van deze toepassingen? Dan gelden voor u de volledige EU AI Act compliance-verplichtingen vóór de deadline.
3. Wat moet u concreet geregeld hebben vóór augustus 2026?
Voor elk hoog-risico AI-systeem
- Risicobeheersysteem (art. 9): documenteer hoe u risico's identificeert, beoordeelt en mitigeert gedurende de hele levenscyclus.
- Technische documentatie (art. 11): uitgebreide dossiers per AI-systeem, klaar voor inspectie.
- Automatische logging (art. 12): audit trail van systeemactiviteit voor traceerbaarheid.
- Transparantie naar gebruikers (art. 13): duidelijke informatie over werking en grenzen.
- Menselijk toezicht (art. 14): aantoonbare override-mogelijkheid door een mens.
- Nauwkeurigheid en robuustheid (art. 15): getoetst op betrouwbaarheid en cyberveiligheid.
- Conformiteitsbeoordeling (art. 43): intern of extern, vóór marktintroductie.
- EU-database registratie (art. 51): uw systeem opnemen in de centrale EU-database.
Voor uw hele organisatie
- AI-geletterdheid (art. 4): deze verplichting geldt al sinds 2 februari 2025. Alle medewerkers die met AI werken moeten 'passende AI-geletterdheid' hebben.
- AI-register: centraal overzicht van alle AI-systemen in uw organisatie, inclusief Shadow AI.
- DPIA's herzien: AVG-beoordelingen bijwerken met EU AI Act-risico's.
- Leverancierscontracten controleren: AI Act-clausules opnemen in contracten met SaaS-aanbieders.
4. Hoe begint u? — een praktische aanpak in 5 stappen
Een EU AI Act compliance-traject voor het MKB bestaat uit vijf stappen: (1) inventariseer alle AI-systemen die uw organisatie gebruikt of inkoopt, inclusief Shadow AI. (2) Classificeer elk systeem volgens de vier risicoklassen van de EU AI Act. (3) Voer een gedetailleerde risicobeoordeling uit op alle hoog-risico systemen. (4) Stel een geprioriteerd actieplan op met deadlines en eigenaren. (5) Implementeer doorlopend governance via een AI-register en periodieke review.
5. Wat als u nu nog niets heeft gedaan?
Geen paniek — maar wacht ook niet langer. De ervaring leert dat een volledige AI Use Case Inventory en risk assessment voor een middelgroot bedrijf 4 tot 6 weken doorlooptijd vraagt. Voor de implementatie van de prioritaire compliance-acties moet u rekenen op nog eens 2 tot 4 maanden. Dit betekent: start uiterlijk in mei 2026 om de deadline van 2 augustus 2026 te halen.
"De grootste fout die organisaties maken is denken dat de EU AI Act alleen voor techbedrijven geldt. Elk bedrijf dat een chatbot gebruikt, CV's screent of klanten beoordeelt, valt eronder."
6. Wat verwacht de Nederlandse toezichthouder?
De Nederlandse AI Act uitvoeringswet ligt sinds 20 april 2026 ter internetconsultatie. Het kabinet kiest voor een verdeeld toezichtmodel waarbij bestaande toezichthouders zoals DNB, AFM, AP, RDI en IGJ verantwoordelijk worden voor AI-toezicht binnen hun eigen domein. Voor financiële instellingen betekent dit dat DNB en AFM de primaire toezichthouders worden voor AI compliance financiële sector.
Conclusie
De EU AI Act deadline van augustus 2026 is dichterbij dan u denkt. Inventariseren, classificeren en documenteren kost tijd — en de meeste organisaties onderschatten dat. Begin nu met een eerste inventarisatie en een risicobeoordeling, zodat u in juli 2026 niet voor verrassingen komt te staan.
