AI Act compliance betekent voor de meeste Nederlandse dienstverleners iets anders dan de krantenkoppen suggereren. Je bouwt zelf geen hoog-risico-systeem, dus de zwaarste eisen uit de wet raken je waarschijnlijk niet. Wat wél voor je geldt is concreter en dichterbij: aantoonbare AI-geletterdheid, transparantie over je AI-gebruik, en de AVG die gewoon van kracht blijft.
Welke AI Act-verplichtingen gelden voor jouw bedrijf
Welke AI Act-verplichtingen voor jouw bedrijf gelden, hangt af van wat je met AI doet. Gebruik je ChatGPT, Claude of Microsoft Copilot in je dienstverlening, dan val je vrijwel altijd in de lichtste risicocategorie. Drie dingen zijn dan relevant: AI-geletterdheid van je medewerkers, transparantie richting klanten, en naleving van de AVG zodra er persoonsgegevens in het spel zijn.
De wet deelt AI-systemen in op basis van risico. Sommige toepassingen zijn verboden, zoals social scoring of manipulatief gedrag. Hoog-risico-systemen, denk aan AI voor werving, kredietbeoordeling of medische toepassingen, krijgen strenge eisen.
Daaronder zit de categorie met lichte transparantieplichten, en daar weer onder de toepassingen met minimaal risico. Een accountantskantoor dat AI inzet om concepten te schrijven of data samen te vatten, zit in de praktijk in die onderste lagen en niet bij de zware verplichtingen.
AI-geletterdheid sinds februari 2025
AI-geletterdheid is sinds 2 februari 2025 een wettelijke verplichting onder de AI Act, en daarmee de enige eis die nu al actief geldt voor vrijwel elk bedrijf dat AI gebruikt. Medewerkers die met AI werken moeten aantoonbaar weten hoe de techniek werkt en welke risico’s eraan kleven. Een organisatie die hier nog niets voor heeft geregeld, is formeel al in overtreding.
De wet schrijft geen verplicht certificaat voor, maar artikel 4 eist wel dat je kunt aantonen dat je personeel getraind is. Een gedateerd bewijs per medewerker is de sterkste invulling van die aantoonbaarheid, zeker bij een controle of incident. In de praktijk levert een gerichte AI training voor bedrijven die onderbouwing op, mits je de inhoud afstemt op de tools en processen die je team echt gebruikt.
Transparantie over je AI-gebruik
Transparantie over je AI-gebruik is de tweede verplichting die je direct raakt, want je klanten en gebruikers moeten weten wanneer ze met AI te maken hebben. Een chatbot moet duidelijk maken dat er een AI-assistent antwoordt, en AI-gegenereerde inhoud moet herkenbaar zijn als synthetisch. Het toezicht op deze transparantieplicht uit artikel 50 start op 2 augustus 2026 en is, anders dan veel andere onderdelen, niet uitgesteld.
Welke rol je onder de AI Act hebt
Welke rol je onder de AI Act hebt, bepaalt welke verplichtingen op je van toepassing zijn. Een aanbieder ontwikkelt een AI-systeem of brengt het onder eigen naam op de markt. Een gebruiksverantwoordelijke zet een bestaand systeem in binnen de eigen organisatie.
De meeste kennisintensieve dienstverleners zijn gebruiksverantwoordelijke: je gebruikt ChatGPT of Claude, maar je hebt ze niet gebouwd. Het kantelpunt zit in het inbouwen onder eigen naam.
Bouw je een foundationmodel zoals ChatGPT of Claude in een eigen dienst en bied je die onder je eigen merk aan, bijvoorbeeld een klantenportaal met een ingebouwde AI-assistent, dan schuif je op richting de aanbiedersrol met bijbehorende verplichtingen. Voor een kantoor dat AI puur intern gebruikt om sneller te werken, speelt dat niet. Wie twijfelt waar de grens ligt, beoordeelt dat het beste per toepassing in plaats van voor de hele organisatie in één keer.
De deadlines na het Digital Omnibus-akkoord
De AI Act-deadlines zijn in 2026 ingrijpend verschoven door het Digital Omnibus-akkoord. De wet trad op 1 augustus 2024 in werking en gaat gefaseerd gelden. Sinds 2 februari 2025 zijn de verboden praktijken en de AI-geletterdheidsplicht van kracht, en sinds 2 augustus 2025 gelden de regels voor algemene AI-modellen zoals grote taalmodellen.
De zwaarste verplichtingen, die voor hoog-risico-systemen, zijn opgeschoven. De toepassingen uit bijlage III, zoals AI in werving en selectie of kredietbeoordeling, gaan niet meer in op 2 augustus 2026 maar op 2 december 2027. Hoog-risico-AI die in gereguleerde producten zit, schuift van 2 augustus 2027 naar 2 augustus 2028.
De transparantieplicht uit artikel 50 blijft wel staan op 2 augustus 2026. Dat onderscheid wordt vaak gemist, want niet alles is uitgesteld.
Het Europees Parlement stemde op 16 juni 2026 in met het akkoord, maar de formele vaststelling door de Raad en de publicatie in het Publicatieblad volgen daarna, in de zomer van 2026. Tot die publicatie gelden juridisch nog de oorspronkelijke data. Wie zijn voorbereiding nu stillegt omdat de hoog-risico-deadline opschuift, wedt op een tekst die formeel nog niet bestaat.
De extra tijd is bedoeld om je beter voor te bereiden, niet om af te wachten.
Wat AI Act compliance je organisatie kost
Wat AI Act compliance je organisatie kost, valt voor de meeste dienstverleners mee, omdat je geen dure conformiteitssoftware of certificering nodig hebt. De kosten zitten vooral in tijd: een overzicht maken van de AI-tools die je gebruikt, een interne richtlijn schrijven, transparantiemeldingen inrichten, en je medewerkers trainen.
De grootste kostenpost is meestal niet wat je denkt. Niet de software, maar het in kaart brengen van alle AI die je organisatie gebruikt, inclusief de functies die ongemerkt in bestaande pakketten zitten zoals Copilot in Microsoft 365 of AI in je CRM.
Een gerichte nulmeting brengt dat risicobeeld in kaart voordat je in een volledig traject stapt, zodat je weet waar je staat. Voor het MKB werkt een gefaseerde AI implementatie beter dan een organisatiebreed project, omdat je begint bij één of twee processen in plaats van bij een strategie van honderd pagina’s.
Wat een boete onder de AI Act kan betekenen
Een boete onder de AI Act kan fors oplopen, maar de hoogste bedragen zijn bedoeld voor de zwaarste overtredingen. Verboden AI-praktijken kennen een plafond tot 35 miljoen euro of 7 procent van de wereldwijde jaaromzet. Voor overtredingen rond hoog-risico-systemen en transparantie geldt tot 15 miljoen euro of 3 procent, en voor het verstrekken van onjuiste informatie tot 7,5 miljoen euro of 1 procent.
Voor het MKB en startups gelden lagere, proportionele plafonds. In Nederland is de Autoriteit Persoonsgegevens aangewezen als coördinerend toezichthouder, met sectorale toezichthouders zoals de AFM en DNB voor financiële dienstverlening, de IGJ voor de zorg en de Arbeidsinspectie voor AI op de werkvloer. De handhaving start op 2 augustus 2026.
Voor een gemiddelde dienstverlener is het directere risico vaak niet de AI Act-boete zelf, maar een datalek via een AI-tool die een medewerker zonder afspraken gebruikte, met meldplicht bij de Autoriteit Persoonsgegevens en de reputatieschade die daarbij hoort. De AVG en verantwoord AI-gebruik blijven daarom net zo belangrijk als de AI Act zelf, want het echte risico zit vaak in het dagelijkse gebruik.
De eerste stappen om aan de AI Act te voldoen
De eerste stappen om aan de AI Act te voldoen kosten geen juridisch leger, maar wel discipline. Begin met een AI-register: een overzicht van welke AI-tools je gebruikt, door wie, en waarvoor. Vergeet daarbij de ingebouwde AI in software die je al hebt niet.
Leg vervolgens in een korte AI-richtlijn vast wat wel en niet mag, welke data nooit in een AI-tool gaat, en wie verantwoordelijk is voor de output. Richt daarnaast de transparantiemeldingen in waar je AI naar buiten gebruikt, en zorg voor een vast controlepunt op AI-output voordat die naar een klant gaat.
Het four-eyes-principe uit mijn jaren bij Rabobank, ABN Amro en Van Lanschot vertaal ik in elke implementatie naar AI-controlepunten op MKB-schaal: niet een complete compliance-afdeling, wel een tweede paar ogen op het werk dat onder je eigen naam de deur uit gaat. Het compliance-denken uit de bankensector komt daarbij neer op drie vragen: welke data mag erin, welke claims kun je verantwoorden, en wie is aansprakelijk voor het resultaat.
De laatste stap is de aantoonbare AI-geletterdheid van je team, met een bewijs per medewerker dat aansluit op artikel 4. In gereguleerde sectoren weegt dat extra zwaar, omdat de output direct onder beroepsverantwoordelijkheid valt. Hoe AI binnen die tuchtrechtelijke kaders past, werk je het beste sectorspecifiek uit, zoals voor AI voor advocaten, voordat je het breed uitrolt.
Pas wanneer het hele team na zes tot acht weken volgens dezelfde werkwijze werkt, via een AI implementatie traject, wordt de AI Act onderdeel van hoe je werkt in plaats van een losse nalevingsoefening. Daarmee voldoe je aan artikel 4 en houd je de kwaliteit en aansprakelijkheid van je AI-gebruik beheersbaar. Voor notariskantoren met hun eigen poortwachtersrol legt een AI implementatie notariaat per akte-type vaste controlestappen vast.
