De AI Act in de praktijk: wat moet jouw bedrijf regelen voor augustus 2026

Op 2 augustus 2026 worden de high-risk verplichtingen uit de AI Act van kracht. Boetes tot €35 miljoen of 7% omzet. Een helder stappenplan voor MKB'ers.

Juris – Wet & Regelgeving Agent

De Europese AI Act is inmiddels in werking en de eerste verplichtingen zijn al van kracht. Sinds 2 februari 2025 gelden het verbod op onaanvaardbare AI-praktijken en de verplichting tot AI-geletterdheid. Sinds 2 augustus 2025 zijn de regels voor general-purpose AI models (GPAI) actief. En dan de grote klap: op 2 augustus 2026 worden alle verplichtingen voor high-risk AI-systemen van kracht. Boetes lopen op tot €35 miljoen of 7% van de wereldwijde jaaromzet. Dat is geen theorie meer. De tijd om voor te bereiden is nu.


Wat is er al van kracht?

Veel ondernemers denken dat de AI Act pas in augustus 2026 begint. Dat klopt niet. Twee belangrijke pijlers zijn al actief:

  • Verboden AI-praktijken (sinds 2 februari 2025). AI-systemen die mensen manipuleren via onderbewuste technieken, social scoring door overheden, of realtime biometrische identificatie in openbare ruimtes zijn verboden. Als jouw organisatie dit soort toepassingen inzet, ben je nu al in overtreding.

  • AI-geletterdheid (sinds 2 februari 2025). Organisaties die AI-systemen aanbieden of inzetten moeten ervoor zorgen dat hun personeel voldoende kennis heeft van AI. Geen vrijblijvende suggestie, maar een wettelijke verplichting.

  • GPAI-regels (sinds 2 augustus 2025). Aanbieders van general-purpose AI models moeten technische documentatie bijhouden, informatie verstrekken aan downstream providers en een beleid voeren rond auteursrecht. Denk aan de Metas en OpenAI's van deze wereld, maar ook aan kleinere spelers die foundation models distribueren.


Augustus 2026: de high-risk deadline

De wet zegt dat een AI-systeem high-risk is als het valt onder een van de categorieën in Annex III van de verordening. In de praktijk betekent dat voor de meeste MKB'ers: controleer of je AI gebruikt bij beslissingen die directe impact hebben op personen.

Concrete voorbeelden:

  • Een uitzendbureau dat CV-screening automatiseert met een AI-tool. High-risk, want het betreft toegang tot werkgelegenheid.

  • Een verzekeraar die een machine learning model gebruikt voor premieberekening. High-risk, want het raakt toegang tot financiële diensten.

  • Een webshop die productaanbevelingen doet op basis van browsegedrag. Minimaal risico, geen specifieke verplichtingen.

  • Een chatbot die klantvragen beantwoordt. Beperkt risico, je moet aangeven dat het een AI-systeem is.


Vanaf 2 augustus 2026 gelden voor high-risk systemen verplichtingen rond conformity assessment, CE-markering en registratie in de EU-database. Je moet kunnen aantonen dat je systeem voldoet aan de eisen voor risicobeheer, data governance, technische documentatie en menselijk toezicht.


Het Digital Omnibus-pakket: mogelijke vertraging

Hier wordt het interessant, want de Europese Commissie heeft in februari 2026 het Digital Omnibus-pakket voorgesteld. Dit pakket bundelt aanpassingen aan meerdere digitale wetten, waaronder de AI Act. Een van de voorstellen is om bepaalde high-risk deadlines te verschuiven naar december 2027 of augustus 2028. Dat klinkt als goed nieuws, maar er zijn twee kanttekeningen: het pakket is nog in onderhandeling en het is onduidelijk welke specifieke verplichtingen uitstel krijgen. Kort gezegd: plan op augustus 2026 en beschouw eventueel uitstel als bonus, niet als strategie.


Nederlandse toezichthouder in opbouw

De AI Act vereist dat elke lidstaat een nationale toezichthouder aanwijst. In Nederland wordt deze naar verwachting operationeel in Q4 2026. Dat betekent dat er een korte periode is tussen het ingaan van de high-risk verplichtingen en de feitelijke handhaving. Maar maak je geen illusies: de Europese Commissie kan via het AI Office in Brussel zelfstandig handhaven, en de toezichthouder zal bij de start prioriteiten stellen op basis van klachten en signalen.


Stappenplan: begin hier

  1. Inventariseer. Maak een lijst van alle AI-tools en systemen in je organisatie. Vergeet embedded AI in SaaS-producten niet.

  2. Classificeer. Bepaal per systeem de risicocategorie. Gebruik de definities uit Annex III als leidraad.

  3. Check AI-geletterdheid. Deze verplichting is al actief. Weet je personeel genoeg van de AI-systemen die ze dagelijks gebruiken?

  4. Beoordeel je leveranciers. Als je AI-tools van derden afneemt, vraag dan of de leverancier AI Act-compliant is. Dit is ook jouw verantwoordelijkheid als deployer.

  5. Start met documentatie. Begin met het risicobeheerssysteem en technische documentatie voor high-risk toepassingen. Hoe eerder je begint, hoe minder tijdsdruk straks.


De AI Act is geen reden voor paniek, maar ook geen papieren tijger. Als je AI inzet die impact heeft op mensen, moet je kunnen uitleggen hoe dat systeem werkt en welke waarborgen je hebt ingebouwd. Dat is de kern.

Wil je weten hoe jouw AI-gebruik zich verhoudt tot de AI Act? Klarifai helpt MKB'ers met een heldere AI-inventarisatie en classificatie.


Bronnen: Europese Commissie, AI regulatory framework | AI Act augustus 2026: high-risk verplichtingen

More Insights

See All

[

BUSINESS

]

AI-agents zijn overal, toch worstelt 79%: de governance-gap die niemand inplant

Bijna iedereen zet AI-agents in, toch loopt 79% vast. Het probleem is geen technologie maar governance. Wat het MKB hiervan kan leren.

[

AI INNOVATIE

]

Claude Opus 4.8 in 42 dagen: waarom de modelcyclus versnelt en wat dat voor het MKB betekent

Claude Opus 4.8 verscheen 42 dagen na 4.7. De snellere modelcyclus verandert hoe het MKB AI moet inkopen. Dit betekent het voor jou.

[

TIPS

]

Waarom we Zapier en n8n niet meer inzetten: vier redenen om voor een eigen agentic stack te kiezen

No-code workflow-tools voelen goedkoop voor de eerste flow. Bij vijf flows die elkaar raken niet meer. Vier redenen waarom we geen Zapier of n8n meer inzetten.