Naleving Checklist 30 april 2026 7 min lezen

AI Act naleving checklist: 8 punten die elk bedrijf moet afvinken

AI Act naleving checklist - ActCheck EU AI Act gids

Gebruik deze naleving checklist om te controleren of uw bedrijf klaar is voor de EU AI Act. Per punt staat aangegeven of het al verplicht is of voor de deadline van 2 augustus 2026 geregeld moet zijn.

De EU AI Act - in de volksmond ook wel de AI wet - heeft meerdere deadlines, en niet elk naleving-punt heeft dezelfde urgentie. Deze checklist geeft u per punt de status, zodat u kunt prioriteren. De checklist geldt voor elke organisatie die AI-tools inzet, ongeacht sector of omvang.

Artikel 4 is al van kracht

AI-geletterdheid (punt 2 in deze checklist) is verplicht sinds 2 februari 2025. Als u dit nog niet heeft geregeld, bent u nu al in overtreding. De overige punten gelden per 2 augustus 2026.

De AI Act naleving checklist

  1. 1
    Inventariseer alle AI-tools in uw organisatie Nu starten

    Maak een volledige lijst van alle AI-systemen die uw bedrijf gebruikt. Denk verder dan ChatGPT: ook AI in uw CRM, boekhoudpakket, e-mailmarketing, HR-software, Microsoft Copilot en website-chatbots vallen onder de AI Act. Gebruik de gratis check op actcheck.nl als startpunt.

  2. 2
    Zorg voor AI-geletterdheid bij medewerkers (artikel 4) Verplicht sinds feb 2025

    Alle medewerkers die AI-tools gebruiken moeten aantoonbaar geïnformeerd zijn over hoe de tool werkt, welke risico's er zijn en wat de interne gebruiksregels zijn. Een e-mail, teambespreking, e-learning of intern document volstaat, mits u de deelname documenteert. Zonder bewijs voldoet u niet.

  3. 3
    Stel een AI-register op Voor 2 aug 2026

    Het AI-register bevat per tool minimaal: naam en aanbieder, doel van gebruik, risiconiveau (minimaal / beperkt / hoog), welke data erin gaat (anoniem / persoonsgegevens / vertrouwelijk), en wie intern verantwoordelijk is. Een spreadsheet of Word-document volstaat, zolang het actueel is.

  4. 4
    Stel een intern AI-beleid op Voor 2 aug 2026

    Het AI-beleid beschrijft hoe uw organisatie omgaat met AI: wie mag welke tools gebruiken, welke data mag erin, hoe u de output controleert, en wat de escalatieprocedure is bij een incident. Een eenpager per tool of een A4-document voor de hele organisatie is voor de meeste MKB-bedrijven voldoende.

  5. 5
    Teken verwerkersovereenkomsten (DPA's) Voor 2 aug 2026

    Voor elke AI-tool waarbij persoonsgegevens worden verwerkt, heeft u een Data Processing Agreement nodig met de aanbieder. OpenAI, Microsoft, Google en de meeste grote aanbieders bieden DPA's aan via hun zakelijke accounts. Controleer of u deze heeft getekend - en upgrade eventueel van een gratis naar een zakelijk account.

  6. 6
    Stel transparantie in richting klanten en gebruikers Voor 2 aug 2026

    Als uw bedrijf AI inzet in communicatie met klanten - een chatbot op uw website, AI-gegenereerde e-mails, geautomatiseerde telefoongesprekken - moet u dit kenbaar maken. Een vermelding in uw privacybeleid, een footer-melding of een label op de chatbot is voldoende. Nooit AI voordoen als mens: dat is verboden.

  7. 7
    Beoordeel of u hoog-risico AI gebruikt Voor 2 aug 2026

    Controleer of uw AI-tools vallen in een hoog-risico categorie: HR en recruitment, kredietbeoordeling, medische ondersteuning, toegangsbeheer tot diensten. Als u hoog-risico AI gebruikt, gelden extra naleving-eisen: technische documentatie, risicobeoordeling, menselijk toezicht en eventueel registratie in de EU AI-databank.

  8. 8
    Zorg voor doorlopend naleving-beheer Doorlopend

    Naleving is geen eenmalige actie. Wanneer uw organisatie een nieuwe AI-tool in gebruik neemt, moet u het register bijwerken, het beleid aanpassen en medewerkers informeren. Wijs een verantwoordelijke aan die periodiek (minimaal jaarlijks) de naleving status controleert.

Hoe lang duurt het om deze checklist af te ronden?

Voor een MKB-bedrijf dat uitsluitend beperkt-risico AI gebruikt (ChatGPT, Copilot, standaard CRM-AI), kost het afvinken van de volledige naleving checklist één tot twee werkdagen. De grootste tijdsinvestering zit in het opstellen van het AI-beleid en het verzamelen van getekende DPA's.

Voor bedrijven met hoog-risico AI-toepassingen, zoals recruitmentbureaus met AI-gestuurde ATS-systemen of financiële dienstverleners met geautomatiseerde kredietbeoordeling, is twee tot vier weken realistischer. De reden: technische documentatie moet worden aangevraagd bij uw AI-leverancier, en dat duurt soms één tot twee weken.

Tip: Begin met punt 1 (inventarisatie) via de gratis checker op actcheck.nl. U krijgt direct een overzicht van uw tools, hun risiconiveau en een geprioriteerde actielijst. Dit bespaart u de inventarisatiestap en geeft u direct de naleving-input die u nodig heeft voor punt 3 (het AI-register).

Wat als u al gedeeltelijk voldoet?

Veel bedrijven hebben al informeel stappen gezet: een DPA getekend hier, een intern document geschreven daar. De valkuil is dat naleving-bewijs versnipperd is over e-mails, chats en persoonlijke mappen. Voor de toezichthouder telt wat u kunt laten zien, niet wat er ergens in het systeem verstopt zit.

Gebruik deze naleving checklist als gelegenheid om bestaande documenten samen te brengen in een toegankelijke map, zodat u bij een eventuele audit in vijf minuten kunt aantonen dat uw organisatie voldoet.

Start met uw naleving check

De gratis checker geeft u in 10 minuten een persoonlijke naleving score, risiconiveau per tool en een concrete actielijst. De perfecte aanvulling op deze checklist.

Start de gratis naleving check

Meer lezen

AI Act Naleving

EU AI Act naleving voor bedrijven: wat betekent het en wat moet u doen?
AI Register

AI-register opstellen voor de EU AI Act: stappenplan met voorbeeldtabel
AI Beleid

AI beleid opstellen: template en stappenplan voor de EU AI wet

Volledige kennisbank: alle artikelen

Wetsartikelen
Artikel 2: reikwijdte Artikel 3: definities Artikel 4: AI-geletterdheid Artikel 5: verboden AI Artikel 6: classificatie Artikel 9: risicobeheer Artikel 10: data governance Artikel 14: menselijk toezicht Artikel 26: deployers Artikel 27: FRIA Artikel 50: transparantie Artikel 57: sandbox Artikel 73: incidenten Artikel 86: recht op uitleg GPAI & foundation models GPAI Code of Practice
Verboden AI
Verbod emotieherkenning Verbod social scoring Verbod gezichtsherkenning
Sectoren
MKB ZZP Startups & scale-ups MKB vereenvoudigde docs Recruitment HR & personeelsbeleid Financiele sector Verzekeringen Accountancy Advocaten Zorg Onderwijs Gemeenten & overheid Publieke aanbesteding Marketing Media & uitgevers Retail & e-commerce Logistiek & transport Productie & industrie Bouw Vastgoed & makelaars IT-dienstverleners Callcenter & klantcontact Camera & CCTV
AI-tools
ChatGPT Claude (Anthropic) Microsoft Copilot Google Gemini DeepSeek Perplexity Midjourney & DALL-E ElevenLabs & stem-AI Notion AI Open source AI Generatieve AI op werkvloer AI agents
Naleving & governance
EU AI Act naleving Naleving & toezichthouder Deadlines 2026 AI Act vs AVG AI Act vs NIS2 AI Act vs VS Extraterritorialiteit AI wet boetes High-risk AI systemen AI-register opstellen AI beleid opstellen Conformiteitsbeoordeling ISO 42001 Bias & discriminatie Kosten naleving DPIA + FRIA combineren Audit voorbereiden Vendor due diligence
Actualiteit & Nederland
Digital Omnibus uitstel Uitvoeringswet NL NL toezichthouders Algoritmeregister NL EU AI Office