Compliance Checklist 30 april 2026 7 min lezen

AI Act compliance checklist: 8 punten die elk bedrijf moet afvinken

Gebruik deze compliance checklist om te controleren of uw bedrijf klaar is voor de EU AI Act. Per punt staat aangegeven of het al verplicht is of voor de deadline van 2 augustus 2026 geregeld moet zijn.

De EU AI Act — in de volksmond ook wel de AI wet — heeft meerdere deadlines, en niet elk compliance-punt heeft dezelfde urgentie. Deze checklist geeft u per punt de status, zodat u kunt prioriteren. De checklist geldt voor elke organisatie die AI-tools inzet, ongeacht sector of omvang.

Artikel 4 is al van kracht

AI-geletterdheid (punt 2 in deze checklist) is verplicht sinds 2 februari 2025. Als u dit nog niet heeft geregeld, bent u nu al in overtreding. De overige punten gelden per 2 augustus 2026.

De AI Act compliance checklist

  1. 1
    Inventariseer alle AI-tools in uw organisatie Nu starten

    Maak een volledige lijst van alle AI-systemen die uw bedrijf gebruikt. Denk verder dan ChatGPT: ook AI in uw CRM, boekhoudpakket, e-mailmarketing, HR-software, Microsoft Copilot en website-chatbots vallen onder de AI Act. Gebruik de gratis check op actcheck.nl als startpunt.

  2. 2
    Zorg voor AI-geletterdheid bij medewerkers (artikel 4) Verplicht sinds feb 2025

    Alle medewerkers die AI-tools gebruiken moeten aantoonbaar geïnformeerd zijn over hoe de tool werkt, welke risico's er zijn en wat de interne gebruiksregels zijn. Een e-mail, teambespreking, e-learning of intern document volstaat, mits u de deelname documenteert. Zonder bewijs bent u niet compliant.

  3. 3
    Stel een AI-register op Voor 2 aug 2026

    Het AI-register bevat per tool minimaal: naam en aanbieder, doel van gebruik, risiconiveau (minimaal / beperkt / hoog), welke data erin gaat (anoniem / persoonsgegevens / vertrouwelijk), en wie intern verantwoordelijk is. Een spreadsheet of Word-document volstaat, zolang het actueel is.

  4. 4
    Stel een intern AI-beleid op Voor 2 aug 2026

    Het AI-beleid beschrijft hoe uw organisatie omgaat met AI: wie mag welke tools gebruiken, welke data mag erin, hoe u de output controleert, en wat de escalatieprocedure is bij een incident. Een eenpager per tool of een A4-document voor de hele organisatie is voor de meeste MKB-bedrijven voldoende.

  5. 5
    Teken verwerkersovereenkomsten (DPA's) Voor 2 aug 2026

    Voor elke AI-tool waarbij persoonsgegevens worden verwerkt, heeft u een Data Processing Agreement nodig met de aanbieder. OpenAI, Microsoft, Google en de meeste grote aanbieders bieden DPA's aan via hun zakelijke accounts. Controleer of u deze heeft getekend — en upgrade eventueel van een gratis naar een zakelijk account.

  6. 6
    Stel transparantie in richting klanten en gebruikers Voor 2 aug 2026

    Als uw bedrijf AI inzet in communicatie met klanten — een chatbot op uw website, AI-gegenereerde e-mails, geautomatiseerde telefoongesprekken — moet u dit kenbaar maken. Een vermelding in uw privacybeleid, een footer-melding of een label op de chatbot is voldoende. Nooit AI voordoen als mens: dat is verboden.

  7. 7
    Beoordeel of u hoog-risico AI gebruikt Voor 2 aug 2026

    Controleer of uw AI-tools vallen in een hoog-risico categorie: HR en recruitment, kredietbeoordeling, medische ondersteuning, toegangsbeheer tot diensten. Als u hoog-risico AI gebruikt, gelden extra compliance-eisen: technische documentatie, risicobeoordeling, menselijk toezicht en eventueel registratie in de EU AI-databank.

  8. 8
    Zorg voor doorlopend compliance-beheer Doorlopend

    Compliance is geen eenmalige actie. Wanneer uw organisatie een nieuwe AI-tool in gebruik neemt, moet u het register bijwerken, het beleid aanpassen en medewerkers informeren. Wijs een verantwoordelijke aan die periodiek (minimaal jaarlijks) de compliance status controleert.

Hoe lang duurt het om deze checklist af te ronden?

Voor een MKB-bedrijf dat uitsluitend beperkt-risico AI gebruikt (ChatGPT, Copilot, standaard CRM-AI), kost het afvinken van de volledige compliance checklist één tot twee werkdagen. De grootste tijdsinvestering zit in het opstellen van het AI-beleid en het verzamelen van getekende DPA's.

Voor bedrijven met hoog-risico AI-toepassingen, zoals recruitmentbureaus met AI-gestuurde ATS-systemen of financiële dienstverleners met geautomatiseerde kredietbeoordeling, is twee tot vier weken realistischer. De reden: technische documentatie moet worden aangevraagd bij uw AI-leverancier, en dat duurt soms één tot twee weken.

Tip: Begin met punt 1 (inventarisatie) via de gratis checker op actcheck.nl. U krijgt direct een overzicht van uw tools, hun risiconiveau en een geprioriteerde actielijst. Dit bespaart u de inventarisatiestap en geeft u direct de compliance-input die u nodig heeft voor punt 3 (het AI-register).

Wat als u al gedeeltelijk compliant bent?

Veel bedrijven hebben al informeel stappen gezet: een DPA getekend hier, een intern document geschreven daar. De valkuil is dat compliance-bewijs versnipperd is over e-mails, chats en persoonlijke mappen. Voor de toezichthouder telt wat u kunt laten zien, niet wat er ergens in het systeem verstopt zit.

Gebruik deze compliance checklist als gelegenheid om bestaande documenten samen te brengen in een toegankelijke map, zodat u bij een eventuele audit in vijf minuten kunt aantonen dat uw organisatie compliant is.

Start met uw compliance check

De gratis checker geeft u in 10 minuten een persoonlijke compliance score, risiconiveau per tool en een concrete actielijst. De perfecte aanvulling op deze checklist.

Start de gratis compliance check

Meer lezen

AI Act Compliance

EU AI Act compliance voor bedrijven: wat betekent het en wat moet u doen?
Naleving & Handhaving

AI Act naleving en de toezichthouder: wat controleert de AP?