Hoe hoog zijn de boetes onder de AI wet?

De AI wet kent drie boetecategorieën: tot €35 miljoen of 7% van de wereldwijde jaaromzet bij gebruik van verboden AI, tot €15 miljoen of 3% bij schending van hoog-risico verplichtingen, en tot €7,5 miljoen of 1,5% bij onjuiste informatie aan de toezichthouder. Voor MKB zijn de percentages vrijwel altijd relevanter dan de absolute bedragen.

Wie handhaaft de AI wet in Nederland?

De Autoriteit Persoonsgegevens (AP) is aangewezen als nationale markttoezichthouder voor de EU AI wet in Nederland. De AP heeft naast haar AVG-bevoegdheden nu ook de bevoegdheid om AI wet-overtredingen te onderzoeken, waarschuwingen te geven en boetes op te leggen.

Wanneer begint de AP te handhaven op de AI wet?

De AP kan al handhaven op artikel 4 (AI-geletterdheid), dat verplicht was per 2 februari 2025. Handhaving op hoog-risico verplichtingen begint na de deadline van 2 augustus 2026. De AP heeft aangegeven in 2026 prioriteit te geven aan hoog-risico toepassingen in HR, financiën en zorg.

AI wet boetes: welke sancties riskeert u bij niet-naleving van de EU AI Act?, actcheck.nl

De AI wet boetes zijn niet symbolisch. De EU AI Act — officieel EU Verordening 2024/1689, in de volksmond de AI wet — geeft toezichthouders vergaande bevoegdheden om te handhaven. In Nederland is de Autoriteit Persoonsgegevens (AP) aangewezen als toezichthouder, en zij heeft al bewezen bereid te zijn tot stevige handhaving onder de AVG. Wat kunt u verwachten?

Het boetestelsel van de AI wet

De AI wet werkt met drie boetecategorieën, gekoppeld aan de ernst van de overtreding:

Categorie 1 — Verboden AI-toepassingen

€35 miljoen of 7% jaaromzet

Van toepassing op: gebruik van AI voor social scoring door overheden, realtime biometrische surveillance in openbare ruimte, emotieherkenning op de werkvloer of in onderwijs, en AI die mensen manipuleert via onbewuste technieken.

Categorie 2 — Schending hoog-risico verplichtingen

€15 miljoen of 3% jaaromzet

Van toepassing op: het niet bijhouden van verplichte documentatie, geen menselijk toezicht bij hoog-risico AI, ontbreken van risicobeoordeling, of het in gebruik nemen van hoog-risico AI zonder registratie in de EU AI-databank.

Categorie 3 — Onjuiste informatie

€7,5 miljoen of 1,5% jaaromzet

Van toepassing op: het verstrekken van onjuiste, onvolledige of misleidende informatie aan de toezichthouder of notified body.

Wat betekent dit voor een MKB-bedrijf?

De absolute bedragen klinken groot, maar voor MKB zijn de percentages vrijwel altijd de bindende factor. Enkele voorbeelden:

Bedrijf met €500.000 omzet, hoog-risico overtreding

3% van €500.000 = potentiële boete van €15.000. Dat is minder dan een dag externe juridische bijstand bij een incident.

Bedrijf met €2 miljoen omzet, hoog-risico overtreding

3% van €2 miljoen = potentiële boete van €60.000. Aanzienlijk, maar te voorkomen met twee werkdagen basisnaleving.

Bedrijf met €10 miljoen omzet, verboden AI-toepassing

7% van €10 miljoen = potentiële boete van €700.000. Plus reputatieschade en mogelijke media-aandacht.

Wat leidt in de praktijk tot een boete?

De AP handhaaft niet willekeurig. Handhavingstrajecten starten doorgaans op drie manieren:

Klacht van een medewerker of klant die stelt dat AI hun rechten heeft geschonden — de AP is verplicht dit te onderzoeken
Thematisch onderzoek waarbij de AP een sector of toepassing proactief onderzoekt, vergelijkbaar met eerdere AVG-onderzoeken naar datalekken
Incidentmelding — bij hoog-risico AI bent u verplicht ernstige incidenten te melden, wat kan leiden tot vervolgonderzoek

Prioriteiten van de AP in 2026: De AP heeft aangegeven zich te richten op hoog-risico toepassingen in HR en recruitment, financiële dienstverlening en de zorgsector. Bedrijven in deze sectoren lopen het grootste risico op een proactief onderzoek.

Hoe verloopt handhaving stap voor stap?

Op basis van de AI wet en de handhavingspraktijk van de AP bij de AVG verloopt een traject doorgaans zo:

Informatieverzoek: de AP stuurt een schriftelijk verzoek om documentatie. U heeft doorgaans twee tot vier weken om te reageren.
Beoordeling: de AP beoordeelt of uw documentatie compleet en actueel is. Ontbrekende documenten zijn een direct risico.
Mogelijke waarschuwing: bij een eerste overtreding en aantoonbare goede wil geeft de AP vaak een waarschuwing met hersteltermijn.
Boete of last onder dwangsom: als herstel uitblijft of de overtreding ernstig is, volgt een sanctie.

Hoe voorkomt u AI wet boetes?

Basisnaleving is voor de meeste MKB-bedrijven in één tot twee werkdagen te regelen. De vijf maatregelen die de meeste boeterisico's wegnemen:

AI-register bijhouden — bewijs dat u weet welke tools u gebruikt
Intern AI beleid opstellen — bewijs van bewust beleid
Medewerkers informeren (artikel 4) — al verplicht, meest over het hoofd gezien
Verwerkersovereenkomsten tekenen — eenvoudig aantoonbaar gebrek anders
Alles documenteren en dateren — zonder datum heeft u geen bewijs van tijdige actie

Artikel 4 is al van kracht — u kunt nu al beboet worden

AI-geletterdheid (medewerkers informeren over AI-gebruik) was verplicht per 2 februari 2025. Als u dit nog niet heeft gedocumenteerd, bent u al in overtreding. Dit is het laaghangende fruit voor de AP: eenvoudig vast te stellen, eenvoudig te herstellen — maar als u niets heeft gedaan, staat u meteen met lege handen bij een controle.

Controleer uw boeterisico gratis

De gratis checker analyseert uw AI-tools, bepaalt uw risiconiveau en toont welke compliance-documenten u nog mist. In 10 minuten weet u of u risico loopt op een AI wet boete.

Start de gratis check

AI wet boetes: welke sancties riskeert u bij niet-naleving?

Het boetestelsel van de AI wet

Categorie 1 — Verboden AI-toepassingen

Categorie 2 — Schending hoog-risico verplichtingen

Categorie 3 — Onjuiste informatie

Wat betekent dit voor een MKB-bedrijf?

Wat leidt in de praktijk tot een boete?

Hoe verloopt handhaving stap voor stap?

Hoe voorkomt u AI wet boetes?

Controleer uw boeterisico gratis

Meer lezen

AI Act naleving en de toezichthouder: wat controleert de AP?

AI Act compliance checklist: 8 punten die elk bedrijf moet afvinken