EU AI Act naleving voor bedrijven: wat betekent het en wat moet u doen?

De term AI Act naleving duikt steeds vaker op in boardrooms, nieuwsbrieven en overheidsberichten. Maar wat betekent naleving met de EU AI Act - ook wel de AI wet of AI-verordening genoemd - concreet voor een Nederlands bedrijf? En wat onderscheidt een organisatie die voldoet van een die risico loopt op een boete?

Dit artikel legt het uit zonder juridisch vakjargon: wat naleving met de AI wet vereist, welke niveaus er zijn, en welke stappen u vandaag nog kunt zetten.

Wat is EU AI Act naleving?

Naleving met de EU AI Act betekent dat uw organisatie aantoonbaar voldoet aan de verplichtingen die de Europese AI-verordening oplegt aan bedrijven die AI-systemen gebruiken of ontwikkelen. "Aantoonbaar" is het sleutelwoord: u moet niet alleen doen wat de wet vraagt, u moet het ook kunnen bewijzen.

De wet maakt onderscheid tussen twee hoofdrollen:

• Aanbieders (providers): bedrijven die AI-systemen ontwikkelen of op de markt brengen, zoals OpenAI, Microsoft of een Nederlands softwarehuis dat eigen AI bouwt.
• Deployers: bedrijven die bestaande AI-tools inzetten in hun bedrijfsvoering. Dit is de rol van de meeste Nederlandse MKB-bedrijven.

Als deployer heeft u zelfstandige naleving-verplichtingen, ook al gebruikt u uitsluitend tools van grote aanbieders als Microsoft of Google. Die aanbieders regelen hun eigen technische naleving, maar de organisatorische en procesmatige naleving ligt bij u.

De drie naleving-niveaus van de EU AI Act

De wet werkt met een risicogebaseerde aanpak. Hoe hoger het risico van een AI-toepassing, hoe zwaarder de naleving-eisen. Er zijn drie relevante niveaus voor bedrijven:

Wat vereist naleving minimaal van elke deployer?

Ongeacht het risiconiveau van uw AI-tools, gelden er basisverplichtingen voor alle deployers. Dit is de naleving-basis die elk bedrijf moet hebben:

• 1 AI-register (artikel 49): een overzicht van alle AI-systemen die uw organisatie gebruikt, met minimaal: naam van de tool, aanbieder, doel van gebruik, risiconiveau, welke data erin gaat, en wie intern verantwoordelijk is.
• 2 AI-geletterdheid (artikel 4): aantoonbaar bewijs dat medewerkers die met AI werken geïnformeerd zijn over hoe de tool werkt, welke risico's er zijn en wat de interne gebruiksregels zijn. Verplicht vanaf 2 februari 2025.
• 3 Intern AI-beleid: een document dat vastlegt welke AI-tools uw organisatie gebruikt, wie ze mag gebruiken, welke data erin mag en hoe output wordt gecontroleerd. Geen wettelijke minimumlengde, maar het moet er zijn.
• 4 Transparantie naar gebruikers: als uw bedrijf AI inzet in communicatie met klanten of burgers - chatbots, AI-gegenereerde berichten, stemherkenning - moet u dit kenbaar maken.
• 5 Verwerkersovereenkomsten (AVG + AI Act): voor AI-tools waarbij persoonsgegevens worden verwerkt, heeft u een Data Processing Agreement (DPA) nodig met de aanbieder. Dit geldt ook voor naleving met de Algemene Verordening Gegevensbescherming.

Wat maakt naleving voor hoog-risico AI zwaarder?

Gebruikt uw bedrijf AI voor werving en selectie van personeel, kredietbeoordeling of andere hoog-risico toepassingen? Dan gelden er bovenop de basisvereisten extra naleving-eisen die u vóór 2 augustus 2026 moet hebben geregeld:

• Technische documentatie: u moet aantoonbaar begrijpen hoe het AI-systeem werkt, welke trainingsdata is gebruikt en wat de bekende beperkingen zijn. Dit vraagt u op bij uw leverancier.
• Risicobeheersysteem: een gedocumenteerd proces om risico's van het AI-systeem te identificeren, beoordelen en beheersen - ook wel de FRIA (Fundamental Rights Impact Assessment) genoemd.
• Menselijk toezicht: aantoonbaar geborgd in uw processen. AI mag geen finale beslisser zijn zonder menselijke beoordeling.
• Incidentmelding: als een hoog-risico AI-systeem een ernstige storing veroorzaakt of betrokken is bij schade aan een persoon, moet dit worden gemeld bij de toezichthouder.

Hoe bewijs je naleving aan de toezichthouder?

De Autoriteit Persoonsgegevens (AP) is aangewezen als nationale toezichthouder voor de AI Act in Nederland. Als de AP een bedrijf controleert op AI Act naleving, vraagt ze doorgaans:

• Een actueel AI-register met alle ingezette AI-systemen
• Bewijs van AI-geletterdheidsmaatregelen (trainingsmateriaal, aanwezigheidslijsten, e-learning certificaten)
• Het intern AI-beleidsdocument
• Bij hoog-risico: technische documentatie van het AI-systeem en de risicobeoordeling
• Getekende verwerkersovereenkomsten met AI-leveranciers

Naleving is dus in de eerste plaats een documentatievraagstuk. Veel bedrijven doen al grotendeels het goede, maar leggen het niet vast. Zonder vastlegging voldoet u juridisch gezien niet, ook al doet u het feitelijk goed.

Wat zijn de gevolgen van niet-naleving?

De AP kan bij geconstateerde overtredingen van de AI Act de volgende maatregelen nemen:

• Waarschuwingen en hersteltermijnen (meest waarschijnlijk bij een eerste overtreding)
• Boetes tot €15 miljoen of 3% van de wereldwijde jaaromzet bij schending van hoog-risico verplichtingen
• Boetes tot €35 miljoen of 7% bij gebruik van verboden AI-toepassingen
• Tijdelijk verbod op gebruik van het betreffende AI-systeem

De handhaving is in 2026 nog in opbouw, maar de AP heeft al aangegeven actief te gaan handhaven. Vroeg aan de vereisten voldoen is aanzienlijk goedkoper dan achteraf repareren.

Hoe lang duurt het om aan de vereisten te voldoen?

Voor de meeste MKB-bedrijven die alleen beperkt-risico AI gebruiken (ChatGPT, Copilot, CRM-AI), is basisnaleving te bereiken in één tot twee werkdagen:

1. Dag 1 ochtend: doe de gratis naleving check op actcheck.nl en ken uw risiconiveau per tool
2. Dag 1 middag: stel een AI-register op en schrijf een beknopt AI-beleid
3. Dag 2: informeer medewerkers en teken DPA's met uw AI-leveranciers

Voor hoog-risico toepassingen kost het meer werk, typisch twee tot vier weken voor de volledige naleving-documentatie, afhankelijk van hoeveel informatie uw leverancier aanlevert.