EU AI Act compliance voor bedrijven: wat betekent het en wat moet u doen?

De term AI Act compliance duikt steeds vaker op in boardrooms, nieuwsbrieven en overheidsberichten. Maar wat betekent compliance met de EU AI Act — ook wel de AI wet of AI-verordening genoemd — concreet voor een Nederlands bedrijf? En wat onderscheidt een compliant organisatie van een die risico loopt op een boete?

Dit artikel legt het uit zonder juridisch vakjargon: wat compliance met de AI wet vereist, welke niveaus er zijn, en welke stappen u vandaag nog kunt zetten.

Wat is EU AI Act compliance?

Compliance met de EU AI Act betekent dat uw organisatie aantoonbaar voldoet aan de verplichtingen die de Europese AI-verordening oplegt aan bedrijven die AI-systemen gebruiken of ontwikkelen. "Aantoonbaar" is het sleutelwoord: u moet niet alleen doen wat de wet vraagt, u moet het ook kunnen bewijzen.

De wet maakt onderscheid tussen twee hoofdrollen:

• Aanbieders (providers): bedrijven die AI-systemen ontwikkelen of op de markt brengen, zoals OpenAI, Microsoft of een Nederlands softwarehuis dat eigen AI bouwt.
• Deployers: bedrijven die bestaande AI-tools inzetten in hun bedrijfsvoering. Dit is de rol van de meeste Nederlandse MKB-bedrijven.

Als deployer heeft u zelfstandige compliance-verplichtingen, ook al gebruikt u uitsluitend tools van grote aanbieders als Microsoft of Google. Die aanbieders regelen hun eigen technische compliance, maar de organisatorische en procesmatige compliance ligt bij u.

De drie compliance-niveaus van de EU AI Act

De wet werkt met een risicogebaseerde aanpak. Hoe hoger het risico van een AI-toepassing, hoe zwaarder de compliance-eisen. Er zijn drie relevante niveaus voor bedrijven:

Wat vereist compliance minimaal van elke deployer?

Ongeacht het risiconiveau van uw AI-tools, gelden er basisverplichtingen voor alle deployers. Dit is de compliance-basis die elk bedrijf moet hebben:

• 1 AI-register (artikel 49): een overzicht van alle AI-systemen die uw organisatie gebruikt, met minimaal: naam van de tool, aanbieder, doel van gebruik, risiconiveau, welke data erin gaat, en wie intern verantwoordelijk is.
• 2 AI-geletterdheid (artikel 4): aantoonbaar bewijs dat medewerkers die met AI werken geïnformeerd zijn over hoe de tool werkt, welke risico's er zijn en wat de interne gebruiksregels zijn. Verplicht vanaf 2 februari 2025.
• 3 Intern AI-beleid: een document dat vastlegt welke AI-tools uw organisatie gebruikt, wie ze mag gebruiken, welke data erin mag en hoe output wordt gecontroleerd. Geen wettelijke minimumlengde, maar het moet er zijn.
• 4 Transparantie naar gebruikers: als uw bedrijf AI inzet in communicatie met klanten of burgers — chatbots, AI-gegenereerde berichten, stemherkenning — moet u dit kenbaar maken.
• 5 Verwerkersovereenkomsten (AVG + AI Act): voor AI-tools waarbij persoonsgegevens worden verwerkt, heeft u een Data Processing Agreement (DPA) nodig met de aanbieder. Dit geldt ook voor compliance met de Algemene Verordening Gegevensbescherming.

Wat maakt compliance voor hoog-risico AI zwaarder?

Gebruikt uw bedrijf AI voor werving en selectie van personeel, kredietbeoordeling of andere hoog-risico toepassingen? Dan gelden er bovenop de basisvereisten extra compliance-eisen die u vóór 2 augustus 2026 moet hebben geregeld:

• Technische documentatie: u moet aantoonbaar begrijpen hoe het AI-systeem werkt, welke trainingsdata is gebruikt en wat de bekende beperkingen zijn. Dit vraagt u op bij uw leverancier.
• Risicobeheersysteem: een gedocumenteerd proces om risico's van het AI-systeem te identificeren, beoordelen en beheersen — ook wel de FRIA (Fundamental Rights Impact Assessment) genoemd.
• Menselijk toezicht: aantoonbaar geborgd in uw processen. AI mag geen finale beslisser zijn zonder menselijke beoordeling.
• Incidentmelding: als een hoog-risico AI-systeem een ernstige storing veroorzaakt of betrokken is bij schade aan een persoon, moet dit worden gemeld bij de toezichthouder.

Hoe bewijs je compliance aan de toezichthouder?

De Autoriteit Persoonsgegevens (AP) is aangewezen als nationale toezichthouder voor de AI Act in Nederland. Als de AP een bedrijf controleert op AI Act compliance, vraagt ze doorgaans:

• Een actueel AI-register met alle ingezette AI-systemen
• Bewijs van AI-geletterdheidsmaatregelen (trainingsmateriaal, aanwezigheidslijsten, e-learning certificaten)
• Het intern AI-beleidsdocument
• Bij hoog-risico: technische documentatie van het AI-systeem en de risicobeoordeling
• Getekende verwerkersovereenkomsten met AI-leveranciers

Compliance is dus in de eerste plaats een documentatievraagstuk. Veel bedrijven doen al grotendeels het goede, maar leggen het niet vast. Zonder vastlegging bent u juridisch gezien niet compliant, ook al doet u het feitelijk goed.

Wat zijn de gevolgen van niet-compliance?

De AP kan bij geconstateerde overtredingen van de AI Act de volgende maatregelen nemen:

• Waarschuwingen en hersteltermijnen (meest waarschijnlijk bij een eerste overtreding)
• Boetes tot €15 miljoen of 3% van de wereldwijde jaaromzet bij schending van hoog-risico verplichtingen
• Boetes tot €35 miljoen of 7% bij gebruik van verboden AI-toepassingen
• Tijdelijk verbod op gebruik van het betreffende AI-systeem

De handhaving is in 2026 nog in opbouw, maar de AP heeft al aangegeven actief te gaan handhaven. Vroeg compliant worden is aanzienlijk goedkoper dan achteraf repareren.

Hoe lang duurt het om compliant te worden?

Voor de meeste MKB-bedrijven die alleen beperkt-risico AI gebruiken (ChatGPT, Copilot, CRM-AI), is basisnaleving te bereiken in één tot twee werkdagen:

1. Dag 1 ochtend: doe de gratis compliance check op actcheck.nl en ken uw risiconiveau per tool
2. Dag 1 middag: stel een AI-register op en schrijf een beknopt AI-beleid
3. Dag 2: informeer medewerkers en teken DPA's met uw AI-leveranciers

Voor hoog-risico toepassingen kost het meer werk, typisch twee tot vier weken voor de volledige compliance-documentatie, afhankelijk van hoeveel informatie uw leverancier aanlevert.