Wat de EU AI Act van uw organisatie vraagt.
De EU AI Act legt per augustus 2026 volledige verplichtingen op aan wie hoog-risico AI aanbiedt of gebruikt. Deze pagina bundelt wat er geldt, per wanneer, en wat concreet nodig is om aantoonbaar te voldoen — geschreven voor directies, compliance-owners en HR-tech-teams die zonder juridische opleiding een besluit moeten nemen.
Wat de EU AI Act regelt
De EU AI Act (Verordening (EU) 2024/1689) is een risicogebaseerde Europese wet die AI-systemen classificeert op de mate waarin ze schade kunnen toebrengen aan gezondheid, veiligheid en grondrechten. Per klasse worden verplichtingen opgelegd aan wie het systeem aanbiedt (aanbieder) en aan wie het inzet in de eigen organisatie (gebruiker of "deployer"). De verordening geldt sinds 1 augustus 2024 en wordt gefaseerd afdwingbaar tot 2 augustus 2027.
Voor Nederlandse organisaties is het toezicht belegd bij de AI-Autoriteit (in oprichting binnen de AP) en, voor sector-specifieke systemen, bij de bestaande markttoezichthouders (DNB, ILT, NZa). Boetes lopen op tot €35 miljoen of 7% van de wereldwijde jaaromzet — hoogste van de twee.
Aanbieder of gebruiker: wat u bent bepaalt wat u moet
U bent aanbieder als u een AI-systeem ontwikkelt (of laat ontwikkelen) en onder eigen naam op de EU-markt brengt. U bent gebruiker als u een AI-systeem inzet in de eigen organisatie voor een professioneel doel. Eén organisatie kan beide zijn: een HR-tech-scale-up die eigen selectie-AI ontwikkelt is aanbieder, en tegelijkertijd gebruiker als zij die AI intern gebruikt voor eigen werving.
| Verplichting | Aanbieder | Gebruiker |
|---|---|---|
| Risicomanagementsysteem | Volledig, gedocumenteerd | Op inzet-niveau |
| Technische documentatie | Bijlage IV, volledig | Toegang tot documentatie borgen |
| CE-markering | Verplicht | Controle bij aanschaf |
| Registratie EU-database | Verplicht (Bijlage III) | Bij inzet in publieke sector |
| Fundamental Rights Impact Assessment | Nee | Ja (publiek + private HR) |
| Menselijk toezicht organiseren | Ontwerp mogelijk maken | Praktisch invullen |
| Log-verplichting | Systeem logt automatisch | Logs bewaren en analyseren |
| Incidentmelding aan AI-Autoriteit | Verplicht | Verplicht |
| AI-geletterdheid (Art. 4) | Personeel dat werkt aan systeem | Personeel dat systeem bedient |
Diepe uitleg per situatie: Bent u aanbieder of gebruiker van AI? — een beslisboom.
De vier risicoklassen
De EU AI Act deelt AI-systemen in vier klassen: verboden, hoog risico, beperkt risico, minimaal risico. De klasse bepaalt welke verplichtingen gelden en wanneer. Voor de meeste MKB- en scale-up-organisaties in Nederland ligt de vraag concreet bij hoog risico versus beperkt risico: dat verschil bepaalt of u een volledig compliance-traject moet doorlopen of alleen transparantie-eisen invult.
Verboden
Social scoring, real-time gezichtsherkenning in publieke ruimte (uitzonderingen), emotieherkenning op de werkvloer, exploitatie van kwetsbare groepen.
Sinds 2 februari 2025 verboden. Overtreding: tot €35M of 7% jaaromzet.
Hoog risico
AI in werving en selectie, CV-screening, kredietbeoordeling, onderwijs-toetsing, essentiële diensten, kritieke infrastructuur, biometrische identificatie.
Volledige verplichtingen vanaf 2 augustus 2026 (Bijlage III) en 2027 (Bijlage I). Boete: tot €15M of 3% jaaromzet.
Beperkt risico
Chatbots, deepfakes, generatieve tekst-content. Verplicht: kenbaar maken dat AI wordt gebruikt.
Transparantieverplichtingen sinds 2025.
Minimaal risico
Spamfilters, aanbevelingsalgoritmes in webshop, geautomatiseerde spellingcontrole. Geen wettelijke verplichting.
Vrijwillige gedragscode aangemoedigd.
Deadlines per 2025, 2026 en 2027
Voor de meeste Nederlandse organisaties is 2 augustus 2026 de kritieke datum: vanaf die dag gelden de volledige verplichtingen voor hoog-risico-systemen uit Bijlage III. Wie op die datum niet aantoonbaar voldoet, staat bloot aan handhaving door de AI-Autoriteit en sector-toezichthouders.
- 1 augustus 2024Inwerkingtreding van de EU AI Act.
- 2 februari 2025Verboden praktijken van kracht. AI-geletterdheid (Art. 4) verplicht voor alle organisaties die AI inzetten.
- 2 augustus 2025Verplichtingen voor General Purpose AI-modellen (GPAI). Governance-structuur nationaal en Europees operationeel.
- 2 augustus 2026Volledige verplichtingen voor hoog-risico AI-systemen uit Bijlage III (o.a. HR, onderwijs, essentiële diensten). FRIA-plicht actief. Registratie in EU-database verplicht.
- 2 augustus 2027Verplichtingen voor hoog-risico AI onder bestaande productwetgeving (Bijlage I: medische hulpmiddelen, machines, speelgoed).
De zeven principes van betrouwbare AI
De EU AI Act operationaliseert de zeven principes van betrouwbare AI die de High-Level Expert Group (HLEG) in 2019 formuleerde. Wij ordenen elk compliance-traject langs deze zeven principes, omdat elk artikel van de verordening uiteindelijk op één of meer van deze principes terugvalt. Zo houdt u overzicht ook als de wetgeving verder detailleert.
- 1
Menselijk toezicht en menselijk handelen
Wie kan het systeem stoppen, corrigeren, overrulen — en op basis waarvan?
- 2
Technische robuustheid en veiligheid
Werkt het systeem stabiel onder de omstandigheden waarin het gebruikt wordt?
- 3
Privacy en datagovernance
Waar komt de data vandaan, wie is verwerker, hoe lang bewaren, hoe delen?
- 4
Transparantie
Weet de betrokkene dat AI gebruikt wordt en op basis waarvan de uitkomst tot stand komt?
- 5
Diversiteit, non-discriminatie en rechtvaardigheid
Is het systeem getoetst op vertekening (bias) tegen relevante groepen?
- 6
Maatschappelijk en milieuwelzijn
Welke bredere gevolgen brengt inzet van dit systeem met zich mee?
- 7
Verantwoording (accountability)
Wie is intern verantwoordelijk, welke registers, welke auditbaarheid?
Zie ook onze roadmap in zes stappen en ons eigen dossier (het publieke AI-register van onze eigen praktijk).
AI in werving, selectie en HR
AI die beslissingen voorbereidt in werving, selectie of beoordeling van werknemers is expliciet hoog risico (Bijlage III, punt 4). Dat betreft niet alleen "de AI die de sollicitant afwijst", maar ook systemen die matchen, ranken, kandidaatprofielen samenvatten, video-interviews analyseren of stemgebruik interpreteren. Voor Nederlandse HR-tech-aanbieders én voor werkgevers die zulke tools inzetten geldt vanaf 2 augustus 2026 het volledige regime.
Concreet vraagt dat om: risicomanagement per systeem, technische documentatie (Bijlage IV), menselijk toezicht dat in de praktijk werkt (geen "rubber stamp"), bias-toetsing op relevante groepen, FRIA voor werkgevers, registratie in de EU-database, en AI-geletterdheid van iedereen die het systeem bedient (Art. 4).
Verdieping: CV-screening en algoritmische werving als hoog risico · Stemanalyse in werving · AI-geletterdheid (Art. 4) praktisch invullen.
Veelgestelde vragen over de EU AI Act
Wat is de EU AI Act?
De EU AI Act is een Europese verordening die AI-systemen classificeert op risico (verboden, hoog risico, beperkt risico, minimaal risico) en per klasse verplichtingen oplegt aan aanbieders en gebruikers. De verordening trad gefaseerd in werking vanaf augustus 2024, met de kern voor hoog-risico-systemen per 2 augustus 2026.
Voor wie geldt de EU AI Act?
De EU AI Act geldt voor aanbieders (die een AI-systeem ontwikkelen of laten ontwikkelen en op de markt brengen) én gebruikers (die het systeem inzetten in de eigen organisatie). Ook Nederlandse organisaties die AI van buiten de EU inzetten vallen onder de verordening zodra de uitkomsten in de EU worden gebruikt.
Wanneer is AI hoog risico?
AI-systemen zijn hoog risico als ze vallen onder Bijlage III (o.a. werving en selectie, kredietbeoordeling, onderwijs, essentiële diensten) of als ze onder bestaande productwetgeving vallen (medische hulpmiddelen, machines, speelgoed). CV-screening, algoritmische werving en stemanalyse in selectie zijn expliciet hoog risico.
Wat zijn de deadlines?
1 augustus 2024: inwerkingtreding. 2 februari 2025: verboden praktijken + AI-geletterdheid (Art. 4). 2 augustus 2025: General Purpose AI-verplichtingen. 2 augustus 2026: volledige verplichtingen voor hoog-risico-systemen uit Bijlage III. 2 augustus 2027: hoog-risico onder productwetgeving (Bijlage I).
Wat zijn de boetes bij niet-naleving?
Voor verboden praktijken: tot €35 miljoen of 7% van wereldwijde jaaromzet. Voor hoog-risico-verplichtingen: tot €15 miljoen of 3% jaaromzet. Voor onjuiste informatie aan toezichthouders: tot €7,5 miljoen of 1% jaaromzet. Het hoogste bedrag geldt.
Wat is AI-geletterdheid (Art. 4)?
Artikel 4 EU AI Act verplicht organisaties om iedereen die met AI werkt aantoonbaar geletterd te maken over de systemen die zij bedienen: hoe ze werken, welke risico's ze hebben en hoe menselijk toezicht werkt. Dit geldt sinds 2 februari 2025 en wordt door de AI-Autoriteit gehandhaafd op procesniveau, niet per persoon.
Wat is een FRIA?
Een Fundamental Rights Impact Assessment (FRIA) is verplicht voor publieke instellingen en private organisaties die hoog-risico-AI inzetten voor beslissingen over natuurlijke personen. De FRIA documenteert het doel, de betrokken groepen, de risico's voor grondrechten, mitigerende maatregelen en het proces van menselijk toezicht.
Kennisbank
Elk artikel is een deep-dive op één onderdeel van de EU AI Act, geschreven voor de mensen die er in de praktijk mee werken.
- Welke vragen stelt u een AI-leverancier voordat u tekent?
Zeven vragen die u een AI-leverancier stelt voordat u het contract tekent: over beoogd doel, rolverdeling, logging, conformiteit, updates en exit. Met de wetsartikelen erbij, zodat u weet waarom u ze stelt.
- Is CV-screening met AI hoog risico onder de EU AI Act?
AI die sollicitaties analyseert, filtert of kandidaten beoordeelt valt onder Annex III, punt 4 van de EU AI Act. Lees waarom de uitzondering bij ranking vrijwel nooit opgaat en wat u als werkgever moet regelen.
- Hoe vult u de AI-geletterdheidsplicht van artikel 4 in?
Artikel 4 van de EU AI Act verplicht sinds februari 2025 een passend niveau van AI-geletterdheid voor iedereen die met AI werkt. Lees wat de wet precies eist, hoe u het per rol invult en wat u vastlegt als bewijs.
- Is stemanalyse bij sollicitaties hoog risico onder de EU AI Act?
Stemanalyse die meeweegt in een sollicitatiebeslissing valt onder Annex III, punt 4 van de EU AI Act en is hoog risico. Lees waar de grens loopt en wat u zelf moet regelen.
- Wat moet ik als directie over de EU AI Act weten?
De EU AI Act eist een AI-inventaris, eigenaarschap binnen het MT en AI-geletterdheid bij medewerkers. Lees welke deadlines vaststaan, wat de boetes zijn en wat een directie nu moet regelen.
- Ben ik aanbieder of gebruiker van AI? Een beslisboom met vijf voorbeelden
De EU AI Act onderscheidt aanbieder (provider) en gebruiker (deployer) met grote gevolgen voor uw verplichtingen. Lees met een beslisboom en vijf praktijkvoorbeelden hoe u uw rol bepaalt.