Wat de EU AI Act van uw organisatie vraagt.

De EU AI Act legt per augustus 2026 volledige verplichtingen op aan wie hoog-risico AI aanbiedt of gebruikt. Deze pagina bundelt wat er geldt, per wanneer, en wat concreet nodig is om aantoonbaar te voldoen — geschreven voor directies, compliance-owners en HR-tech-teams die zonder juridische opleiding een besluit moeten nemen.

Kader

Wat de EU AI Act regelt

De EU AI Act (Verordening (EU) 2024/1689) is een risicogebaseerde Europese wet die AI-systemen classificeert op de mate waarin ze schade kunnen toebrengen aan gezondheid, veiligheid en grondrechten. Per klasse worden verplichtingen opgelegd aan wie het systeem aanbiedt (aanbieder) en aan wie het inzet in de eigen organisatie (gebruiker of "deployer"). De verordening geldt sinds 1 augustus 2024 en wordt gefaseerd afdwingbaar tot 2 augustus 2027.

Voor Nederlandse organisaties is het toezicht belegd bij de AI-Autoriteit (in oprichting binnen de AP) en, voor sector-specifieke systemen, bij de bestaande markttoezichthouders (DNB, ILT, NZa). Boetes lopen op tot €35 miljoen of 7% van de wereldwijde jaaromzet — hoogste van de twee.

Rollen

Aanbieder of gebruiker: wat u bent bepaalt wat u moet

U bent aanbieder als u een AI-systeem ontwikkelt (of laat ontwikkelen) en onder eigen naam op de EU-markt brengt. U bent gebruiker als u een AI-systeem inzet in de eigen organisatie voor een professioneel doel. Eén organisatie kan beide zijn: een HR-tech-scale-up die eigen selectie-AI ontwikkelt is aanbieder, en tegelijkertijd gebruiker als zij die AI intern gebruikt voor eigen werving.

VerplichtingAanbiederGebruiker
RisicomanagementsysteemVolledig, gedocumenteerdOp inzet-niveau
Technische documentatieBijlage IV, volledigToegang tot documentatie borgen
CE-markeringVerplichtControle bij aanschaf
Registratie EU-databaseVerplicht (Bijlage III)Bij inzet in publieke sector
Fundamental Rights Impact AssessmentNeeJa (publiek + private HR)
Menselijk toezicht organiserenOntwerp mogelijk makenPraktisch invullen
Log-verplichtingSysteem logt automatischLogs bewaren en analyseren
Incidentmelding aan AI-AutoriteitVerplichtVerplicht
AI-geletterdheid (Art. 4)Personeel dat werkt aan systeemPersoneel dat systeem bedient

Diepe uitleg per situatie: Bent u aanbieder of gebruiker van AI? — een beslisboom.

Risicoklassen

De vier risicoklassen

De EU AI Act deelt AI-systemen in vier klassen: verboden, hoog risico, beperkt risico, minimaal risico. De klasse bepaalt welke verplichtingen gelden en wanneer. Voor de meeste MKB- en scale-up-organisaties in Nederland ligt de vraag concreet bij hoog risico versus beperkt risico: dat verschil bepaalt of u een volledig compliance-traject moet doorlopen of alleen transparantie-eisen invult.

  • Verboden

    Social scoring, real-time gezichtsherkenning in publieke ruimte (uitzonderingen), emotieherkenning op de werkvloer, exploitatie van kwetsbare groepen.

    Sinds 2 februari 2025 verboden. Overtreding: tot €35M of 7% jaaromzet.

  • Hoog risico

    AI in werving en selectie, CV-screening, kredietbeoordeling, onderwijs-toetsing, essentiële diensten, kritieke infrastructuur, biometrische identificatie.

    Volledige verplichtingen vanaf 2 augustus 2026 (Bijlage III) en 2027 (Bijlage I). Boete: tot €15M of 3% jaaromzet.

  • Beperkt risico

    Chatbots, deepfakes, generatieve tekst-content. Verplicht: kenbaar maken dat AI wordt gebruikt.

    Transparantieverplichtingen sinds 2025.

  • Minimaal risico

    Spamfilters, aanbevelingsalgoritmes in webshop, geautomatiseerde spellingcontrole. Geen wettelijke verplichting.

    Vrijwillige gedragscode aangemoedigd.

Deadlines

Deadlines per 2025, 2026 en 2027

Voor de meeste Nederlandse organisaties is 2 augustus 2026 de kritieke datum: vanaf die dag gelden de volledige verplichtingen voor hoog-risico-systemen uit Bijlage III. Wie op die datum niet aantoonbaar voldoet, staat bloot aan handhaving door de AI-Autoriteit en sector-toezichthouders.

  • 1 augustus 2024Inwerkingtreding van de EU AI Act.
  • 2 februari 2025Verboden praktijken van kracht. AI-geletterdheid (Art. 4) verplicht voor alle organisaties die AI inzetten.
  • 2 augustus 2025Verplichtingen voor General Purpose AI-modellen (GPAI). Governance-structuur nationaal en Europees operationeel.
  • 2 augustus 2026Volledige verplichtingen voor hoog-risico AI-systemen uit Bijlage III (o.a. HR, onderwijs, essentiële diensten). FRIA-plicht actief. Registratie in EU-database verplicht.
  • 2 augustus 2027Verplichtingen voor hoog-risico AI onder bestaande productwetgeving (Bijlage I: medische hulpmiddelen, machines, speelgoed).
Principes

De zeven principes van betrouwbare AI

De EU AI Act operationaliseert de zeven principes van betrouwbare AI die de High-Level Expert Group (HLEG) in 2019 formuleerde. Wij ordenen elk compliance-traject langs deze zeven principes, omdat elk artikel van de verordening uiteindelijk op één of meer van deze principes terugvalt. Zo houdt u overzicht ook als de wetgeving verder detailleert.

  1. 1

    Menselijk toezicht en menselijk handelen

    Wie kan het systeem stoppen, corrigeren, overrulen — en op basis waarvan?

  2. 2

    Technische robuustheid en veiligheid

    Werkt het systeem stabiel onder de omstandigheden waarin het gebruikt wordt?

  3. 3

    Privacy en datagovernance

    Waar komt de data vandaan, wie is verwerker, hoe lang bewaren, hoe delen?

  4. 4

    Transparantie

    Weet de betrokkene dat AI gebruikt wordt en op basis waarvan de uitkomst tot stand komt?

  5. 5

    Diversiteit, non-discriminatie en rechtvaardigheid

    Is het systeem getoetst op vertekening (bias) tegen relevante groepen?

  6. 6

    Maatschappelijk en milieuwelzijn

    Welke bredere gevolgen brengt inzet van dit systeem met zich mee?

  7. 7

    Verantwoording (accountability)

    Wie is intern verantwoordelijk, welke registers, welke auditbaarheid?

Zie ook onze roadmap in zes stappen en ons eigen dossier (het publieke AI-register van onze eigen praktijk).

HR-AI

AI in werving, selectie en HR

AI die beslissingen voorbereidt in werving, selectie of beoordeling van werknemers is expliciet hoog risico (Bijlage III, punt 4). Dat betreft niet alleen "de AI die de sollicitant afwijst", maar ook systemen die matchen, ranken, kandidaatprofielen samenvatten, video-interviews analyseren of stemgebruik interpreteren. Voor Nederlandse HR-tech-aanbieders én voor werkgevers die zulke tools inzetten geldt vanaf 2 augustus 2026 het volledige regime.

Concreet vraagt dat om: risicomanagement per systeem, technische documentatie (Bijlage IV), menselijk toezicht dat in de praktijk werkt (geen "rubber stamp"), bias-toetsing op relevante groepen, FRIA voor werkgevers, registratie in de EU-database, en AI-geletterdheid van iedereen die het systeem bedient (Art. 4).

Verdieping: CV-screening en algoritmische werving als hoog risico · Stemanalyse in werving · AI-geletterdheid (Art. 4) praktisch invullen.

FAQ

Veelgestelde vragen over de EU AI Act

  • Wat is de EU AI Act?

    De EU AI Act is een Europese verordening die AI-systemen classificeert op risico (verboden, hoog risico, beperkt risico, minimaal risico) en per klasse verplichtingen oplegt aan aanbieders en gebruikers. De verordening trad gefaseerd in werking vanaf augustus 2024, met de kern voor hoog-risico-systemen per 2 augustus 2026.

  • Voor wie geldt de EU AI Act?

    De EU AI Act geldt voor aanbieders (die een AI-systeem ontwikkelen of laten ontwikkelen en op de markt brengen) én gebruikers (die het systeem inzetten in de eigen organisatie). Ook Nederlandse organisaties die AI van buiten de EU inzetten vallen onder de verordening zodra de uitkomsten in de EU worden gebruikt.

  • Wanneer is AI hoog risico?

    AI-systemen zijn hoog risico als ze vallen onder Bijlage III (o.a. werving en selectie, kredietbeoordeling, onderwijs, essentiële diensten) of als ze onder bestaande productwetgeving vallen (medische hulpmiddelen, machines, speelgoed). CV-screening, algoritmische werving en stemanalyse in selectie zijn expliciet hoog risico.

  • Wat zijn de deadlines?

    1 augustus 2024: inwerkingtreding. 2 februari 2025: verboden praktijken + AI-geletterdheid (Art. 4). 2 augustus 2025: General Purpose AI-verplichtingen. 2 augustus 2026: volledige verplichtingen voor hoog-risico-systemen uit Bijlage III. 2 augustus 2027: hoog-risico onder productwetgeving (Bijlage I).

  • Wat zijn de boetes bij niet-naleving?

    Voor verboden praktijken: tot €35 miljoen of 7% van wereldwijde jaaromzet. Voor hoog-risico-verplichtingen: tot €15 miljoen of 3% jaaromzet. Voor onjuiste informatie aan toezichthouders: tot €7,5 miljoen of 1% jaaromzet. Het hoogste bedrag geldt.

  • Wat is AI-geletterdheid (Art. 4)?

    Artikel 4 EU AI Act verplicht organisaties om iedereen die met AI werkt aantoonbaar geletterd te maken over de systemen die zij bedienen: hoe ze werken, welke risico's ze hebben en hoe menselijk toezicht werkt. Dit geldt sinds 2 februari 2025 en wordt door de AI-Autoriteit gehandhaafd op procesniveau, niet per persoon.

  • Wat is een FRIA?

    Een Fundamental Rights Impact Assessment (FRIA) is verplicht voor publieke instellingen en private organisaties die hoog-risico-AI inzetten voor beslissingen over natuurlijke personen. De FRIA documenteert het doel, de betrokken groepen, de risico's voor grondrechten, mitigerende maatregelen en het proces van menselijk toezicht.

Verdieping per onderwerp

Kennisbank

Elk artikel is een deep-dive op één onderdeel van de EU AI Act, geschreven voor de mensen die er in de praktijk mee werken.

Van gids naar traject

Wilt u weten hoe uw organisatie ervoor staat?

In een kennismaking van vijftien minuten lopen we uw situatie kort door. Geen verkoopgesprek, wel een eerste richting: waar staat u, welke deadline is voor u kritiek, en wat is een verstandige eerste stap.

Voor u weggaat

Nog niet toe aan een gesprek?

Begin met de whitepaper: de zeven principes en onze aanpak in zes pagina's.