Blog/AI & wetgeving

AI Act bedrijven: nieuwe deadlines en wat dat betekent

8 mei 2026
AI Act impact

Wat is de AI Act voor bedrijven?

De AI Act is de Europese wet die bepaalt wat bedrijven wel en niet mogen met AI. Hoe groter de impact van een AI-systeem op mensen, hoe strenger de regels. Op 7 mei 2026 sloten Brussel en het Europees Parlement een nieuw akkoord dat belangrijke deadlines uitstelt en het MKB lucht geeft. Goed nieuws dus: meer tijd om je voor te bereiden op de zware eisen. Minder goed nieuws: de absolute verboden gelden al sinds februari 2025.

Het is 's werelds eerste echte AI-wet. De bedoeling: burgers beschermen tegen discriminatie en privacyschending, zonder dat bedrijven niets meer kunnen. Voor jou als ondernemer is de centrale vraag niet of je onder de wet valt, maar welk risiconiveau jouw AI-gebruik heeft.

De wet onderscheidt vier niveaus:

  • Onacceptabel risico: verboden. Bijvoorbeeld AI die emoties van werknemers analyseert om te zien of ze 'productief' kijken.
  • Hoog risico: strenge regels, maar niet verboden. Je mag het gebruiken zolang je kunt aantonen dat het systeem eerlijk, transparant en controleerbaar is. De strengere eisen gelden hier omdat de gevolgen voor mensen groot zijn als het misgaat. Denk aan een cv-screeningstool die structureel vrouwen uitfiltert, een kredietmodel dat bepaalt of jij een lening krijgt, of webcamproctoring bij examens die studenten onterecht markeert als fraudeur. Dit zijn beslissingen die iemands kans op werk, geld of een diploma bepalen. De toeslagenaffaire liet zien wat er gebeurt als algoritmes grote gevolgen hebben zonder dat iemand controleert of ze kloppen. Precies daarom legt de wet hier de lat hoog.
  • Beperkt risico: transparantieplicht. Bijvoorbeeld een chatbot die zich als chatbot kenbaar moet maken.
  • Minimaal risico: geen regels. Bijvoorbeeld een spamfilter.

De wet kijkt niet naar wie je bent, maar naar wat je doet met AI.


Het EU-akkoord van 7 mei 2026: wat verandert er?

Op 7 mei kwamen Brussel en het Europees Parlement tot een akkoord dat de AI Act op een paar punten vereenvoudigt. Het is onderdeel van een groter Europees opschoonpakket waarmee de EU regels voor digitale wetgeving stroomlijnt. Het akkoord moet nog officieel worden bekrachtigd, naar verwachting vóór 2 augustus 2026. De richting is duidelijk: meer ruimte om compliance goed te regelen, maar de kern van de wet blijft overeind.

Wat verandert er concreet?

  • Hoog-risico krijgt meer tijd. Losse high-risk AI-systemen krijgen tot 2 december 2027 (was 2 augustus 2026). High-risk AI ingebed in producten zoals machines en medische apparatuur tot 2 augustus 2028 (was 2 augustus 2027).
  • Nieuw verbod. AI die nepnaaktbeelden van echte mensen maakt en AI voor kindermisbruikmateriaal worden expliciet verboden.
  • Snellere watermerk-plicht voor AI-content. Vanaf 2 augustus 2026 moet AI-gegenereerde content (deepfakes, AI-tekst, AI-beeld) herkenbaar zijn als AI. Voor de technische uitvoering, denk aan onzichtbare watermerken die computers kunnen lezen, kregen bedrijven aanvankelijk zes maanden extra tijd. Dat wordt nu drie maanden. Nieuwe deadline: 2 december 2026.
  • Sterkere AI-toezichthouder. Het Europese AI Office krijgt meer bevoegdheden voor toezicht op grote AI-modellen.
  • Soepeler regels voor het MKB. De lichtere regels voor kleine bedrijven worden uitgebreid naar de iets grotere middenklasse (small mid-caps).
  • Meer tijd voor testomgevingen. Lidstaten krijgen tot 2 augustus 2027 om nationale AI-testomgevingen op te zetten waarin bedrijven nieuwe AI veilig kunnen uitproberen, handig voor het MKB en scale-ups.

Wat betekent dit voor jou? Drie dingen. Eén: niet achterover leunen. Het uitstel geeft je ademruimte om compliance goed te doen. De regels voor AI-content komen eerder dan je denkt: wie marketing of klantcontent met AI maakt, moet vóór 2 december 2026 de herkenbaarheid op orde hebben. En de absolute verboden gelden al. Daar is geen uitstel voor.


Tijdlijn AI Act: alle deadlines op een rij

De wet wordt stap voor stap ingevoerd. Sommige delen gelden al meer dan een jaar, dus je begint niet bij nul.

  • Februari 2025 (al van kracht): absolute verboden. AI-toepassingen die niet meer mogen, zoals 'social scoring' en emotie-analyse op de werkvloer. Ook geldt al de plicht dat je medewerkers basiskennis van AI moeten hebben.
  • Augustus 2025 (al van kracht): regels voor de grote AI-modellen. Makers zoals OpenAI, Google en Anthropic moeten transparant zijn over hun data en risico's. Voor jou als gebruiker: de tools die je inkoopt zijn veiliger geworden.
  • 2 augustus 2026: AI-gegenereerde content moet herkenbaar zijn als AI. Geldt voor deepfakes, AI-tekst en AI-beeld.
  • 2 december 2026: deadline voor makers van generatieve AI om de technische kant op orde te hebben (machine-leesbare watermerken). Was eerder 2 februari 2027.
  • 2 augustus 2027: lidstaten moeten nationale AI-testomgevingen hebben opgezet.
  • 2 december 2027: losse high-risk AI-systemen moeten voldoen aan de strenge eisen (mensenrechten-toets, menselijk toezicht, datakwaliteit, logging). Was eerder augustus 2026.
  • 2 augustus 2028: high-risk AI ingebed in fysieke producten (machines, liften, medische apparatuur). Was eerder augustus 2027.

Zolang het akkoord nog niet officieel bekrachtigd is, blijven juridisch gezien de oude datums gelden. De praktijk: bereid je voor op de nieuwe data, maar volg de officiële stappen via het AI Office en het informatieplatform van de Europese Commissie.

Welke AI-praktijken zijn helemaal verboden?

Acht praktijken zijn sinds februari 2025 verboden in de hele EU. Voor de meeste bedrijven is dit geen probleem, maar het is goed om de lijst te kennen.

  • AI die mensen op een schadelijke manier manipuleert of misleidt.
  • Misbruik van kwetsbaarheden (leeftijd, beperking, situatie).
  • Social scoring: mensen belonen of straffen op basis van gedrag of persoonskenmerken.
  • Voorspellen of iemand een misdrijf zal plegen op basis van persoonlijke kenmerken.
  • Ongericht verzamelen van gezichtsbeelden uit camera's of social media voor herkenningsdatabases.
  • Emotieherkenning op de werkvloer of in het onderwijs (behalve om medische of veiligheidsredenen).
  • Mensen indelen op gevoelige kenmerken zoals etniciteit, gezondheid of seksuele oriëntatie via biometrische data.
  • Real-time gezichtsherkenning in publieke ruimtes door de politie (op enkele uitzonderingen na).

Met het akkoord van 7 mei komt daar een negende verbod bij: AI die nepnaaktbeelden van echte mensen maakt en AI voor kindermisbruikmateriaal. Dat verbod werkt direct na bekrachtiging.


Wanneer is jouw software 'High-Risk'?

Veel ondernemers denken bij 'hoog risico' aan medische apparatuur of zelfrijdende auto's. De wetgever kijkt anders. In de wet staat een lijst (officieel: Annex III) met acht gebieden die directe impact hebben op de levens van mensen. Drie zijn relevant voor het MKB.

Personeelszaken en recruitment (de grootste valkuil)

Gebruik je software om CV's te scannen? Laat je een tool de eerste selectie maken? Of (vaak vergeten) gebruik je AI om taken toe te wijzen of prestaties te beoordelen van bestaande medewerkers? Dat valt eronder en is high-risk.

Een systeem dat automatisch tickets toewijst aan de klantenservicemedewerker die het snelste werkt: ook high-risk.

Toegang tot diensten en financiën

Bepaalt een algoritme of een klant een lening, verzekering of abonnement mag afsluiten? Of bepaalt AI wie voorrang krijgt bij hulpdiensten of essentiële services? Dan val je hieronder.

Opleiding en training

Gebruik je AI om te toetsen of iemand geslaagd is voor een interne opleiding? Of om te bepalen welk scholingstraject iemand volgt? Als dat invloed heeft op carrièrekansen: high-risk.

Belangrijk: als bedrijf dat de AI inzet ben je verantwoordelijk voor hoe je het gebruikt. Ook als je de software kant en klaar hebt ingekocht. Jij bepaalt namelijk waar het voor wordt ingezet.


De 4 stappen die je nu al kunt zetten

Stel: je gebruikt een slimme HR-tool of klantenservice-software, en je wilt die blijven gebruiken. Wat moet je dan op orde hebben? Dit zijn de vier verplichtingen voor high-risk AI waar je niet omheen kunt.

Stap 1: De mensenrechten-toets

Voordat je een high-risk systeem aanzet, moet je op papier zetten wat de impact is op mensenrechten. Officieel heet dit een Fundamental Rights Impact Assessment (FRIA). Je beantwoordt minimaal drie vragen:

  • Discrimineert de tool vrouwen of minderheden?
  • Is de privacy gewaarborgd?
  • Wat gebeurt er als de AI een fout maakt?

Behandel het als een levend document dat je actief bijhoudt. Zonder deze toets mag de stekker er straks niet in.

Stap 2: Menselijk toezicht (human-in-the-loop)

De wet eist dat er altijd een mens is die de AI controleert en kan ingrijpen. Je processen moeten zo zijn ingericht dat de AI een advies geeft, en een mens de beslissing neemt.

Bij PromptGorillas bouwen we AI-automations standaard zo. Een AI-agent bereidt het werk voor, jouw medewerker geeft de 'go'. Daarmee voldoe je vaak direct aan deze eis, en je houdt de kwaliteit hoog.

Stap 3: Transparantie naar je mensen

Je mag AI niet stiekem gebruiken. Werknemers en sollicitanten moeten weten dat er AI in het spel is en hoe beslissingen tot stand komen.

Voor klantcontact geldt hetzelfde, en die deadline komt eerder. Vanaf 2 augustus 2026 moet AI-gegenereerde content herkenbaar zijn voor de klant. Gebruik je een chatbot? Dan moet de klant weten dat hij met een computer praat. Maak je marketingbeeld of -tekst met AI? Dan zet je er expliciet bij dat het met AI is gemaakt. Bijvoorbeeld in de footer, bij het beeld, of als label bij de tekst. In onze AI-strategie training leren teams hoe ze een AI-beleid opstellen dat voldoet aan de eisen van de AI Act.

Stap 4: Datakwaliteit en logging

Als je AI traint of inzet, moet je kunnen aantonen dat de data 'schoon' en representatief is om discriminatie te voorkomen. Daarnaast moet het systeem automatisch bijhouden wat het doet. Komt er over een jaar een klacht? Dan moet jij kunnen terugzoeken waarom de AI destijds die beslissing nam. 


Wat kost het als je niets doet?

De boetes zijn fors. Voor overtredingen met high-risk systemen krijg je tot €15 miljoen of 3% van je wereldwijde omzet, afhankelijk van wat hoger uitvalt. Voor verboden praktijken loopt dat op tot €35 miljoen of 7%. Voor het MKB en startups pakt de toezichthouder het laagste van de twee bedragen. Daarnaast weegt aantoonbare inspanning mee: wie kan bewijzen dat medewerkers getraind zijn en dat er een AI-beleid ligt, staat er bij een incident een stuk beter voor. De wet maakt expliciet onderscheid tussen een bedrijf dat het probeert en één dat niets doet.

Maar voor het MKB is de boete niet eens het grootste risico. Het echte gevaar is dat je bedrijf stilvalt. Stel: de toezichthouder eist dat je je belangrijkste HR-software of credit-check systeem per direct uitzet omdat je geen mensenrechten-toets hebt gedaan. Dan staat je operatie stil. Dat kost vaak meer dan de boete.


Wat doe je nu?

Geen paniek, wel actie. De volgende vier stappen kun je direct starten. De gratis AI Scan helpt je snel in kaart brengen welke AI-tools er in je organisatie draaien en welk risiconiveau ze hebben.

  1. Inventariseer. Breng in kaart welke AI-tools er nu in je bedrijf draaien. Ook de tools die medewerkers zelf hebben aangezet (vaak vergeten).
  2. Check. Leg ze langs de meeStart nu met je mensenrechten-toets en het inrichten van menselijk toezicht. De extra tijd uit het akkoord van 7 mei is bedoeld om het góéd te doen, niet om te wachten. Voor wie hierin een gestructureerde aanpak zoekt: ons artikel over een succesvolle AI-implementatie strategie geeft een werkbaar kader.
  3. Train je mensen. De AI Act eist letterlijk dat bedrijven zorgen voor 'AI-geletterdheid' bij hun personeel. Een waterdicht beleid werkt alleen als je team snapt waaróm en hóe. Onze ChatGPT-training en trainingen voor bedrijven zijn daarop ingericht: medewerkers leren niet alleen mèt AI werken, maar ook veilig en volgens de regels.

Voor verdiepende vragen op compliance-niveau is de AI Act Service Desk van de Europese Commissie het officieuze startpunt. Voor het vertalen naar werkbare processen kunnen wij je verder helpen.


Tot slot: van regels naar voorsprong 

De AI Act is een directie-vraagstuk. Wie de wet als hindernis ziet, raakt achterop. Wie hem gebruikt om processen te scherpen en het team mee te nemen, schakelt sneller dan de concurrentie. Dat geldt nu, en dat geldt straks zeker als de high-risk regels echt gehandhaafd worden.

Dat sluit aan bij hoe wij dat aanpakken. De meeste AI-partijen doen één ding, een tool implementeren of een training geven. PromptGorillas combineert de drie dingen die samen bepalen of AI echt landt: herkennen waar de waarde zit, bouwen wat werkt en het team meekrijgen. Lees hoe onze klanten dat in de praktijk hebben aangepakt in onze cases. Onze klanten halen gemiddeld 6x ROI op AI Automations.

Inmiddels werken we met meer dan 500 bedrijven en trainden we ruim 5.000 professionals. Van Politie en Stedin tot Bidfood, Kwalitaria en Rotterdam The Hague Airport.

FAQ

Veelgestelde vragen over de AI Act voor bedrijven

De AI Act is een Europese wet die regels stelt aan het gebruik van AI binnen organisaties. De wet hanteert een risico-gebaseerde aanpak: hoe groter de impact van een AI-systeem op mensen, hoe strenger de regels. Voor de meeste MKB-bedrijven betekent dit dat AI-gebruik in HR, recruitment, kredietverlening en opleiding extra aandacht krijgt. De handhaving voor losse high-risk systemen begint op 2 december 2027. 

De wet wordt stap voor stap ingevoerd. De absolute verboden gelden al sinds februari 2025. Regels voor de bouwers van grote AI-modellen sinds augustus 2025. Door het EU-akkoord van 7 mei 2026 verschuiven de high-risk deadlines: losse high-risk AI moet vanaf 2 december 2027 voldoen, AI ingebed in producten vanaf 2 augustus 2028. De transparantieplicht voor AI-content gaat in op 2 augustus 2026, met een uitloop tot 2 december 2026 voor de technische implementatie. 

Het akkoord stelt de high-risk deadlines met ongeveer 16 maanden uit, voegt een nieuw verbod toe op AI die nep naaktbeelden van echte mensen maakt en op AI voor kindermisbruik materiaal, en verkort de overgangstijd voor het technisch herkenbaar maken van AI-content van 6 naar 3 maanden. Het akkoord moet nog formeel worden bekrachtigd, maar de richting is duidelijk. 

Een high-risk AI-systeem is een AI-toepassing die invloed heeft op fundamentele rechten of bestaanszekerheid van mensen. De wet noemt acht gebieden, waaronder recruitment, prestatiebeoordeling, kredietverlening, toegang tot diensten en opleiding. Software die CV's scant of medewerkers beoordeelt valt hier vaak onder, ook als je die kant en klaar hebt ingekocht. 

Een FRIA (Fundamental Rights Impact Assessment) is een verplicht document waarin je vastlegt wat de impact is van een high-risk AI-systeem op mensenrechten. Het beantwoordt minstens drie vragen: discrimineert de tool, hoe is privacy geborgd, en wat gebeurt er bij een fout. Vanaf 2 december 2027 mag je geen stand-alone high-risk systeem inzetten zonder FRIA.

Ja, ook dan val je onder de wet. De AI Act kijkt niet naar de tool maar naar het doel. Gebruikt iemand in jouw bedrijf ChatGPT om CV's voor te selecteren? Dan val je onder de high-risk regels. Gebruikt iemand het om een mailtje te schrijven? Dan geldt voornamelijk de transparantieplicht en de eis van AI-geletterdheid. 

De boetes lopen op tot €15 miljoen of 3% van de wereldwijde omzet voor overtredingen met high-risk systemen, en tot €35 miljoen of 7% voor verboden praktijken. Voor MKB-bedrijven is de operationele stilstand bij gedwongen uitschakeling van software vaak een groter risico dan de boete zelf.

Begin met inventariseren: welke AI-tools draaien er, wie gebruikt ze en waarvoor? Toets ze aan de risicocategorieën van de wet. Voor high-risk systemen richt je menselijk toezicht in, zorg je voor schone data en automatische logs, en doe je waar nodig een mensenrechten-toets. Investeer ook in AI-geletterdheid van je team. Dat is een wettelijke eis én de basis waarop al het andere bouwt. 

PromtGorillas gorilla

Wil je eerst zien waar jullie staan met AI én met de AI Act?

Doe de gratis AI-scan. Liever direct sparren over de impact voor jouw bedrijf? Plan een vrijblijvende kennismaking.

Start de AI scanPlan een kennismaking