info
Dit artikel beschrijft de stand van zaken rond de Europese AI-verordening (EU 2024/1689) in het voorjaar van 2026. De wetgeving is in beweging. Raadpleeg voor specifieke situaties altijd een juridisch adviseur of neem contact op met Cloud Captains.

De Europese AI-verordening, beter bekend als de EU AI Act, is de eerste bindende AI-wetgeving ter wereld. De wet werd op 12 juli 2024 gepubliceerd in het Publicatieblad van de Europese Unie en trad in augustus 2024 gefaseerd in werking. Vanaf 2 augustus 2026 worden de meeste verplichtingen van kracht voor de overgrote meerderheid van organisaties die AI inzetten in hun bedrijfsprocessen. Dat geldt niet alleen voor ontwikkelaars van AI-systemen, maar ook voor reguliere bedrijven die AI gebruiken via een abonnement of geïntegreerde tool.

In deze gids leggen we precies uit wat de verordening inhoudt, welke risicocategorieën er bestaan, welke deadlines van toepassing zijn en hoe je als organisatie stap voor stap kunt voldoen aan de regels. We sluiten af met de meest gemaakte fouten en een concreet stappenplan.

Wat is de EU AI Act?

De AI Act is Europese wetgeving die kunstmatige intelligentie reguleert op basis van het risico dat een systeem kan opleveren voor mensen en de samenleving. Hoe groter het risico, hoe zwaarder de eisen. De verordening hanteert een gelaagde aanpak met vier categorieën, waarbij elke categorie eigen verplichtingen kent.

De AI Act geldt extraterritoriaal. Ook buiten de EU gevestigde organisaties moeten zich aan de regels houden zodra hun AI-systemen of de output ervan in de EU worden gebruikt. Dit wordt in juridische kringen het Brussels Effect genoemd.

Volgens de definitieve tekst is een AI-systeem een op een machine gebaseerd systeem dat is ontworpen om met variërende niveaus van autonomie te werken, dat na implementatie adaptiviteit kan vertonen en dat uit de ontvangen input afleidt hoe het output kan genereren zoals voorspellingen, inhoud, aanbevelingen of beslissingen die fysieke of virtuele omgevingen kunnen beïnvloeden.

De zeven cumulatieve elementen van de AI-definitieexpand_more
ElementToelichting
Machine-basedHet systeem opereert via hardware en software om berekeningen uit te voeren.
Niveaus van autonomieHet systeem werkt niet zonder enige menselijke input, maar mag niet louter op expliciete instructies vertrouwen.
AdaptiviteitDe mogelijkheid om na implementatie autonoom te leren en gedrag aan te passen, optioneel voor classificatie.
InferentieHet afleiden van outputs uit inputs via modellen, in plaats van vaste programmeerregels.
Interne objectievenDoelen die expliciet zijn ingebed of impliciet worden afgeleid uit gedrag.
Beoogd doelHet externe doel dat door de aanbieder is vastgesteld.
Invloed op omgevingDe capaciteit van de output om beslissingen of acties te sturen.

Systemen die uitsluitend gebruik maken van eenvoudige wiskundige optimalisatie of langgevestigde methoden, zoals standaard lineaire of logistische regressie zonder adaptieve componenten, vallen buiten de scope. Zodra deze methoden worden gecombineerd met technieken als reinforcement learning, worden zij doorgaans wel als AI-systeem aangemerkt.

De vier risicocategorieën

blockOnaanvaardbaar risico
AI-toepassingen die een duidelijke bedreiging vormen voor veiligheid, levensonderhoud of fundamentele rechten. Sinds 2 februari 2025 verboden binnen de EU.
warningHoog risico
Systemen die ingrijpen op fundamentele rechten of veiligheid. Toegestaan, maar met de strengste conformiteitseisen. Deadline 2 augustus 2026.
visibilityBeperkt risico
Chatbots, deepfakes en systemen met transparantieverplichtingen. Gebruikers moeten weten dat zij met een machine interageren.
check_circleMinimaal risico
Spamfilters, aanbevelingssystemen en AI in videogames. Geen extra wettelijke verplichtingen, vrijwillige gedragscodes worden aangemoedigd.

1. Verboden AI-praktijken

Sinds 2 februari 2025 zijn acht categorieën AI-toepassingen volledig verboden in de EU. De wetgever heeft hiermee een harde grens getrokken tegen praktijken die als onethisch of manipulatief worden beschouwd.

  • check_circleSchadelijke manipulatie via subliminale technieken die gedrag onbewust veranderen.
  • check_circleExploitatie van kwetsbaarheden op basis van leeftijd, beperking of sociaaleconomische situatie.
  • check_circleSocial scoring door overheden of private instanties op basis van gedrag of persoonlijkheid.
  • check_circlePredictive policing dat de waarschijnlijkheid van een misdrijf voorspelt op basis van profilering.
  • check_circleEmotieherkenning op de werkplek of in onderwijsinstellingen, behalve voor strikte veiligheidsdoeleinden.
  • check_circleBiometrische categorisering op basis van ras, religie, politieke overtuiging of seksuele geaardheid.
  • check_circleReal-time biometrische identificatie op afstand in de openbare ruimte door wetshandhaving.
  • check_circleOngericht schrapen van biometrische gegevens van internet of CCTV.

Onder het Digital Omnibus-akkoord van mei 2026 is hier een verbod aan toegevoegd op zogenaamde nudifier-apps: AI-systemen die zonder toestemming intieme of seksueel expliciete inhoud genereren van identificeerbare personen.

2. Hoog-risico AI

Hoog-risico systemen zijn toegestaan, mits aan de strengste eisen wordt voldaan. Deze systemen worden via twee paden geïdentificeerd. Het eerste pad betreft systemen die fungeren als veiligheidscomponent in producten die al onder bestaande EU-harmonisatiewetgeving vallen, zoals medische hulpmiddelen, liften en zware machines. Het tweede pad betreft de stand-alone systemen die expliciet zijn opgenomen in Bijlage III.

warning
Werk je met AI in HR, kredietverlening, onderwijs, gezondheidszorg of toegang tot publieke diensten? Dan is de kans groot dat je in deze categorie valt en aan zware compliance-eisen moet voldoen.

Voorbeelden van Bijlage III-toepassingen:

  • Biometrie en biometrische identificatie op afstand
  • Kritieke infrastructuur zoals wegverkeer, watervoorziening en elektriciteit
  • Onderwijs en beroepsopleiding, waaronder toelating en examenbeoordeling
  • Werkgelegenheid en personeelsbeheer, waaronder recruitment software en prestatiebeoordeling
  • Toegang tot essentiële diensten zoals credit scoring en risicobeoordeling bij verzekeringen
  • Wetshandhaving, migratie, asiel en grenscontrole
  • Rechtspleging en democratische processen

Voor deze systemen moeten aanbieders een conformiteitsbeoordeling uitvoeren, een risicomanagementsysteem implementeren, technische documentatie opstellen en zorgen voor effectief menselijk toezicht.

3. Beperkt-risico AI

Hieronder vallen systemen waarbij transparantie verplicht is, maar waar geen zware compliance-eisen gelden. Voorbeelden zijn chatbots die klantvragen beantwoorden, emotieherkenning buiten de verboden context en systemen die deepfakes genereren. Twee kernregels:

  • Gebruikers moeten expliciet weten dat zij interageren met een machine.
  • Door AI gegenereerde content moet herkenbaar zijn gemarkeerd, bijvoorbeeld via een watermerk of een duidelijke vermelding.

4. Minimaal risico

De overgrote meerderheid van AI-toepassingen, zoals spamfilters, aanbevelingssystemen en AI in videogames, valt in deze categorie. Er gelden geen extra wettelijke verplichtingen onder de verordening, hoewel vrijwillige gedragscodes worden aangemoedigd.

General-Purpose AI: de regulering van fundamenten

De snelle opkomst van Large Language Models zoals GPT, Claude en Gemini heeft geleid tot een apart hoofdstuk over General-Purpose AI, oftewel GPAI. Deze modellen kunnen in talloze downstream-applicaties worden geïntegreerd en daardoor gelden voor de aanbieders ervan specifieke regels.

Aanbieders van GPAI-modellen moeten:

  1. Technische documentatie bijhouden over het model en de training.
  2. Informatie verstrekken aan downstream-gebruikers die het model integreren.
  3. Een beleid voeren om te voldoen aan het EU-auteursrecht.
  4. Een publiek samenvatting publiceren van de gebruikte trainingsdata.
Vereisten voor de publieke samenvatting van trainingsdataexpand_more
SectieVereiste gegevens
ModelkenmerkenModaliteiten zoals tekst, audio en video, taaldekking en beoogd gebruik.
BronvermeldingBeschrijving van datasets, individuele vermelding van grote datasets, narratieve uitleg van web-scraped data.
Crawling detailsLijst van de top tien procent domeinnamen, vijf procent voor het mkb, en operationele details van webcrawlers.
Copyright en moderatieUitleg over naleving van Text and Data Mining opt-outs en maatregelen tegen illegale content.
Synthetische dataMelding of trainingsdata is gegenereerd door andere AI-modellen en identificatie van die bronmodellen.

Modellen die zijn getraind met een rekenkracht van meer dan tien tot de macht 25 floating point operations worden automatisch geclassificeerd als modellen met een systemisch risico. Aanbieders van dergelijke modellen moeten extra evaluaties uitvoeren, risico's mitigeren via adversarial testing en ernstige incidenten direct melden aan het Europese AI Office.

Aanbieder of gebruiker: jouw verantwoordelijkheid

Dit is het deel van de wet dat de meeste ondernemers verrast. Ook als je AI niet zelf bouwt, maar gewoon inkoopt via een abonnement, ben je in juridische zin een gebruiker en draag je eigen verplichtingen.

De wet maakt een fundamenteel onderscheid tussen aanbieders, dat zijn bedrijven die AI-systemen ontwikkelen of op de markt brengen, en gebruikers, dat zijn organisaties die AI inzetten in hun werkprocessen. Volgens Artikel 3 van de AI Act is iedere organisatie die AI toepast om bedrijfsprocessen te ondersteunen of te automatiseren een gebruiker.

Je verantwoordelijkheid als gebruiker omvat onder meer:

  • Begrijpen voor welk doel je de AI inzet en welke risico's daaraan verbonden zijn.
  • Zorgen voor menselijk toezicht bij beslissingen die mensen direct raken.
  • Transparant zijn richting klanten, sollicitanten of andere betrokkenen.
  • Documenteren hoe je AI gebruikt en welke maatregelen je hebt getroffen.
  • Voldoen aan de AI-geletterdheidseis voor je personeel.
warning
Wanneer je een bestaand AI-systeem ingrijpend wijzigt of aanpast voor een specifiek hoog-risico doel, word je in juridische zin de aanbieder. De volledige verantwoordelijkheid voor technische documentatie en conformiteitsbeoordeling verschuift dan naar jouw organisatie, ook al heb je het kernmodel niet zelf gebouwd.

Welke tools gebruik jij eigenlijk?

Veel ondernemers weten niet precies welke AI-systemen er in hun organisatie worden gebruikt, waarvoor en door wie. Dat is meestal het eerste obstakel: je kunt niet beoordelen of je compliant bent als je geen overzicht hebt. Hieronder een aantal veelgebruikte tools en de risicocategorie waarin ze doorgaans vallen.

Tool of systeemRisicocategorieToelichting
ChatGPT, Claude, Gemini voor interne takenBeperkt of minimaalBij gebruik voor tekst, samenvatting of analyse is het risico laag. Bij directe beslissingen over mensen verschuift de verantwoordelijkheid.
AI-chatbot op je websiteBeperkt risicoGebruikers moeten expliciet weten dat ze met AI praten.
AI-recruitmenttool die kandidaten ranktHoog risicoValt onder Bijlage III, werkgelegenheid en personeelsbeheer.
AI in boekhoud- of facturatiesoftwareMinimaal risicoGeen wettelijke verplichtingen, mits geen beslissingen over mensen.
AI-scoring voor krediet of betalingsgedragHoog risicoExpliciet genoemd in Bijlage III.
AI voor automatische CV-screeningHoog risicoValt onder werkgelegenheid en personeelsbeheer.
Marketing-AI voor segmentatieBeperkt of minimaalHangt af van de impact op individuen.
AI in medische diagnose-ondersteuningHoog risicoValt onder gereguleerde producten.

Tijdlijn en deadlines

De AI Act wordt gefaseerd ingevoerd. Het Digital Omnibus-akkoord van mei 2026 heeft enkele deadlines verschoven, maar de hoofdrichting blijft staan. Een afwachtende strategie is risicovol omdat conformiteitsbeoordelingen en de selectie van een Notified Body vaak twaalf tot achttien maanden duren.

OnderdeelOorspronkelijke deadlineNieuwe deadline
Verboden praktijken2 februari 2025Reeds van kracht
AI-geletterdheid (Artikel 4)2 februari 2025Reeds van kracht
GPAI governance en regels2 augustus 20252 augustus 2025
Watermarking en labeling2 augustus 20262 december 2026
Hoog-risico AI Bijlage III2 augustus 20262 december 2027
Hoog-risico AI in gereguleerde producten2 augustus 20272 augustus 2028
info
Op 7 mei 2026 hebben de EU-instellingen een politiek akkoord bereikt over de amendementen op de AI Act. Na een eerder mislukte triloog op 28 april 2026 ligt er nu een nieuw compromis dat onder andere het uitstel van de hoog-risico deadlines bevestigt naar 2 december 2027 (Annex III) en 2 augustus 2028 (Annex I). Belangrijk detail uit het akkoord: deze nieuwe data staan vast, ongeacht of er op dat moment al geharmoniseerde standaarden en richtlijnen beschikbaar zijn. De officiële wettekst is bij publicatie van dit artikel nog niet vastgesteld, maar de richting is duidelijk. Organisaties moeten dit uitstel niet aangrijpen om compliance te laten verslappen, de kernstructuur van de wet blijft volledig intact.

Registratie in de publieke EU-database

De AI Act voorziet in een centrale, publiek raadpleegbare EU-database waarin hoog-risico AI-systemen worden geregistreerd. Onder het politiek akkoord van mei 2026 wordt deze registratieplicht verruimd naar aanbieders van zogenaamde vrijgestelde AI-systemen, dat wil zeggen systemen die op basis van een risicobeoordeling buiten de hoog-risico categorie vallen ondanks dat ze in een Bijlage III-domein opereren.

Voor deze vrijgestelde systemen geldt een lichtere informatieplicht. De aanbieder hoeft minder gedetailleerde technische gegevens aan te leveren dan bij echte hoog-risico systemen, maar moet wel transparant maken waarom de uitzondering van toepassing is.

lightbulb
Houd er rekening mee dat ook als jouw systeem als vrijgesteld wordt geclassificeerd, je de classificatie zelf moet onderbouwen en registreren. Bewaar de risicobeoordeling, de motivatie van de uitzondering en bijbehorende documentatie voor minimaal de duur van de levenscyclus van het systeem plus tien jaar.

Wat dit concreet betekent:

  • Aanbieders van Bijlage III-systemen die vinden dat hun systeem geen significant risico oplevert moeten dit kunnen aantonen via een gestructureerde zelfbeoordeling.
  • De registratie in de EU-database is publiek raadpleegbaar, klanten en toezichthouders kunnen dus zien dat je systeem bestaat en wat de claim van vrijstelling is.
  • Bij twijfel of bij geconstateerde tekortkomingen kan de toezichthouder de vrijstelling intrekken en alsnog hoog-risico verplichtingen opleggen met terugwerkende kracht.

AI-geletterdheid: Artikel 4

Sinds 2 februari 2025 moeten organisaties maatregelen nemen om de AI-geletterdheid van hun personeel te waarborgen. Dat geldt voor iedereen die met AI-output werkt, van HR-managers tot klantenservicemedewerkers. Medewerkers moeten begrijpen hoe de AI-tools die zij gebruiken werken, wat de beperkingen zijn en welke ethische risico's er kleven aan de output.

lightbulb
Begin direct met een trainingsprogramma rond AI-geletterdheid. Het is een verplichting die al van kracht is, en het verlaagt direct de risico's op de werkvloer. Een goede training combineert basiskennis over AI met praktische voorbeelden uit de eigen organisatie.

In de Nederlandse Uitvoeringswet AI-verordening wordt deze plicht naar verwachting gehandhaafd via herstelsancties zoals een last onder dwangsom. Critici stellen dat dit proactieve implementatie ontmoedigt, omdat bedrijven pas in actie hoeven te komen nadat een tekortkoming is geconstateerd. Er wordt gepleit voor een grotere rol van de Ondernemingsraad om druk op werkgevers uit te oefenen.

Menselijk toezicht: Artikel 14

Hoog-risico AI-systemen moeten zodanig zijn ontworpen dat natuurlijke personen effectief toezicht kunnen houden tijdens de gebruiksperiode. Dit toezicht moet voorkomen dat mensen blindelings vertrouwen op suggesties van een machine, een fenomeen dat in de literatuur bekend staat als automatiseringsbias.

De toezichthouder moet:

  • De werking van het systeem voldoende begrijpen om kritisch te kunnen oordelen.
  • In staat zijn om outputs te negeren of het systeem volledig stop te zetten.
  • Bewust zijn van de beperkingen en mogelijke fouten van het systeem.
  • Bij twijfel een second opinion kunnen aanvragen of een onafhankelijke beoordeling kunnen organiseren.

Nederlandse handhaving: het hybride toezichtmodel

In Nederland wordt het toezicht op de AI-verordening vastgelegd in de nationale Uitvoeringswet AI-verordening. Het kabinet heeft gekozen voor een hybride model waarbij sectorale expertise wordt gecombineerd met centrale coördinatie.

gavelAutoriteit Persoonsgegevens
Coördinerend toezichthouder voor algoritmes en AI sinds 2023. Houdt toezicht op hoog-risico toepassingen zonder bestaande sectorale toezichthouder, zoals in onderwijs, werving en selectie.
hubRijksinspectie Digitale Infrastructuur
Richt zich op AI in kritieke infrastructuur en stroomlijnt samen met de AP de coördinatie tussen toezichthouders.

Bestaande sectorale toezichthouders behouden hun rol voor AI in hun domein:

  • NVWA voor consumentenproducten
  • IGJ voor medische hulpmiddelen
  • AFM en DNB voor de financiële sector
  • ILT voor transport

De interactie met de AVG: synergie of conflict?

Voor systemen die persoonsgegevens verwerken gelden zowel de AVG als de AI Act gelijktijdig. Onder de AVG is een Data Protection Impact Assessment verplicht bij hoog-risico verwerkingen. Onder de AI Act moeten bepaalde gebruikers, met name overheidsinstanties en aanbieders van essentiële diensten, een Fundamental Rights Impact Assessment uitvoeren.

AspectDPIA (AVG)FRIA (AI Act)
FocusBescherming van persoonsgegevensBrede fundamentele rechten
Verplicht voorHoog-risico verwerkingenBepaalde deployers van hoog-risico AI
ReikwijdtePrivacy en datalekMenselijke waardigheid, non-discriminatie, vrijheid van meningsuiting, kinderrechten
lightbulb
Combineer FRIA en DPIA in een gezamenlijk proces. Dat verlaagt administratieve lasten en geeft een holistisch beeld van de impact op rechten van betrokkenen.

Een opmerkelijke bepaling in de AI Act staat aanbieders van hoog-risico systemen toe om tijdelijk bijzondere categorieën persoonsgegevens te verwerken, zoals ras, religie of gezondheid, om bias in modellen op te sporen en te corrigeren. Onder het politiek akkoord van mei 2026 worden deze mogelijkheden ruimer, mits het gebruik strikt noodzakelijk is en uitsluitend gericht op specifieke, vooraf gedefinieerde vormen van bias. Het blijft een directe uitzondering op het algemene verwerkingsverbod onder de AVG. Strikte beveiligings- en pseudonimiseringsmaatregelen blijven verplicht en de data moet na correctie worden verwijderd.

Boetestructuur

De sancties zijn ontworpen om ook voor grote tech-bedrijven afschrikwekkend te zijn. Voor het mkb en startups gelden proportioneel lagere bedragen.

Type overtredingMaximale boeteAlternatief op basis van omzet
Gebruik van verboden AI-praktijken35 miljoen euro7 procent wereldwijde jaaromzet
Niet-naleving hoog-risico eisen15 miljoen euro3 procent wereldwijde jaaromzet
Schending transparantieregels15 miljoen euro3 procent wereldwijde jaaromzet
Onjuiste informatie aan autoriteiten7,5 miljoen euro1 procent wereldwijde jaaromzet

Stappenplan: zo word je compliant

Een gestructureerde aanpak is essentieel om op tijd klaar te zijn voor de deadlines van 2026 en 2027. Onderstaand een praktisch stappenplan dat Cloud Captains hanteert bij compliance-trajecten voor klanten.

1
Stap 1: AI Inventory
Breng alle AI-systemen in kaart die binnen de organisatie worden gebruikt, inclusief tools die door medewerkers ad hoc worden ingezet. Deze zogenaamde Shadow AI is vaak de grootste blinde vlek. Documenteer per systeem het doel, de aanbieder, de afdeling en de betrokken stakeholders.
2
Stap 2: Classificatie
Bepaal per systeem het risiconiveau en check de Bijlage III categorieën grondig. Maak onderscheid tussen aanbieders- en gebruikersrol. Documenteer waarom een bepaalde classificatie van toepassing is.
3
Stap 3: AI-geletterdheid
Implementeer een trainingsprogramma voor alle medewerkers die met AI-output werken. Begin bij management en HR en breid uit naar de rest van de organisatie.
4
Stap 4: Risicomanagementsysteem
Voor hoog-risico systemen moet je een formeel risicomanagementsysteem opzetten dat de gehele levenscyclus van het systeem dekt, van ontwerp tot post-market monitoring.
5
Stap 5: Documentatie en transparantie
Stel technische documentatie op, voer waar nodig een Fundamental Rights Impact Assessment uit en zorg voor transparantie richting eindgebruikers.
6
Stap 6: Governance
Stel een AI Officer of een multidisciplinaire werkgroep aan die toezicht houdt op de levenscyclus van systemen. Zorg voor heldere verantwoordelijkheden en escalatieprocedures.
7
Stap 7: Doorlopende monitoring
Implementeer post-market surveillance, incident-rapportage en periodieke heroverwegingen. De wet eist dat je veranderingen in risico's actief opvolgt.

Veelgemaakte misverstanden en valkuilen

1. De aanbiederstatus door modificatie

Een organisatie die een bestaand AI-systeem ingrijpend wijzigt of aanpast voor een specifiek hoog-risico doel, wordt wettelijk gezien de aanbieder. Hiermee verschuift de volledige verantwoordelijkheid voor technische documentatie en conformiteitsbeoordeling naar deze organisatie.

2. De incident-rapportage paradox

Bij een AI-gerelateerd incident moet een organisatie vaak binnen drie verschillende tijdlijnen rapporteren aan drie verschillende autoriteiten: 24 uur voor NIS2, 72 uur voor de AVG en vijftien dagen voor de AI Act. Het risico is dat verklaringen die in de eerste 24 uur worden afgelegd later tegen de organisatie kunnen worden gebruikt in een AVG- of AI-onderzoek.

3. Ambiguïteit in GPAI-metriek

De verplichting voor GPAI-aanbieders om de omvang van geschraapte content te vermelden, laat in het midden of dit moet gebeuren in bestandsgrootte, aantal tokens of aantal documenten. Deze onduidelijkheid kan leiden tot inconsistente rapportages.

4. De toeleveringsketen

Organisaties die AI-systemen inzetten moeten contractuele garanties vragen van hun toeleveranciers. Aanbieders van GPAI-modellen zijn verplicht informatie te delen met downstream-gebruikers, maar de diepgang van die informatie is vaak een bron van commerciële geschillen. Leg dit goed vast in je inkoopcontracten.

5. Open source is geen vrijbrief

Modellen die onder open-source licenties worden uitgebracht zijn niet automatisch vrijgesteld. Voor niet-systemische open-source modellen gelden bepaalde transparantie-vrijstellingen, maar de basisverplichtingen blijven overeind.

De milieudimensie

De AI Act introduceert voor het eerst verplichtingen rondom de ecologische voetafdruk van technologie. Aanbieders van GPAI-modellen moeten de bekende of geschatte energieconsumptie documenteren. De Europese Commissie werkt aan gedelegeerde handelingen om gestandaardiseerde meet- en berekeningsmethoden vast te stellen. In de toekomst kan de ecologische impact van een AI-systeem zelfs meewegen bij toelating in specifieke sectoren.

Operationele kosten voor het mkb

Volgens impact assessments van de Europese Commissie kunnen de compliancekosten voor een mkb-bedrijf oplopen tot vier ton euro per hoog-risico product. Dat lijkt veel, maar is verdeeld over meerdere componenten.

KostenpostToelichtingGeschatte omvang mkb
KwaliteitsmanagementsysteemWorkflows voor data governance en monitoring71.400 tot 330.000 euro
Technische documentatieBeschrijving van architectuur en trainingOnderdeel van QMS
ConformiteitsbeoordelingExterne toetsing door een Notified BodyTot 1 miljoen euro incidenteel
AI-geletterdheid en trainingOpleiden van personeel conform Artikel 46.000 tot 7.000 euro
Doorlopende monitoringPost-market surveillance en incident rapportageJaarlijkse overhead 17 procent
info
Voor veel mkb-bedrijven die alleen AI als gebruiker inzetten en niet ontwikkelen, blijven de kosten beperkt tot training, documentatie en governance. De zware bedragen gelden vooral voor aanbieders van hoog-risico systemen.

Conclusie

De AI Act is veel meer dan een juridische checkbox. Het is een herdefiniëring van het innovatieproces. Voor een succesvolle implementatie moeten organisaties afstappen van het idee dat AI-compliance een taak is voor enkel de IT-afdeling of enkel de juridische afdeling. Het raakt strategie, governance, HR en operations.

De kosten en regeldruk zijn significant, maar de Brussels Effect zal er waarschijnlijk voor zorgen dat de Europese norm de mondiale standaard wordt voor betrouwbare en mensgerichte kunstmatige intelligentie. Wie nu begint, bouwt vertrouwen bij klanten en burgers en voorkomt dat compliance een laat-stadium probleem wordt.

De organisaties die de AI Act omarmen als een kans om hun governance op orde te krijgen, zullen op de lange termijn beter scoren op vertrouwen, kwaliteit en klantloyaliteit dan zij die wachten tot de toezichthouder voor de deur staat.

- Cloud Captains