Sinds het akkoord van mei 2026 krijgen we dezelfde vraag van bijna iedereen: moeten wij nu iets met die AI Act? Begrijpelijk, want het nieuws ging vooral over grote techbedrijven en hun modellen. Maar de wet kijkt niet of je AI bouwt. Hij kijkt of en hoe je het gebruikt. En dat verandert het plaatje voor de meeste organisaties behoorlijk.
Wat geldt er nu al?
Twee dingen gelden al sinds 2 februari 2025, en die raken iedereen die met AI werkt.
Het eerste is AI-geletterdheid (artikel 4). Mensen die binnen je organisatie met AI werken, moeten begrijpen wat de tool doet, waar de grenzen liggen en wanneer je een uitkomst niet zomaar overneemt. Het tweede is het verbod op een aantal onaanvaardbare praktijken. Die zijn gewoon niet toegestaan, hoe je het ook inzet.
Een paar herkenbare voorbeelden. Een school die leerlingen door een systeem laat scoren op verwacht gedrag of emotie loopt tegen dat verbod aan. Een zorgaanbieder die personeel met emotieherkenning wil monitoren, ook. En een MKB-bedrijf dat sollicitanten door een AI-tool laat filteren, moet de medewerkers die daarmee werken voldoende geletterd hebben en goed opletten waar de grens van een toegestaan gebruik ligt.
Wat is uitgesteld, en tot wanneer?
Er loopt een traject dat de Digital Omnibus heet. Daar is op 7 mei 2026 een voorlopig akkoord over bereikt. Let op: dat is nog geen wet. De stemming in het Europees Parlement wordt verwacht in de periode 14 tot 17 juni 2026.
In dat voorstel schuiven een paar deadlines op. De plichten rond hoog-risico toepassingen uit Annex III gaan naar 2 december 2027. AI die in producten zit (Annex I) gaat naar 2 augustus 2028. En de transparantieplicht met watermerk uit artikel 50 gaat naar 2 december 2026. Prettig, want het geeft lucht. Maar uitstel is geen afstel. De richting staat vast, alleen de datum schuift.
Ben jij een bouwer of een gebruiker?
De wet maakt onderscheid tussen wie AI maakt en op de markt brengt (de provider) en wie AI gebruikt (de gebruiksverantwoordelijke, of deployer). De meeste organisaties zitten in die tweede groep. Je bouwt geen model, je gebruikt een tool van een leverancier. Je plichten zijn dan lichter dan die van de maker, maar ze zijn er wel.
En belangrijk: je bedrijfsgrootte bepaalt niet of je plichten hebt. Je rol en het risiconiveau van het gebruik doen dat. Er is wel verlichting voor kleine spelers, en er komt een nieuwe categorie voor zogenoemde small mid-caps. Maar klein zijn betekent niet vrijgesteld zijn.
Wat doe je er nu mee?
Vier stappen helpen je op weg.
Eerste stap: inventariseer welke AI-systemen je organisatie gebruikt. Denk aan tools voor personeelsplanning, leerlingvolgsystemen, geautomatiseerde beoordelingen of communicatiesoftware met AI-functies. Schrijf per tool op: wat doet het, wie gebruikt het, en voor welk doel.
Tweede stap: sorteer op risicoklasse. Verboden toepassingen zijn per 2 februari 2025 al buiten de wet. Hoog-risico-toepassingen (Annex III) vragen meer werk: een grondrechtentoets, menselijk toezicht en documentatie. De meeste tools vallen in de minimale of beperkte categorie en vragen weinig extra.
Derde stap: borg AI-geletterdheid. Medewerkers die AI-systemen inzetten of beheren, moeten begrijpen hoe de tool werkt en waar de grenzen zitten. Dat is nu al verplicht.
Vierde stap: regel transparantie. Zet je AI in die met mensen communiceert? Dan moet de gebruiker dat kunnen weten. Deepfakes en synthetische content vragen dezelfde aandacht.
Dit klinkt overzichtelijk. Het wordt complexer zodra je het in de praktijk wil vastleggen, eigenaren wil toewijzen, en wil kunnen aantonen dat je het serieus neemt.
Hoe leg je dit vast?
Wij hebben deze vier stappen als uitgangspunt genomen voor de AI Act-module in ons compliance-platform SecureNEXT. Die module is per 22 mei 2026 live.
Concreet biedt de module:
Een AI-systeemregister. Per tool leg je vast: leverancier, doel, risicoklasse, Annex III-categorie, wie het menselijk toezicht doet, hoe lang logs bewaard worden, en of de tool in de EU-database geregistreerd staat.
22 deployer-verplichtingen om gestructureerd af te vinken, overzichtelijk gegroepeerd in algemene plichten, hoog-risico-plichten en specifieke situaties. Per verplichting wijs je een eigenaar aan en koppel je bewijs. Zo zie je in een oogopslag wat geregeld is en wat nog openstaat.
| Artikel | Verplichting | Eigenaar | Status |
|---|---|---|---|
| Algemeen | |||
| AIA-D-01Art. 5 | Verboden AI-praktijken uitsluiten | – | Geimplementeerd |
| AIA-D-02Art. 4 | AI-geletterdheid personeel | – | Deels |
| AIA-D-03Art. 6 + Annex III | Risicoclassificatie AI-systemen | – | Nog te beoordelen |
| Hoog-risico | |||
| AIA-D-05Art. 26(2) | Menselijk toezicht toewijzen | – | Geimplementeerd |
| AIA-D-08Art. 26(5) | Logbewaring minimaal 6 maanden | – | Deels |
| AIA-D-09Art. 26(6) | DPIA-integratie (AVG art. 35) | – | Geimplementeerd |
| AIA-D-20Art. 73 | Ernstige incidenten melden (15/2 dagen) | – | Nog te beoordelen |
| Specifieke situaties | |||
| AIA-D-12Art. 26(9) | OR/werknemers informeren bij werkplekinzet | – | Nog te beoordelen |
| AIA-D-14Art. 27 | FRIA uitvoeren voor deployment | – | Deels |
Een ingebouwde grondrechtentoets (FRIA) voor hoog-risico-toepassingen. De toets is onderdeel van het platform, niet een los document dat ergens in een map belandt.
Koppeling met je bestaande privacywerk. De module verbindt de AI Act-plichten met je DPIA en je beheersmaatregelen, zodat AI-compliance niet los staat van wat er al in het platform staat.
Geen losse spreadsheets of aparte mappenstructuren. Alles in een omgeving. Bekijk de module op SecureNEXT.nl.
Veelgestelde vragen
Moet de Tweede Kamer hier nog over beslissen? Nee. De AI Act is een Europese verordening en werkt rechtstreeks. Er is geen aparte nationale wet of stemming in de Kamer nodig.
Geldt dit ook voor mijn kleine organisatie? Ja. Je plichten volgen uit je rol en het risiconiveau, niet uit je grootte. Klein zijn geeft soms verlichting, maar geen vrijstelling.
Wij gebruiken alleen AI-tools, hebben we dan plichten? Ja. Als gebruiker (deployer) gelden er plichten: AI-geletterdheid, transparantie waar mensen met AI te maken hebben, en gebruik volgens de instructies van de leverancier.
De AI Act en de AVG overlappen elkaar op meerdere punten: risicoanalyse, transparantie, rechten van betrokkenen. Wie zijn privacydocumentatie al op orde heeft, hoeft niet opnieuw te beginnen. De AI Act-module bouwt voort op wat er al staat.
Wil je zien hoe dat er in de praktijk uitziet? Bekijk het platform op SecureNEXT.nl, of neem contact op als je liever eerst samen doorloopt wat de AI Act voor jouw organisatie betekent.
Johan Antonissen is Privacy Officer en Functionaris Gegevensbescherming. Hij schrijft regelmatig voor Privacy in Bedrijf.