Je organisatie voorbereiden op de AI Act begint met drie concrete stappen: breng je AI-systemen in kaart, bepaal in welke risicocategorie ze vallen, en zorg dat je documentatie en governance op orde zijn. De AI Act is de eerste brede Europese wet die AI-gebruik reguleert, en de verplichtingen gelden voor elke organisatie die AI inzet of ontwikkelt, ongeacht de sector. In dit artikel beantwoorden we de meest gestelde vragen over wat de wet concreet van je vraagt en hoe je praktisch aan de slag gaat.
Wat verplicht de AI Act concreet van organisaties?
De AI Act verplicht organisaties om hun AI-systemen te classificeren op risico, te documenteren hoe die systemen werken, en aan te tonen dat ze veilig en transparant worden ingezet. De omvang van de verplichtingen hangt direct af van het risiconiveau van je AI-toepassingen. Voor de meeste organisaties zijn de twee belangrijkste verplichtingen: AI-geletterdheid bij medewerkers en een duidelijk overzicht van welke AI-systemen je gebruikt.
Concreet betekent dit voor organisaties die AI inzetten als gebruiker (deployer):
- Zorgen dat medewerkers voldoende begrijpen hoe de AI-systemen die zij gebruiken werken en welke risico’s eraan verbonden zijn (AI-geletterdheid, Artikel 4).
- Bij hoog-risico AI: menselijk toezicht waarborgen, zodat een medewerker altijd kan ingrijpen of een beslissing kan overschrijven.
- Bij hoog-risico AI: een grondrechteneffectbeoordeling uitvoeren voordat je het systeem in gebruik neemt.
- Transparantie richting gebruikers wanneer zij met een AI-systeem communiceren, zoals een chatbot.
- Bijhouden van logs en documentatie over het gebruik van hoog-risico systemen.
Organisaties die zelf AI-systemen ontwikkelen of op de markt brengen, hebben aanzienlijk zwaardere verplichtingen, waaronder uitgebreide technische documentatie, conformiteitsbeoordelingen en registratie in de EU-databank. Maar ook als je alleen bestaande AI-tools inkoopt en gebruikt, ontkom je niet aan een actieve verantwoordelijkheid.
Welke AI-systemen vallen onder de hoog-risico categorie?
Hoog-risico AI-systemen zijn gedefinieerd in Artikel 6 van de AI Act en omvatten twee groepen: systemen die als veiligheidscomponent in gereguleerde producten zijn verwerkt, en systemen die vallen onder een van de acht domeinen in Annex III. Dit zijn de toepassingen waarbij fouten of misbruik directe gevolgen kunnen hebben voor grondrechten, veiligheid of toegang tot essentiële diensten.
De acht domeinen van Annex III zijn:
- Biometrie (gezichtsherkenning, emotieherkenning)
- Kritieke infrastructuur (energie, water, transport)
- Onderwijs en beroepsopleiding (toelating, beoordeling van studenten)
- Werkgelegenheid en personeelsbeheer (werving, prestatiebeoordeling)
- Toegang tot essentiële diensten (kredietwaardigheid, verzekeringen, noodoproepen)
- Rechtshandhaving
- Migratie en grenscontrole
- Rechtsbedeling en democratische processen
Belangrijk: elk systeem dat profilering van natuurlijke personen uitvoert, valt altijd in de hoog-risico categorie, ongeacht het domein. Een systeem dat uitsluitend een smalle procedurele of voorbereidende taak vervult en geen significant risico voor grondrechten vormt, kan buiten de hoog-risico categorie vallen, maar dan moet de aanbieder dit onderbouwd documenteren. Twijfel je of jouw systeem hoog-risico is? Documenteer je redenering dan altijd schriftelijk.
Wanneer gaan de verplichtingen van de AI Act in?
De AI Act kent een gefaseerde inwerkingtreding. Vanaf 2 februari 2025 gelden de verboden op onaanvaardbare AI-praktijken en de verplichting tot AI-geletterdheid. Vanaf 2 augustus 2026 gelden de meeste verplichtingen voor hoog-risico systemen uit Annex III. Organisaties hebben dus al een deel van de wet te respecteren, terwijl andere verplichtingen nog in aantocht zijn.
De volledige tijdlijn op een rij:
- 2 februari 2025: Verboden praktijken (Artikel 5) en AI-geletterdheidsplicht (Artikel 4) zijn van kracht.
- 2 augustus 2025: Verplichtingen voor GPAI-modellen, governance, boetebepalingen en aanwijzing van nationale toezichthouders.
- 2 augustus 2026: De meeste verplichtingen voor hoog-risico Annex III-systemen gaan in.
- 2 augustus 2027: Verplichtingen voor hoog-risico AI als veiligheidscomponent in gereguleerde producten (Annex I).
In 2026 is het dus al urgent om actie te ondernemen als je hoog-risico AI gebruikt. Finland was in januari 2026 de eerste lidstaat die handhavingsbevoegdheden formeel toekende aan zijn nationale autoriteit. Andere EU-landen volgen. Wachten is geen optie meer.
Hoe breng je de AI-systemen in je organisatie in kaart?
Je brengt AI-systemen in kaart door een gestructureerde AI-inventarisatie uit te voeren: ga door alle afdelingen heen, stel gerichte vragen aan teamleiders en IT, en documenteer elk systeem dat beslissingen ondersteunt, automatiseert of voorspellingen doet. Veel organisaties ontdekken daarbij dat ze meer AI gebruiken dan ze dachten, omdat AI steeds vaker ingebouwd zit in standaardsoftware.
Een praktische aanpak in vier stappen:
- Inventariseer per afdeling: Welke software, tools of diensten worden gebruikt waarbij AI een rol speelt? Denk aan HR-software met selectiealgoritmen, klantenserviceplatforms met AI voor klantvragen, of financiële tools met risicobeoordelingen.
- Beschrijf het doel en de werking: Wat doet het systeem, op basis van welke data, en welke beslissingen ondersteunt of neemt het?
- Classificeer het risiconiveau: Gebruik de vier categorieën uit de AI Act: onaanvaardbaar risico (verboden), hoog risico, beperkt risico, minimaal risico.
- Bepaal je rol: Ben je aanbieder (je ontwikkelt of brengt het systeem op de markt) of deployer (je gebruikt een systeem van een andere aanbieder)? Dit bepaalt welke verplichtingen voor jou gelden.
Leg de uitkomsten vast in een centraal register. Dit document vormt de basis voor je compliance-aanpak en is ook nuttig bij eventuele controles door toezichthouders.
Wat is het verschil tussen een AI-aanbieder en een AI-gebruiker?
Een AI-aanbieder (provider) is de partij die een AI-systeem ontwikkelt en op de markt brengt. Een AI-gebruiker (deployer) is de organisatie die een bestaand AI-systeem inzet in haar eigen context. Dit onderscheid is cruciaal omdat aanbieders aanzienlijk zwaardere verplichtingen hebben dan gebruikers, maar ook gebruikers zijn niet vrijgesteld van verantwoordelijkheid.
Als aanbieder ben je verantwoordelijk voor technische documentatie, conformiteitsbeoordelingen, CE-markering (bij hoog-risico AI), registratie in de EU-databank en het actief monitoren van je systeem na marktintroductie. Als deployer ben je verantwoordelijk voor correct gebruik conform de instructies van de aanbieder, menselijk toezicht, AI-geletterdheid bij je medewerkers en een grondrechteneffectbeoordeling bij hoog-risico toepassingen.
Let op: de grens tussen aanbieder en gebruiker kan verschuiven. Word je deployer als je een systeem aanpast, er je eigen naam op zet, of het inzet voor een doel waarvoor het niet bedoeld was, dan word je juridisch gezien zelf aanbieder. Dit geldt ook voor importeurs en distributeurs die substantiële wijzigingen aanbrengen. Controleer contracten met je softwareleveranciers om te begrijpen wie welke verantwoordelijkheid draagt.
Welke stappen zet je als eerste om AI Act-compliant te worden?
De eerste stap naar AI Act-compliance is een volledige inventarisatie van je AI-systemen, gevolgd door risicoklassificatie en het opstellen van een interne governance-structuur. Begin niet met de zwaarste verplichtingen, maar met de acties die nu al wettelijk verplicht zijn: de verboden praktijken vermijden en AI-geletterdheid organiseren.
Een concrete prioriteitenlijst voor 2026:
- Nu direct: Controleer of je organisatie AI-toepassingen gebruikt die vallen onder de verboden praktijken van Artikel 5. Denk aan emotieherkenning op de werkvloer of social scoring. Stop deze toepassingen onmiddellijk.
- Korte termijn: Voer een AI-inventarisatie uit zoals beschreven in de vorige sectie en classificeer elk systeem.
- Binnen enkele maanden: Zorg voor AI-geletterdheid bij medewerkers die AI-systemen gebruiken. Dit hoeft geen uitgebreide training te zijn, maar medewerkers moeten begrijpen wat het systeem doet, wat de beperkingen zijn en wanneer ze moeten ingrijpen.
- Governance inrichten: Wijs een verantwoordelijke aan voor AI-compliance, stel een intern beleid op en leg vast hoe je omgaat met meldingen van incidenten of afwijkingen.
- Contracten met leveranciers doorlichten: Zorg dat je van iedere AI-leverancier weet welke verplichtingen bij hen liggen en welke bij jou als deployer.
De boetes voor niet-naleving zijn aanzienlijk: overtredingen van de verboden praktijken kunnen leiden tot boetes van maximaal 35 miljoen euro of 7% van de wereldwijde jaaromzet. Non-conformiteit met overige verplichtingen kan oplopen tot 15 miljoen euro of 3%. Vroeg beginnen is dus niet alleen verstandig, het is noodzakelijk.
Hoe Pegamento helpt met AI Act-compliance
Wij begrijpen dat de AI Act voor veel organisaties een complex vraagstuk is, zeker als je AI al inzet in je klantcontact of bedrijfsprocessen. Bij Pegamento helpen we organisaties om grip te krijgen op hun AI-gebruik en dit op een verantwoorde manier in te richten. Dat doen we concreet door:
- Inzicht te geven in welke van onze AI-gedreven oplossingen onder welke risicocategorie vallen en welke documentatie daarbij hoort.
- Transparante technische documentatie te leveren zodat jij als deployer aan je verplichtingen kunt voldoen.
- Oplossingen op maat te bouwen met standaard bouwblokken, zodat je geen kostbaar ontwikkeltraject nodig hebt maar wel een systeem krijgt dat past bij jouw situatie en compliant is ingericht.
- Alles onder één dak te bieden: van implementatie tot beheer en ondersteuning, zonder dat je meerdere leveranciers hoeft te coördineren.
- Agentic AI in te zetten voor klantenservice: zelfdenkende assistenten die niet alleen instructies opvolgen, maar zelfstandig initiatief nemen. Dit is de evolutie van traditionele RPA naar Agentic AI, waarbij bots zijn doorgegroeid naar autonome assistenten die in staat zijn complexe taken te beoordelen en af te handelen.
Wil je weten hoe jouw organisatie er nu voor staat op het gebied van AI Act-compliance, of wil je bespreken hoe je AI verantwoord kunt inzetten? Neem contact met ons op en we denken graag met je mee.
Veelgestelde vragen
Wat gebeurt er als mijn organisatie nu nog niets heeft gedaan aan AI Act-compliance?
Als je nog geen stappen hebt gezet, is het belangrijk om direct te beginnen met de verplichtingen die al van kracht zijn: controleer of je verboden AI-praktijken gebruikt en zorg voor AI-geletterdheid bij medewerkers. Voor hoog-risico systemen uit Annex III heb je tot augustus 2026, maar gezien de benodigde voorbereidingstijd is uitstel riskant. Nationale toezichthouders in de EU worden actief en de boetes voor niet-naleving kunnen oplopen tot 35 miljoen euro of 7% van de wereldwijde jaaromzet.
Hoe weet ik of de AI-tools die ik inkoop bij een leverancier compliant zijn?
Vraag je leverancier expliciet om technische documentatie en vraag wie de aanbieder is in de zin van de AI Act. Als deployer ben jij verantwoordelijk voor correct gebruik, maar de aanbieder is verantwoordelijk voor conformiteitsbeoordelingen en CE-markering bij hoog-risico systemen. Controleer contracten op wie welke verantwoordelijkheid draagt en zorg dat je toegang hebt tot de informatie die je nodig hebt om je eigen verplichtingen na te komen, zoals instructies voor menselijk toezicht en logboeken.
Wat houdt AI-geletterdheid precies in en hoe organiseer ik dit praktisch?
AI-geletterdheid (Artikel 4) betekent dat medewerkers die met AI-systemen werken voldoende moeten begrijpen wat het systeem doet, wat de beperkingen zijn en wanneer ze moeten ingrijpen of een beslissing moeten overschrijven. Dit hoeft geen uitgebreide opleiding te zijn: een gerichte instructie per tool, afgestemd op de rol van de medewerker, is vaak voldoende. Leg vast welke trainingen zijn gegeven, aan wie en wanneer, zodat je dit bij een eventuele controle kunt aantonen.
Geldt de AI Act ook voor kleine organisaties en het mkb?
Ja, de AI Act geldt voor elke organisatie die AI-systemen inzet of ontwikkelt binnen de EU, ongeacht de bedrijfsgrootte of sector. Wel zijn er lichtere verplichtingen voor micro-ondernemingen bij bepaalde specifieke eisen, zoals de kosten van conformiteitsbeoordelingen. Voor de kernverplichtingen, zoals het vermijden van verboden praktijken en AI-geletterdheid, maakt de omvang van je organisatie geen verschil. Juist voor het mkb is een gestructureerde aanpak waardevol, omdat de beschikbare capaciteit voor compliance vaak beperkt is.
Wat is een grondrechteneffectbeoordeling en wanneer moet ik die uitvoeren?
Een grondrechteneffectbeoordeling (Fundamental Rights Impact Assessment, FRIA) is een analyse van de mogelijke impact van een hoog-risico AI-systeem op grondrechten zoals privacy, non-discriminatie en toegang tot diensten. Als deployer van een hoog-risico AI-systeem ben je verplicht deze beoordeling uit te voeren vóórdat je het systeem in gebruik neemt. De beoordeling documenteert welke risico's je hebt geïdentificeerd, welke maatregelen je neemt om die te mitigeren en hoe je menselijk toezicht hebt ingericht.
Wat zijn veelgemaakte fouten bij het opzetten van een AI-inventarisatie?
Een veelgemaakte fout is dat organisaties alleen kijken naar zelfstandige AI-tools en vergeten dat AI ook ingebouwd zit in bestaande software zoals HR-systemen, CRM-platformen of financiële applicaties. Een andere valkuil is het onderschatten van het risiconiveau: systemen die profielen aanmaken van medewerkers of klanten vallen altijd in de hoog-risico categorie, ook als ze op het eerste gezicht onschuldig lijken. Documenteer bij twijfel altijd je redenering schriftelijk, zodat je bij een controle kunt aantonen hoe je tot je classificatie bent gekomen.
Hoe moet ik omgaan met AI-systemen die we intern hebben ontwikkeld of sterk hebben aangepast?
Als je een AI-systeem intern hebt ontwikkeld, er je eigen naam op hebt gezet, of het hebt ingezet voor een doel waarvoor het oorspronkelijk niet bedoeld was, word je juridisch gezien aanbieder in plaats van deployer. Dit betekent dat de zwaardere verplichtingen voor aanbieders op jou van toepassing zijn, waaronder technische documentatie, conformiteitsbeoordelingen en registratie in de EU-databank bij hoog-risico systemen. Beoordeel dit per systeem zorgvuldig en leg de redenering vast.


