Een AI Act checklist is een gestructureerd overzicht van verplichtingen waaraan je organisatie moet voldoen op basis van de EU AI Act (Verordening (EU) 2024/1689). Je gebruikt zo’n checklist door eerst je AI-systemen te inventariseren, ze te classificeren op risiconiveau en vervolgens per categorie de bijbehorende compliance-stappen te doorlopen. De wet geldt voor iedereen die AI ontwikkelt, gebruikt, importeert of distribueert in de EU. In dit artikel beantwoorden we de meest gestelde vragen over AI compliance en hoe je die aanpakt.
Welke organisaties moeten voldoen aan de AI Act?
De EU AI Act geldt voor elke organisatie die AI-systemen ontwikkelt, op de markt brengt, importeert, distribueert of gebruikt binnen de Europese Unie, ongeacht waar die organisatie gevestigd is. Ook als je buiten de EU zit maar je AI-systeem output produceert die binnen de EU wordt gebruikt, val je onder de wet. Dat maakt het toepassingsgebied breed en extraterritoriaal.
De wet onderscheidt vier rollen met elk eigen verplichtingen:
- Aanbieder (provider): de partij die een AI-systeem ontwikkelt en op de markt brengt. Heeft de zwaarste verplichtingen.
- Deployer (gebruiksverantwoordelijke): elke organisatie die een AI-systeem onder eigen gezag inzet. Heeft lichtere maar serieuze verplichtingen.
- Importeur: verantwoordelijk voor verificatie van conformiteit voordat een systeem de EU-markt betreedt.
- Distributeur: moet de aanwezigheid van verplichte documenten controleren en verspreiding staken bij non-conformiteit.
Een belangrijk aandachtspunt is dat je ongemerkt van deployer naar aanbieder kunt worden. Dat gebeurt wanneer je je naam op een systeem zet, een substantiële wijziging aanbrengt of het beoogde doel zodanig aanpast dat een systeem hoog-risico wordt. Organisaties die AI-systemen inkopen en intern aanpassen, moeten hier alert op zijn. Aanbieders buiten de EU zijn verplicht een gemachtigde vertegenwoordiger in de EU aan te wijzen.
Hoe werkt de risicoclassificatie in de AI Act?
De AI Act deelt AI-systemen in vier risiconiveaus in: verboden toepassingen, hoog-risico AI, AI met beperkt risico en AI met minimaal of geen risico. Het risiconiveau bepaalt welke verplichtingen op jouw systeem van toepassing zijn. De meeste AI-toepassingen vallen in de laagste categorie en blijven grotendeels ongereguleerd.
Verboden AI-toepassingen
Toepassingen met een onaanvaardbaar risico zijn volledig verboden. Dit zijn onder andere manipulatieve technieken die buiten iemands bewustzijn gedrag sturen en schade veroorzaken, social scoring door overheden, predictive policing op basis van profilering en het aanleggen van gezichtsherkenningsdatabases via ongerichte scraping. Ook emotieherkenning op de werkplek of in onderwijsinstellingen valt hieronder, met uitzondering van medische of veiligheidstoepassingen. Deze verboden zijn van kracht sinds 2 februari 2025.
Hoog-risico AI-systemen
Een systeem is hoog-risico als het een veiligheidscomponent is van een gereguleerd product dat een conformiteitsbeoordeling door een derde vereist, of als het valt onder een van de acht domeinen van Annex III. Die domeinen zijn biometrie, kritieke infrastructuur, onderwijs en beroepsopleiding, werkgelegenheid en personeelsbeheer, toegang tot essentiële diensten zoals kredietwaardigheid en verzekeringen, rechtshandhaving, migratie en grenscontrole en rechtsbedeling. Systemen die profilering van personen uitvoeren, zijn altijd hoog-risico.
Wat staat er op een AI Act checklist voor hoog-risico systemen?
Een AI Act checklist voor hoog-risico systemen bevat de verplichte maatregelen die aanbieders en deployers moeten nemen om aan de wet te voldoen. Voor aanbieders zijn de eisen het uitgebreidst; deployers hebben een kortere maar niet te verwaarlozen lijst.
Voor aanbieders omvat een volledige checklist minimaal:
- Een continu risicomanagementsysteem gedurende de gehele levenscyclus van het systeem
- Gebruik van trainings-, validatie- en testdata die representatief en zo veel mogelijk vrij van fouten zijn
- Systematisch onderzoek naar en mitigatie van potentiële bias
- Technische documentatie conform Annex IV
- Automatische logging van gebeurtenissen gedurende de levensduur
- Een duidelijke gebruiksaanwijzing voor deployers
- Een ontwerp dat effectief menselijk toezicht mogelijk maakt, inclusief bewustzijn van automation bias
- Waarborgen voor nauwkeurigheid, robuustheid en cybersecurity
- Een kwaliteitsmanagementsysteem
- Een conformiteitsbeoordeling en EU-conformiteitsverklaring
- CE-markering en registratie in de EU-databank
Voor deployers bevat de checklist:
- Het systeem inzetten conform de gebruiksaanwijzing van de aanbieder
- Menselijk toezicht toewijzen aan bekwame en getrainde personen
- Logs minimaal zes maanden bewaren
- Werknemers informeren vóór ingebruikname (Artikel 26(7))
- Waar van toepassing een gegevensbeschermingseffectbeoordeling (DPIA) uitvoeren
Personen die aan een beslissing van een hoog-risico systeem zijn onderworpen, hebben op grond van Artikel 86 het recht om een uitleg op te vragen over de bepalende factoren achter die beslissing. Dat moet je als deployer kunnen faciliteren.
Wanneer moet je organisatie compliant zijn met de AI Act?
De AI Act wordt gefaseerd van kracht. Welke deadline voor jouw organisatie het meest relevant is, hangt af van de rol die je vervult en het type AI-systeem dat je gebruikt of ontwikkelt. De belangrijkste data zijn:
- 2 februari 2025: Verboden van Artikel 5 en de AI-geletterdheidsplicht (Artikel 4) zijn van kracht.
- 2 augustus 2025: Verplichtingen voor GPAI-modellen, governancestructuur en boetebepalingen gelden. Nationale toezichtautoriteiten moeten zijn aangewezen.
- 2 augustus 2026: De meeste verplichtingen voor hoog-risico Annex III-systemen worden afdwingbaar. Dit is de meest relevante deadline voor de meeste organisaties.
- 2 augustus 2027: Verplichtingen voor hoog-risico AI als veiligheidscomponent van gereguleerde producten (Annex I) worden actief. GPAI-modellen die vóór augustus 2025 op de markt waren, moeten dan ook conform zijn.
Omdat 2026 de kritieke deadline is voor de meeste hoog-risico toepassingen, is nu het moment om je AI-register op orde te brengen en compliance-trajecten op te starten.
Hoe gebruik je de AI Act checklist stap voor stap?
Je gebruikt een AI Act checklist door systematisch vier stappen te doorlopen: inventariseren, classificeren, verplichtingen bepalen en implementeren. Elke stap bouwt voort op de vorige en geeft je een helder beeld van wat er nog moet gebeuren.
Stap 1: Inventariseer alle AI-systemen. Leg een register aan van alle AI-systemen die je organisatie ontwikkelt, inkoopt of gebruikt. Noteer per systeem ook de rol die je vervult: ben je aanbieder, deployer, importeur of distributeur? Let op situaties waarin je ongemerkt aanbieder kunt worden door aanpassingen aan een bestaand systeem.
Stap 2: Classificeer elk systeem op risiconiveau. Bepaal voor elk systeem of het onder een verbod valt, hoog-risico is, beperkt risico heeft of minimaal risico heeft. Controleer daarvoor de acht domeinen van Annex III en of het systeem profilering van personen uitvoert. Documenteer je redenering, zeker als je concludeert dat een Annex III-systeem buiten de hoog-risico-categorie valt.
Stap 3: Bepaal de verplichtingen per systeem en rol. Gebruik de checklist uit de vorige sectie als basis. Voeg hier ook de AI-geletterdheidsplicht aan toe: je medewerkers moeten voldoende kennis hebben van AI om het verantwoord te gebruiken.
Stap 4: Implementeer en documenteer. Zet de vereiste processen op, stel documentatie op, wijs verantwoordelijken aan voor menselijk toezicht en zorg dat logging en bewaarplichten zijn ingericht. Plan periodieke reviews, want AI-systemen kunnen gedurende hun levenscyclus van risicocategorie veranderen.
Wat zijn de gevolgen van niet-naleving van de AI Act?
Niet-naleving van de AI Act kan leiden tot aanzienlijke boetes, afhankelijk van de aard van de overtreding. De boetestructuur kent drie niveaus en is van kracht vanaf 2 augustus 2025. Voor kleine en middelgrote ondernemingen geldt telkens het laagste van het percentage of het vaste bedrag.
- Overtreding van de verboden (Artikel 5): maximaal 35 miljoen euro of 7% van de wereldwijde jaaromzet, naargelang welk bedrag hoger is.
- Non-conformiteit met overige verplichtingen: maximaal 15 miljoen euro of 3% van de wereldwijde jaaromzet.
- Onjuiste of misleidende informatie aan autoriteiten: maximaal 7,5 miljoen euro of 1% van de wereldwijde jaaromzet.
Naast boetes zijn er ook reputatierisico’s. Toezicht op hoog-risico AI berust bij nationale markttoezichtautoriteiten, wat kan leiden tot verschillen in handhavingsprioriteiten per lidstaat. Finland was in januari 2026 de eerste lidstaat die handhavingsbevoegdheden krachtens Artikel 99 toekende aan zijn autoriteit. Het is dus realistisch te verwachten dat handhaving in de komende jaren concreter en actiever wordt.
Hoe Pegamento helpt met AI compliance
AI compliance is geen eenmalig project, maar een doorlopend proces dat technische, organisatorische en juridische aspecten combineert. Wij helpen Nederlandse organisaties bij het verantwoord inzetten van AI, waarbij we Agentic AI voor customer service positioneren als een evolutie van uitvoerende bots naar zelfdenkende assistenten die zelfstandig initiatief nemen en handelen. Dat vraagt om een heldere governance-structuur en gedegen documentatie, precies waar compliance-trajecten op gebouwd zijn.
Wat wij concreet bieden:
- Inventarisatie en classificatie van je bestaande en geplande AI-systemen
- Begeleiding bij het opstellen van technische documentatie en risicomanagementsystemen
- Implementatie van menselijk toezicht en logging conform de AI Act-vereisten
- Oplossingen op maat met standaard bouwblokken, geen kostbaar maatwerk maar een slimme combinatie van bewezen modules
- Alles onder één dak: van advies en implementatie tot beheer en ondersteuning, zonder complexe leveranciersstructuren
Wij zijn ISO 27001 (informatiebeveiliging), ISO 9001 en ISO 26000 gecertificeerd, wat betekent dat informatiebeveiliging en kwaliteitsborging structureel verankerd zijn in onze werkwijze. Wil je weten waar jouw organisatie staat op het gebied van AI compliance? Neem contact op en we denken graag met je mee.
Veelgestelde vragen
Hoe weet ik of mijn AI-systeem onder Annex III valt als het meerdere functies heeft?
Als een AI-systeem meerdere functies heeft, beoordeel je elk gebruik afzonderlijk op basis van het beoogde doel. Zodra één van de functies binnen een van de acht Annex III-domeinen valt én een significante invloed heeft op beslissingen over personen, is het systeem als geheel hoog-risico. Documenteer je redenering altijd zorgvuldig, want de toezichthouder kan vragen om een onderbouwing van je classificatiebeslissing.
Wat is precies de AI-geletterdheidsplicht en hoe voldoe ik daaraan?
De AI-geletterdheidsplicht (Artikel 4) verplicht organisaties om ervoor te zorgen dat medewerkers die met AI-systemen werken voldoende kennis en vaardigheden hebben om die systemen verantwoord te gebruiken. In de praktijk betekent dit dat je trainingen aanbiedt, afgestemd op de rol van de medewerker: iemand die een hoog-risico systeem beheert, heeft diepgaandere kennis nodig dan een eindgebruiker. Leg vast welke trainingen zijn gevolgd en wanneer, zodat je dit kunt aantonen bij een eventuele audit.
Geldt de AI Act ook voor AI-systemen die we intern gebruiken en nooit aan klanten aanbieden?
Ja, ook intern gebruikte AI-systemen vallen onder de AI Act als ze hoog-risico zijn, bijvoorbeeld bij gebruik in HR-processen zoals werving, prestatiebeoordeling of ontslag. In dat geval ben je deployer en gelden de bijbehorende verplichtingen, zoals menselijk toezicht, logbewaring en het informeren van werknemers vóór ingebruikname. Alleen AI-systemen die uitsluitend voor persoonlijk, niet-professioneel gebruik worden ingezet, zijn vrijgesteld.
Wat moet ik doen als een leverancier geen technische documentatie of gebruiksaanwijzing kan aanleveren?
Als een aanbieder de verplichte documentatie niet kan leveren, loop je als deployer een serieus compliancerisico. Vraag de leverancier expliciet om de Annex IV-documentatie en een gebruiksaanwijzing conform de AI Act; stel dit eventueel contractueel vast. Kan of wil de leverancier dit niet aanleveren, dan is het verstandig het gebruik van dat systeem te heroverwegen of juridisch advies in te winnen over de verdeling van aansprakelijkheid.
Hoe vaak moet ik mijn AI-register en risicobeoordelingen bijwerken?
Er is geen wettelijk vastgelegde minimumfrequentie, maar de AI Act vereist een continu risicomanagementsysteem gedurende de gehele levenscyclus van een hoog-risico systeem. In de praktijk betekent dit dat je het register en de risicobeoordelingen herziet bij elke substantiële wijziging van een systeem, bij nieuwe use cases, bij veranderingen in de wetgeving of bij incidenten. Een jaarlijkse geplande review is een goede basisregel, aangevuld met ad-hoc updates wanneer de situatie daarom vraagt.
Wat is het verschil tussen een DPIA en een grondrechtenimpactbeoordeling onder de AI Act?
Een DPIA (gegevensbeschermingseffectbeoordeling) is een verplichting onder de AVG en richt zich specifiek op privacyrisico's bij de verwerking van persoonsgegevens. De grondrechtenimpactbeoordeling (Artikel 27 van de AI Act) is breder en verplicht voor deployers van bepaalde hoog-risico AI-systemen in de publieke sector of bij diensten van publiek belang; deze beoordeelt de impact op een bredere set grondrechten. Beide beoordelingen kunnen overlappen maar zijn niet uitwisselbaar: controleer voor elk hoog-risico systeem of één of beide van toepassing zijn.
Kunnen kleine organisaties en start-ups een vereenvoudigde aanpak volgen voor AI Act compliance?
De AI Act kent geen formele vrijstelling voor kleine organisaties, maar de boetestructuur houdt wel rekening met bedrijfsomvang: voor kmo's geldt het laagste van het percentage of het vaste bedrag. Praktisch gezien kunnen kleinere organisaties prioriteit geven aan de meest risicovolle systemen en beginnen met een beknopt AI-register en een gedocumenteerde risicoafweging. Schaalbare compliance-bouwblokken, zoals die van gespecialiseerde partners, zijn een kostenefficiënte manier om aan de verplichtingen te voldoen zonder een volledig intern juridisch en technisch team op te bouwen.


