Boetes onder de AI Act kunnen oplopen tot 35 miljoen euro of 7% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. De hoogte hangt af van de ernst van de overtreding: de zwaarste sancties gelden voor verboden AI-praktijken, terwijl lichtere overtredingen lagere maxima kennen. In dit artikel beantwoorden we de meest gestelde vragen over handhaving, boetes en wat je als organisatie kunt doen om compliant te blijven. Wil je alvast weten hoe AI-gedreven intelligentie er binnen een verantwoord kader uitziet? Lees dan verder.
Hoe hoog kunnen de boetes onder de AI Act oplopen?
De AI Act kent drie boetecategorieën met oplopende maxima. De zwaarste boete bedraagt 35 miljoen euro of 7% van de wereldwijde jaaromzet. De middelste categorie gaat tot 15 miljoen euro of 3%, en de lichtste categorie tot 7,5 miljoen euro of 1%. Telkens geldt het hoogste van de twee bedragen, behalve voor kleine en middelgrote ondernemingen.
Voor kmo’s en start-ups geldt een gunstigere regel: zij betalen het laagste van het vaste bedrag of het percentage. Dat biedt enige bescherming voor kleinere spelers, maar neemt de verplichting tot naleving niet weg.
De boetebepalingen zijn vastgelegd in Artikel 99 van de verordening en zijn van kracht sinds 2 augustus 2025. Aanbieders van General Purpose AI-modellen (GPAI) vallen onder een apart regime en kunnen door de Europese Commissie worden beboet tot maximaal 15 miljoen euro of 3% van de jaaromzet op grond van Artikel 101.
Welke overtredingen leiden tot de zwaarste sancties?
De zwaarste boetes, tot 35 miljoen euro of 7% van de wereldwijde jaaromzet, worden opgelegd bij overtredingen van de verboden praktijken uit Artikel 5. Dit zijn AI-toepassingen die als onaanvaardbaar risico worden beschouwd en per 2 februari 2025 al volledig verboden zijn.
Voorbeelden van verboden praktijken die de maximale boete kunnen uitlokken:
- Subliminale of manipulatieve technieken die gedrag sturen buiten iemands bewustzijn en aanzienlijke schade veroorzaken
- Het uitbuiten van kwetsbaarheden op basis van leeftijd, handicap of sociaaleconomische situatie
- Social scoring door overheidsinstanties
- Predictive policing uitsluitend op basis van profilering
- Het aanleggen van gezichtsherkenningsdatabases via ongerichte scraping
- Emotieherkenning op de werkplek of in onderwijsinstellingen (buiten medische of veiligheidsuitzonderingen)
- Real-time biometrische identificatie op afstand in openbare ruimten voor rechtshandhaving, buiten de strikte uitzonderingen
Non-conformiteit met de overige verplichtingen, zoals het ontbreken van technische documentatie of een onvolledig risicomanagementsysteem voor hoog-risico AI, leidt tot boetes in de middelste categorie: maximaal 15 miljoen euro of 3%. Het verstrekken van onjuiste of misleidende informatie aan toezichthoudende autoriteiten valt in de lichtste categorie: maximaal 7,5 miljoen euro of 1%.
Wie handhaaft de AI Act en legt boetes op?
Handhaving van de AI Act is verdeeld over twee niveaus. Het Europese AI Office, opgericht binnen het Directoraat-Generaal CNECT van de Europese Commissie, is verantwoordelijk voor toezicht op GPAI-modellen in alle 27 lidstaten. Voor hoog-risico AI in het algemeen zijn nationale markttoezichtautoriteiten bevoegd.
Dit decentrale model betekent in de praktijk dat handhavingsprioriteiten en interpretaties per lidstaat kunnen verschillen. Finland was in januari 2026 de eerste lidstaat die formele handhavingsbevoegdheden op grond van Artikel 99 aan zijn nationale autoriteit toekende.
Naast de nationale autoriteiten speelt de AI Board, met één vertegenwoordiger per lidstaat, een coördinerende rol. Een onafhankelijk wetenschappelijk panel adviseert over de implementatie en kan een gekwalificeerde waarschuwing afgeven wanneer het risico’s signaleert. De Commissie zelf kan GPAI-aanbieders direct beboeten via Artikel 101.
Geldt de AI Act ook voor niet-Europese bedrijven?
Ja, de AI Act heeft een extraterritoriale werking. De verordening geldt voor iedereen die AI-systemen ontwikkelt, op de markt brengt, importeert of gebruikt binnen de EU, ongeacht het vestigingsland van de organisatie. Ook wanneer de output van een buiten de EU gemaakt systeem binnen de EU wordt gebruikt, is de wet van toepassing.
Dit mechanisme wordt ook wel het "Brussels effect" genoemd, vergelijkbaar met de wereldwijde invloed die de AVG/GDPR na 2018 had op hoe bedrijven wereldwijd omgaan met persoonsgegevens. Bedrijven buiten de EU die AI-systemen aan Europese gebruikers aanbieden, zijn verplicht een gemachtigde vertegenwoordiger in de EU aan te wijzen.
Importeurs en distributeurs hebben ook eigen verplichtingen: zij moeten controleren of conformiteitsbeoordelingen zijn uitgevoerd, of de CE-markering en conformiteitsverklaring aanwezig zijn, en de documentatie tien jaar bewaren. Een distributeur of importeur die zijn naam op een systeem zet of een substantiële wijziging aanbrengt, wordt zelf aanbieder met alle bijbehorende verantwoordelijkheden.
Wanneer treedt de handhaving van de AI Act in werking?
De handhaving van de AI Act wordt gefaseerd ingevoerd en is niet op één datum volledig van kracht. De eerste verplichtingen, waaronder de verboden praktijken en de AI-geletterdheidsplicht, zijn al actief sinds 2 februari 2025. De boetebepalingen zelf zijn van kracht sinds 2 augustus 2025.
De volledige tijdlijn ziet er als volgt uit:
- 2 februari 2025: Verboden praktijken (Artikel 5) en AI-geletterdheidsplicht (Artikel 4) zijn van kracht
- 2 augustus 2025: Boetebepalingen (Artikel 99), GPAI-verplichtingen, governancestructuur en aanwijzing van nationale autoriteiten
- 2 augustus 2026: De meeste verplichtingen voor hoog-risico Annex III-systemen worden afdwingbaar
- 2 augustus 2027: Verplichtingen voor hoog-risico AI als veiligheidscomponent van gereguleerde producten (Annex I); GPAI-modellen die vóór augustus 2025 op de markt waren, moeten uiterlijk dan conform zijn
In 2026 is de handhaving van hoog-risico systemen dus de eerstvolgende grote mijlpaal. Organisaties die nu nog niet begonnen zijn met hun compliance-traject, hebben weinig marge meer.
Hoe kunnen organisaties boetes voorkomen?
Organisaties kunnen boetes voorkomen door nu een gestructureerd AI-register aan te leggen van alle AI-systemen die ze ontwikkelen of gebruiken, en per systeem hun rol te bepalen: zijn ze aanbieder, deployer, importeur of distributeur? Die rolbepaling is cruciaal omdat de verplichtingen per rol sterk verschillen.
Praktische stappen om compliant te blijven:
- Leg een volledig register aan van alle AI-systemen en classificeer ze op risiconiveau
- Controleer of een van je systemen valt onder de verboden praktijken van Artikel 5, die al van kracht zijn
- Zorg voor aantoonbare AI-geletterdheid bij medewerkers die met AI-systemen werken
- Stel technische documentatie op voor hoog-risico systemen en richt een risicomanagementsysteem in
- Wijs bij hoog-risico AI verantwoordelijke personen aan die menselijk toezicht uitvoeren
- Bewaar logs van hoog-risico systemen minimaal zes maanden
- Informeer medewerkers vóór ingebruikname van hoog-risico AI-systemen (Artikel 26(7))
- Let op de omstandigheden die je ongemerkt tot aanbieder kunnen maken, zoals het aanpassen van een bestaand systeem of het zetten van je naam erop
Let ook op de grens tussen deployer en aanbieder: wie een substantiële wijziging aanbrengt aan een AI-systeem of het beoogde gebruik zodanig verandert dat het systeem hoog-risico wordt, neemt automatisch de volledige aanbiedersverplichting op zich.
Hoe Pegamento helpt met AI Act compliance
Bij Pegamento begrijpen we dat de AI Act voor veel organisaties een complex vraagstuk is, zeker wanneer je al werkt met meerdere AI-toepassingen in je klantcontactprocessen. Wij helpen je om verantwoord en compliant gebruik te maken van AI, zonder dat je in de valkuilen van de regelgeving stapt.
Wat we voor je kunnen doen:
- Inzicht geven in welke van jouw AI-toepassingen onder de AI Act vallen en welk risiconiveau van toepassing is
- AI-oplossingen leveren die zijn ingericht met menselijk toezicht als uitgangspunt, conform de eisen voor hoog-risico systemen
- Onze Agentic AI voor customer service implementeren op een manier die transparant, controleerbaar en gedocumenteerd is
- Alles onder één dak aanbieden: van advies en implementatie tot beheer en ondersteuning, zonder silo’s of complexe leveranciersstructuren
- Werken vanuit onze ISO 27001-gecertificeerde werkwijze, aangevuld met ISO 9001 en ISO 26000, zodat informatiebeveiliging en kwaliteit gewaarborgd zijn
Onze aanpak combineert bewezen standaard bouwblokken tot een oplossing die precies past bij jouw organisatie, zonder kostbaar maatwerk. Zo profiteer je van de voordelen van AI terwijl je de risico’s van non-compliance beheersbaar houdt. Wil je weten hoe we dat voor jouw organisatie kunnen invullen? Neem contact met ons op en we denken graag met je mee.
Veelgestelde vragen
Wat is het verschil tussen een aanbieder en een deployer onder de AI Act, en waarom maakt dat uit voor mijn boeterisico?
Een aanbieder (provider) is de partij die een AI-systeem ontwikkelt en op de markt brengt, terwijl een deployer het systeem van een ander inzet in zijn eigen bedrijfsprocessen. Dit onderscheid is cruciaal omdat aanbieders veel zwaardere verplichtingen hebben, zoals het opstellen van technische documentatie, het uitvoeren van conformiteitsbeoordelingen en het aanbrengen van een CE-markering. Let op: als deployer kun je ongemerkt aanbieder worden — bijvoorbeeld wanneer je een ingekocht AI-systeem substantieel aanpast of het voor een ander doel inzet dan waarvoor het was bedoeld.
Hoe weet ik of mijn AI-systeem als 'hoog-risico' wordt geclassificeerd?
Hoog-risico AI-systemen zijn opgesomd in Bijlage I en Bijlage III van de AI Act en omvatten toepassingen in sectoren zoals onderwijs, personeelsbeheer, kredietverlening, rechtshandhaving en kritieke infrastructuur. Een praktische eerste stap is om per AI-systeem te beoordelen in welke context het wordt ingezet en welke beslissingen het (mede) beïnvloedt. Systemen die significante impact hebben op de toegang van mensen tot diensten, kansen of rechten, vallen al snel in de hoog-risico categorie en vereisen een volledig risicomanagementsysteem, technische documentatie en menselijk toezicht.
Wat houdt de AI-geletterdheidsplicht precies in, en hoe toon ik aan dat mijn organisatie hieraan voldoet?
De AI-geletterdheidsplicht (Artikel 4) verplicht aanbieders én deployers om ervoor te zorgen dat medewerkers die met AI-systemen werken voldoende kennis en vaardigheden hebben om die systemen verantwoord te gebruiken. In de praktijk betekent dit dat je trainingen of bewustwordingsprogramma's moet opzetten, afgestemd op de rol van de medewerker en het risiconiveau van het systeem. Aantoonbaarheid is hierbij essentieel: leg trainingen, deelnemerslijsten en leerinhoud vast zodat je bij een audit kunt bewijzen dat je aan deze verplichting voldoet.
Kunnen boetes onder de AI Act worden gecombineerd met GDPR-boetes voor hetzelfde incident?
Ja, dat is in principe mogelijk. Veel AI-systemen verwerken persoonsgegevens, waardoor een overtreding tegelijkertijd zowel de AI Act als de AVG/GDPR kan schenden — denk aan een gezichtsherkenningssysteem dat zonder rechtsgrondslag biometrische data verwerkt. De toezichthoudende autoriteiten zijn in dat geval verplicht tot samenwerking en afstemming, maar dubbele sancties zijn niet uitgesloten. Dit maakt het des te belangrijker om AI-compliance en privacycompliance als één geïntegreerd traject aan te pakken in plaats van als aparte silo's.
Wat moet ik doen als ik AI-systemen van externe leveranciers gebruik — ben ik dan zelf ook aansprakelijk?
Als deployer ben je verantwoordelijk voor het correcte gebruik van het AI-systeem binnen jouw organisatie, ook als het systeem is ontwikkeld door een externe partij. Je bent onder meer verplicht om te controleren of de aanbieder een conformiteitsbeoordeling heeft uitgevoerd, of de CE-markering aanwezig is en of de technische documentatie beschikbaar is. Leg contractueel vast welke verplichtingen bij de aanbieder liggen en welke bij jou, en zorg dat je toegang hebt tot de informatie die je nodig hebt voor menselijk toezicht en incidentrapportage.
Is er een overgangsregeling voor AI-systemen die al vóór de AI Act in gebruik waren?
Ja, er gelden overgangsbepalingen voor bestaande systemen. AI-systemen die al vóór 2 augustus 2026 op de markt waren en als hoog-risico worden geclassificeerd onder Bijlage III, hoeven pas per die datum volledig compliant te zijn. Voor systemen die vallen onder Bijlage I (veiligheidscomponenten van gereguleerde producten) geldt een deadline van 2 augustus 2027. GPAI-modellen die vóór augustus 2025 al beschikbaar waren, moeten uiterlijk 2 augustus 2027 aan de verplichtingen voldoen. Deze overgangsperiodes bieden ruimte, maar zijn geen excuus om compliance-trajecten uit te stellen — de voorbereidingstijd is aanzienlijk.
Wat zijn de meest voorkomende fouten die organisaties maken bij het voorbereiden op de AI Act?
Een veelgemaakte fout is het onderschatten van de scope: veel organisaties realiseren zich niet hoeveel AI-systemen ze al in gebruik hebben, inclusief ingebedde AI in SaaS-tools of HR-software van derden. Een tweede veelvoorkomende fout is het te laat starten met het opstellen van technische documentatie en risicobeoordelingen, waardoor er onvoldoende tijd is voor een gedegen implementatie. Tot slot vergeten organisaties regelmatig hun rol kritisch te beoordelen: wie een bestaand systeem aanpast of hergebruikt buiten het oorspronkelijke toepassingsgebied, neemt automatisch aanbiedersverplichting op zich — met alle bijbehorende compliance-eisen.


