AI Act-verplichtingen voor Nederlandse bedrijven: wat moet wanneer?
De AI Act is geen stip op de horizon meer: de eerste onderdelen zijn al van kracht en de volgende deadlines staan vast. Toch behandelen veel Nederlandse bedrijven de wet nog als een probleem voor later. Deze gids zet op een rij welke verplichtingen wanneer gelden en wat je nu al moet regelen.
De AI Act werkt met een risico-indeling: hoe groter het risico van een AI-toepassing, hoe zwaarder de verplichtingen. Voor de meeste SaaS- en AI-bedrijven is de eerste stap dus niet compliance-paperwork, maar uitzoeken in welke categorie je product valt.
Daarnaast maakt de wet onderscheid tussen aanbieders (wie een AI-systeem ontwikkelt of onder eigen naam op de markt brengt) en gebruikers, in de wet 'gebruiksverantwoordelijken' (wie een AI-systeem inzet in de eigen bedrijfsvoering). Aanbieders dragen de zwaarste verplichtingen, maar ook als gebruiker heb je plichten. Bouw je een product bovenop een bestaand model en verkoop je dat onder eigen naam, dan kun je als aanbieder worden aangemerkt.
De vier risicocategorieën
Verboden praktijken zijn AI-toepassingen die de EU onacceptabel vindt, zoals social scoring door overheden en bepaalde vormen van manipulatie. Dit verbod is al van kracht.
Hoogrisico-AI omvat systemen in domeinen als werving en selectie, kredietbeoordeling, onderwijs en kritieke infrastructuur. Hier gelden straks eisen rond risicomanagement, datakwaliteit, documentatie, menselijke controle en logging.
Beperkt risico draait om transparantie: gebruikers moeten weten dat ze met AI te maken hebben. Denk aan chatbots en AI-gegenereerde content. Minimaal risico, de grootste categorie, kent geen specifieke verplichtingen. Een spamfilter of een AI-feature die tekst samenvat valt hier doorgaans onder.
De deadlines op een rij
De verboden praktijken en de regels voor general-purpose AI-modellen (GPAI) zijn al van kracht. Wie een verboden toepassing draait of een groot AI-model aanbiedt, moet nu al voldoen.
Per 2 december 2026 gelden de transparantieverplichtingen: AI-content moet herkenbaar zijn als AI-gegenereerd en gebruikers moeten weten dat ze met een AI-systeem communiceren. Voor iedereen die chatbots, AI-avatars of gegenereerde content in het product heeft, is dit de eerstvolgende harde deadline.
Per 2 december 2027 gelden de verplichtingen voor stand-alone hoogrisico-AI. Voor AI die onderdeel is van gereguleerde producten (zoals medische hulpmiddelen of machines) volgt de deadline op 2 augustus 2028.
Wat je nu al regelt
Begin met een inventarisatie: welke AI-systemen bouw, verkoop of gebruik je, en in welke risicocategorie vallen ze? Leg per systeem vast of je aanbieder of gebruiker bent. Dit kost een middag en is de basis voor alles wat volgt.
Richt daarna labeling in. Genereert je product tekst, beeld of audio richting eindgebruikers, dan moet dat per 2 december 2026 herkenbaar zijn als AI-content. Bouw dit nu in je roadmap in, niet in november 2026.
Start ten slotte met documentatie. Ook als je pas in 2027 onder de hoogrisico-eisen valt: technische documentatie, datasets en ontwerpkeuzes achteraf reconstrueren is vele malen duurder dan bijhouden vanaf nu. Enterprise-klanten vragen er in security reviews bovendien nu al naar.
Het misverstand: uitstel is geen afstel
In discussies over de AI Act duikt regelmatig het beeld op dat de wet is uitgesteld en dus voorlopig genegeerd kan worden. Dat klopt niet. De verboden en GPAI-regels gelden al, en de deadlines van december 2026 en december 2027 staan in de verordening. Wie wacht tot handhaving zichtbaar wordt, bouwt intussen technische en contractuele schuld op.
Deze gids is algemene informatie, geen juridisch advies. Twijfel je over de classificatie van je product of je rol als aanbieder, leg het dan voor aan een jurist die gespecialiseerd is in AI-regelgeving. Dat is meestal een kort en betaalbaar traject vergeleken met achteraf herstellen.
Veelgestelde vragen
Geldt de AI Act ook voor kleine bedrijven en startups?
Ja. De AI Act kent geen algemene uitzondering voor kleine bedrijven. De verplichtingen hangen af van de risicocategorie van je AI-systeem en je rol (aanbieder of gebruiker), niet van je bedrijfsomvang. Wel zijn er lichtere voorzieningen voor mkb, zoals toegang tot regulatory sandboxes.
Wanneer moet ik AI-gegenereerde content labelen?
De transparantieverplichtingen uit de AI Act gelden per 2 december 2026. Vanaf dan moet AI-gegenereerde content herkenbaar zijn en moeten gebruikers weten dat ze met een AI-systeem communiceren. Het is verstandig dit eerder in te bouwen, omdat klanten en partners er nu al om vragen.
Ben ik aanbieder als ik een AI-feature bouw op GPT of een ander bestaand model?
Dat kan. Wie een AI-systeem onder eigen naam of merk op de markt brengt, kan als aanbieder gelden, ook als het onderliggende model van een derde partij komt. De precieze beoordeling hangt af van wat je aanpast en hoe je het aanbiedt. Twijfel je, raadpleeg dan een specialist in AI-regelgeving.