2 augustus 2026. Zet het in uw agenda.
Dat is de datum waarop de vereisten van de EU AI Act voor hoog-risico AI-systemen volledig van kracht worden. De boetes voor non-compliance reiken tot 35 miljoen euro of 7% van de wereldwijde jaaromzet - welke hoger is. Dit is geen verre zorg. U heeft maanden, geen jaren, om u voor te bereiden.
Deze gids behandelt alles wat u moet weten: welke systemen worden getroffen, wat compliance vereist, en hoe u daar komt.
De Risicoclassificatie Begrijpen
De EU AI Act categoriseert AI-systemen in vier risiconiveaus:
Verboden (Reeds van Kracht)
Sommige AI-praktijken zijn ronduit verboden:
- Sociale scoring door overheden
- Realtime biometrische identificatie in openbare ruimtes (met beperkte uitzonderingen)
- Manipulatie van kwetsbare groepen
- Emotieherkenning op werkplekken en scholen (met uitzonderingen)
Als u een van deze doet, stop onmiddellijk.
Hoog-Risico (Augustus 2026)
AI-systemen die significant impact hebben op rechten, veiligheid of toegang tot essentiele diensten van mensen. Hier zou de meeste enterprise-aandacht op gericht moeten zijn:
- Kredietscore en leenbeslissingen
- Werving en arbeidsbeslissingen
- Onderwijstoelatingen en beoordelingen
- Toegang tot essentiele overheidsdiensten
- Rechtshandhaving en grenscontrole
- Beheer van kritieke infrastructuur
Beperkt Risico (Augustus 2025)
AI-systemen die transparantieverplichtingen vereisen:
- Chatbots moeten onthullen dat ze AI zijn
- Deepfakes moeten gelabeld zijn
- Emotieherkenningssystemen moeten gebruikers informeren
Minimaal Risico (Geen Vereisten)
AI-systemen met minimaal risico hebben geen specifieke verplichtingen. De meeste zakelijke AI valt hieronder - spamfilters, aanbevelingsengines, interne analytics.
De Hoog-Risico Vereisten
Voor hoog-risico AI-systemen schrijft de Act uitgebreide vereisten voor onder Artikelen 9-15:
Risicomanagementsysteem (Artikel 9)
U moet risico's identificeren, analyseren en mitigeren gedurende de hele AI-systeemlevenscyclus. Dit is geen eenmalige beoordeling - het is doorlopend.
Data Governance (Artikel 10)
Trainings-, validatie- en testdatasets moeten relevant, representatief en vrij van fouten zijn. U moet dataherkomst en kwaliteitsmaatregelen documenteren.
Technische Documentatie (Artikel 11)
Gedetailleerde documentatie die compliance aantoont. Dit omvat systeembeschrijving, beoogd doel, ontwerpspecificaties en risicomitigatiemaatregelen.
Registratie (Artikel 12)
Automatische logging van systeemoperaties om traceerbaarheid mogelijk te maken. Logs moeten worden bewaard voor de levensduur van het systeem of zoals wettelijk voorgeschreven.
Transparantie (Artikel 13)
Duidelijke instructies voor gebruikers die systeemwerking, mogelijkheden en beperkingen uitleggen.
Menselijk Toezicht (Artikel 14)
Ontwerp voor effectief menselijk toezicht. Mensen moeten AI-beslissingen kunnen begrijpen, monitoren en ingrijpen.
Nauwkeurigheid, Robuustheid en Cybersecurity (Artikel 15)
Systemen moeten passende niveaus van nauwkeurigheid bereiken, bestendig zijn tegen fouten en aanvallen, en cybersecurity handhaven.
Het 6-Stappen Compliance Stappenplan
Stap 1: AI-Systeem Inventaris
U kunt niet voldoen aan vereisten voor systemen waarvan u niet weet dat u ze heeft. Voer een uitgebreide inventarisatie uit:
- Welke AI-systemen zijn in gebruik binnen uw organisatie?
- Wie is eigenaar van elk systeem?
- Welke beslissingen beinvloeden ze?
- Welke data verwerken ze?
Veel organisaties zijn geschokt door deze oefening. AI is sneller verspreid dan governance.
Stap 2: Risicoclassificatie
Bepaal voor elk systeem de risicocategorie. Het meest uitdagend zijn grensgevallen:
- Een chatbot is beperkt-risico. Maar een chatbot die financiele beslissingen beinvloedt kan hoog-risico zijn.
- Analysesoftware is minimaal-risico. Maar analytics die arbeidsbeslissingen beinvloedt is hoog-risico.
Bij twijfel, classificeer conservatief.
Stap 3: Gap-Analyse
Beoordeel voor elk hoog-risico systeem de huidige staat tegen elke Artikelvereiste. Waar zijn de gaps?
Veelvoorkomende gaps zijn:
- Geen biastesting framework
- Onvoldoende uitlegbaarheid
- Geen mechanismen voor menselijk toezicht
- Onvolledige documentatie
- Inadequate logging
Stap 4: Technische Remediatie
Implementeer de technische maatregelen die nodig zijn om gaps te dichten:
Biastesting: Implementeer frameworks zoals Fairlearn of AIF360 om te testen op demografische pariteit, equalized odds en andere fairness-metrics.
Uitlegbaarheid: Voeg SHAP, LIME of andere interpreteerbaarheidstools toe om uitleg van individuele beslissingen mogelijk te maken.
Menselijk Toezicht: Ontwerp review workflows voor geautomatiseerde beslissingen, vooral die met significante impact.
Logging: Implementeer uitgebreide audit trails voor modelinputs, outputs en beslissingsfactoren.
Stap 5: Documentatie
Creeer compliant technische documentatie. Dit is substantieel werk - verwacht weken, niet dagen, per systeem.
Belangrijke documentatie-elementen:
- Systeembeschrijving en beoogd doel
- Risicobeoordeling en mitigatiemaatregelen
- Data governance procedures
- Nauwkeurigheidsmetrics en validatieresultaten
- Mechanismen voor menselijk toezicht
- Gebruiksinstructies
Stap 6: Doorlopende Compliance
Compliance is geen bestemming - het is een proces. Stel vast:
- Regelmatige biastesting en monitoring
- Model drift detectie
- Documentatie-updates voor systeemwijzigingen
- Audit trails en incident response procedures
- Regelmatige compliance reviews
Praktische Implementatietips
Begin met Kredietscore
Als u AI gebruikt voor kredietbeslissingen, begin daar. Krediet-AI is duidelijk hoog-risico, goed begrepen door toezichthouders, en doorgaans uw systeem met de grootste impact.
Benut Bestaande Frameworks
Bouw niet vanaf nul. Gebruik gevestigde tools:
- MLflow voor modelregister en documentatie
- Evidently AI of WhyLabs voor monitoring
- Fairlearn voor biastesting
- SHAP voor uitlegbaarheid
Bouw Templates
Zodra u compliant bent voor een systeem, template de aanpak. Uw tweede hoog-risico systeem zou de helft van de tijd moeten kosten.
Laat Extern Reviewen
Voordat toezichthouders u auditen, betaal iemand anders om dat te doen. Externe compliance reviews identificeren gaps voordat ze overtredingen worden.
De Concurrentiemogelijkheid
Compliance klinkt defensief, maar het is ook een concurrentiemogelijkheid:
- Compliant AI is betrouwbare AI. Gebruik compliance als verkoopdifferentiator.
- Het compliance-proces verbetert AI-kwaliteit. Betere documentatie betekent betere systemen.
- Vroege compliance bouwt expertise op. U zult partners en klanten helpen die laat zijn begonnen.
Tijdlijn Realiteitscheck
U heeft ongeveer zeven maanden. Is dat genoeg tijd?
Voor organisaties die al zijn begonnen met AI governance-werk: waarschijnlijk wel, als u agressief prioriteert.
Voor organisaties die vanaf nul beginnen: het wordt krap. Begin onmiddellijk. Overweeg externe hulp om te versnellen.
De deadline van augustus 2026 is niet flexibel. De boetes zijn niet onderhandelbaar. De tijd om te handelen is nu.
