EU AI Act: augustus 2026 is de deadline die bedrijven niet kunnen negeren

Over minder dan vijf maanden verandert de juridische werkelijkheid voor duizenden Nederlandse organisaties die met kunstmatige intelligentie werken. Op 2 augustus 2026 treedt het zwaarste deel van de EU AI Act in werking: de regels voor zogenoemde hoogrisico-AI-systemen. Wie dan niet voldoet aan de eisen voor transparantie, data-integriteit en menselijk toezicht, riskeert boetes die hoger kunnen liggen dan bij de GDPR. Toch toont recent onderzoek dat een groot deel van het Nederlandse bedrijfsleven de urgentie nog niet volledig voelt.

Welke systemen vallen onder hoog risico?

De EU AI Act hanteert een risicogebaseerde aanpak. De meeste AI-toepassingen vallen in de categorie minimaal of laag risico en krijgen nauwelijks extra verplichtingen. Maar systemen die worden ingezet op gebieden met grote gevolgen voor individuen, zijn aangemerkt als hoogrisico. Denk aan software die cv's screent en sollicitanten automatisch afwijst, algoritmen die bepalen of iemand een hypotheek of persoonlijke lening krijgt, systemen die de toegang tot gezondheidszorg of sociale uitkeringen beïnvloeden, en AI die wordt ingezet bij het bewaken van kritieke infrastructuur zoals energienetwerken of waterwerken.

Voor al deze toepassingen gelden vanaf augustus verplichtingen die vergaand zijn: bedrijven moeten een technische documentatie bijhouden, de systemen moeten menselijk toezicht mogelijk maken, er moet een risicobeoordeling zijn uitgevoerd en de trainingsdata moet zijn getoetst op bias en discriminatie. Bovendien moeten werknemers die worden beoordeeld of gevolgd door een AI-systeem daarvan op de hoogte worden gesteld.

Forse boetes bij overtredingen

De sancties in de AI Act zijn bewust hoog gezet om naleving af te dwingen. Wie verboden AI-systemen inzet, zoals biometrische surveillance in de openbare ruimte of social scoring, riskeert een boete van 35 miljoen euro of 7 procent van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Bij overtredingen van de hoogrisico-regels geldt een maximale boete van 15 miljoen euro of 3 procent van de omzet. Voor grote technologiebedrijven zijn dat aanzienlijke bedragen; voor het mkb kunnen ze existentieel zijn.

Toezicht komt later op stroom

Een complicerende factor is dat de nationale toezichthouders pas later volledig operationeel zijn. In Nederland is de toezichttaak verdeeld over bestaande autoriteiten, waaronder de Autoriteit Persoonsgegevens en sectorspecifieke toezichthouders. Verwacht wordt dat het toezicht pas in het vierde kwartaal van 2026 echt goed functioneert. Dat geeft bedrijven die nog niet klaar zijn theoretisch wat extra tijd, maar juristen waarschuwen dat de wetgeving gewoon geldt per 2 augustus, ongeacht of de toezichthouder al volledig is ingericht.

Nederland loopt voor, maar niet iedereen

Het IT-benchmarkrapport 2026 laat een gemengd beeld zien. Grote Nederlandse ondernemingen en financiele instellingen zijn in veel gevallen al begonnen met compliance-trajecten. Ze hebben AI-registers aangelegd, risicobeoordelingen uitgevoerd en juridische teams aangewezen die de implementatie begeleiden. Bij kleine en middelgrote bedrijven is de situatie anders. Velen gebruiken AI-tools van externe leveranciers en gaan ervan uit dat de verantwoordelijkheid dan bij de leverancier ligt. Dat is een misverstand: de verordening maakt zowel leveranciers als gebruikers van hoogrisico-systemen verantwoordelijk.

Brancheorganisaties zoals Nederland ICT en VNO-NCW roepen hun leden op om voor de zomer een interne inventarisatie te maken van alle AI-toepassingen die mogelijk onder de hoge-risicocategorie vallen. Een eerste stap die veel bedrijven nog moeten zetten.

Wat kunnen bedrijven nu doen?

De meest praktische eerste stap is het opstellen van een AI-register: een overzicht van alle systemen die in de organisatie worden gebruikt, met een beoordeling van het risicoprofiel. Op basis daarvan kan worden bepaald welke systemen aanpassing of aanvullende documentatie behoeven. Voor systemen die al in gebruik zijn en niet aan de eisen voldoen, geldt dat ze uiterlijk op 2 augustus moeten zijn bijgesteld, vervangen of uit gebruik genomen.

De deadline van augustus 2026 is geen papieren verplichting. Het is het moment waarop de Europese digitale rechtsorde voor AI volledig van kracht wordt. Wie nu nog wacht, koopt zichzelf weinig tijd meer.