Aftellen naar 2 augustus: Nederlandse bedrijven nauwelijks klaar voor AI Act-verplichtingen

De klok tikt. Op 2 augustus 2026 treedt het meest ingrijpende deel van de Europese AI Act in werking: organisaties die hoog-risico AI-systemen gebruiken of op de markt brengen, moeten dan aantoonbaar voldoen aan een reeks strenge verplichtingen. Denk aan verplichte conformiteitsbeoordelingen, uitgebreide documentatieplichten en registratie in een Europese database. Signalen uit de sector laten zien dat veel Nederlandse bedrijven de deadline onderschatten en de benodigde voorbereidingen nog niet hebben getroffen.

Wat valt onder hoog-risico?

De AI Act werkt met een risicogebaseerde indeling. Systemen in de hoogste risicocategorie zijn AI-toepassingen die direct invloed kunnen hebben op fundamentele rechten of veiligheid. Dat omvat een brede reeks sectoren: AI die wordt ingezet voor werving en selectie van personeel, kredietbeoordelingssystemen in de bankensector, systemen die worden gebruikt in de gezondheidszorg voor diagnose of behandeladvies, AI bij toegang tot essentiele diensten, biometrische identificatie, beheer van kritieke infrastructuur en besluitvorming in het strafrecht. Voor deze toepassingen gelden per 2 augustus strenge regels.

Bedrijven die zulke systemen inzetten moeten een conformiteitsbeoordeling uitvoeren, documentatie bijhouden die aantoont dat het systeem veilig en transparant functioneert en medewerkers aantoonbaar trainen in AI-geletterdheid. Sommige hoog-risico systemen moeten worden beoordeeld door een externe, geaccrediteerde instantie voordat ze in gebruik mogen worden genomen. Na goedkeuring moet het systeem worden geregistreerd in een Europese database voor hoog-risico AI-systemen.

Nederland loopt achter op toezicht

Een opvallende paradox doet zich voor. De wet geldt voor alle bedrijven die in de EU actief zijn, maar de nationale toezichtstructuur in Nederland is nog niet volledig op orde. De Autoriteit Persoonsgegevens coordineert het algoritmetoezicht via haar Directie Coordinatie Algoritmetoezicht. De Rijksinspectie Digitale Infrastructuur zal optreden als markttoezichthouder voor een deel van de hoog-risico systemen. Maar deskundigen schatten dat de Nederlandse toezichthouders pas in het vierde kwartaal van 2026 volledig operationeel zijn, ruim na de augustusdeadline.

Dat betekent niet dat bedrijven op dat gat kunnen rekenen. De AI Act is direct van toepassing als Europese verordening, en nationale toezichthouders kunnen ook achteraf handhaven. Boetes voor overtredingen zijn aanzienlijk: voor het gebruik van verboden AI-systemen kan een boete worden opgelegd van maximaal 35 miljoen euro of zeven procent van de wereldwijde jaaromzet. Voor niet-naleving van verplichtingen voor hoog-risico systemen is dat maximaal 15 miljoen euro of drie procent.

Welke sectoren lopen het meeste risico?

De financiele sector staat bovenaan de kwetsbaarheidslijst. In Nederland gebruikte in 2024 al bijna 38 procent van de financiele bedrijven AI, aanzienlijk meer dan het algemene bedrijfsgemiddelde van 23 procent. Kredietbeslissingen, fraudedetectie en algoritmische risicobeoordeling vallen allemaal onder de hoog-risico categorie. Voor banken en verzekeraars betekent augustus 2026 een ingrijpende nalevingsoperatie.

Ook de zorgsector staat voor een grote opgave. AI-systemen die worden ingezet voor diagnostiek, behandeladvies of triage vallen bijna per definitie in de hoog-risico categorie. Ziekenhuizen en zorgverzekeraars die de afgelopen jaren hebben geinvesteerd in AI-hulpmiddelen voor klinische beslissingen, moeten deze systemen nu formeel laten beoordelen. Hetzelfde geldt voor AI in personeelsselectie, een toepassing die breed is verspreid in de Nederlandse zakelijke dienstverlening en logistiek.

Wat moeten bedrijven concreet doen?

Deskundigen raden bedrijven aan in de eerste plaats een AI-inventaris op te stellen: welke systemen gebruiken we, en kunnen die als hoog-risico worden gekwalificeerd? Vervolgens is een risicoanalyse per systeem nodig, gevolgd door een conformiteitsbeoordeling die bepaalt of het systeem aan alle technische en documentatievereisten voldoet. Parallel moet een AI-governance structuur worden opgezet: wie is verantwoordelijk, hoe worden incidenten gemeld, hoe wordt menselijk toezicht geborgd?

Een complicerende factor is het tekort aan gecertificeerde conformiteitsbeoordelingsinstanties in Nederland. De accreditatieprocedures lopen nog, waardoor bedrijven die een externe beoordeling nodig hebben mogelijk niet tijdig aan de beurt komen. De Europese Commissie erkent dit knelpunt en werkt aan een gezamenlijke aanpak, maar een directe oplossing voor de augustusdeadline is er vooralsnog niet.

Kansen naast verplichtingen

De AI Act is niet uitsluitend een last. Organisaties die als eerste aantoonbaar voldoen, kunnen dat uitdragen als onderscheidend vermogen. Vertrouwen in AI-systemen wordt een steeds groter commercieel en maatschappelijk thema. Klanten, aandeelhouders en overheden stellen toenemend vragen over de betrouwbaarheid van AI-gedreven beslissingen. Wie nu investeert in compliance, bouwt tegelijkertijd aan een reputatie als verantwoorde AI-gebruiker. Voor de komende maanden is er dus alle reden om te versnellen, niet alleen om boetes te vermijden, maar ook om als organisatie de curve voor te blijven.