Nederlandse bedrijven hebben minder dan vijf maanden om hoge-risico AI te laten toetsen

Wat verandert er op 2 augustus 2026

Op 2 augustus 2026 treedt de tweede grote fase van de EU AI Act in werking. Vanaf die datum moeten organisaties die hoge-risico AI-systemen aanbieden of gebruiken voldoen aan een uitgebreide set eisen op het gebied van transparantie, risicobeheer, datagovernance en menselijk toezicht. De wet trad in augustus 2024 in werking en werd stapsgewijs ingevoerd: verboden AI-praktijken zijn al per februari 2025 van kracht, verplichtingen voor general purpose AI-modellen volgden in augustus 2025. De hoge-risico deadline van augustus 2026 is de meest ingrijpende stap tot nu toe en raakt duizenden organisaties in Nederland direct.

Welke systemen vallen onder hoge risico

De wet definieert hoge-risico AI-systemen aan de hand van de sector en het beoogde gebruik. Systemen die worden ingezet bij sollicitatiegesprekken, kredietbeoordelingen, medische diagnoses, grensbeheer, rechtspraak of de beoordeling van leerlingprestaties vallen vrijwel altijd in deze categorie. Ook AI-tools die door overheden worden gebruikt om uitkeringen toe te kennen of te weigeren zijn hoge risico. Opvallend is dat niet het systeem zelf, maar het gebruik bepaalt of de regels van toepassing zijn. Een chatbot voor klantenservice valt buiten de scope, maar dezelfde technologie ingezet om kredietaanvragen te beoordelen valt er wel degelijk onder.

Verplichtingen voor aanbieders en gebruikers

De wet maakt een onderscheid tussen aanbieders, de partijen die een AI-systeem ontwikkelen of op de markt brengen, en gebruikers, de organisaties die het systeem in de praktijk inzetten. Aanbieders moeten een conformiteitsbeoordeling laten uitvoeren, een gedetailleerde technische documentatie opstellen en het systeem registreren in de Europese AI-databank. Gebruikers zijn verplicht menselijk toezicht in te richten, medewerkers te trainen en klachten van burgers te kunnen behandelen. Beide partijen moeten bijhouden hoe het systeem functioneert en afwijkingen registreren. Deze eisen zijn nieuw voor de meeste organisaties en vereisen aanzienlijke investeringen in compliance-processen.

Nederland loopt achter op toezicht

Een complicerende factor voor Nederlandse bedrijven is dat de nationale wetgeving die het toezicht regelt naar verwachting pas in het vierde kwartaal van 2026 gereed is. Dat betekent dat de Europese verplichtingen al van kracht zijn, maar dat er in Nederland nog geen aangewezen toezichthouder is om handhaving te verzorgen. Deskundigen waarschuwen dat dit geen vrijbrief is: de Europese AI-autoriteit kan in de tussentijd corrigerende maatregelen opleggen. De Autoriteit Persoonsgegevens bereidt zich voor op een toezichthoudende rol, maar heeft nog geen formele bevoegdheid gekregen. Nederland lanceert wel voor augustus 2026 een zogeheten regulatory sandbox, een testomgeving waar organisaties onder begeleiding kunnen experimenteren met AI-toepassingen.

Conformiteitsbeoordelingen kosten tijd en geld

Organisaties die een externe conformiteitsbeoordeling nodig hebben, moeten rekening houden met een doorlooptijd van drie tot twaalf maanden en kosten van tienduizend tot honderdduizend euro, afhankelijk van de complexiteit van het systeem. Dat betekent dat bedrijven die nu nog niet met dit traject zijn begonnen, de deadline van augustus dreigen te missen. Consultancybureaus en juridische dienstverleners melden een stijging in de vraag naar AI-compliancediensten, maar ook een tekort aan gekwalificeerde specialisten die de beoordelingen kunnen uitvoeren. De Europese Commissie heeft een gratis conformiteitsrichtlijn gepubliceerd die als startpunt kan dienen.

Boetes kunnen oplopen tot 35 miljoen euro

De AI Act kent een gelaagd boetestelsel. De zwaarste overtredingen, zoals het inzetten van verboden AI-praktijken, kunnen leiden tot boetes van maximaal 35 miljoen euro of zeven procent van de wereldwijde jaaromzet van het bedrijf, afhankelijk van welk bedrag hoger uitvalt. Het niet voldoen aan de hoge-risico verplichtingen kan een boete opleveren van maximaal 15 miljoen euro of drie procent van de jaaromzet. Voor kleine en middelgrote ondernemingen gelden lagere maxima, maar ook voor hen zijn de bedragen substantieel. Toezichthouders hebben aangegeven dat zij de eerste overtredingen niet direct met de zwaarste sancties willen aanpakken, maar van structurele nalatigheid zullen zij niet gedogen.

Wat moeten bedrijven nu doen

Deskundigen adviseren organisaties eerst een inventarisatie te maken van alle AI-systemen die zij gebruiken of aanbieden, en vervolgens te bepalen welke in de hoge-risico categorie vallen. Per systeem moet worden vastgesteld welke aanvullende maatregelen nodig zijn om aan de eisen te voldoen. Wie nu actie onderneemt, heeft nog voldoende tijd om de deadline te halen. Wie wacht, riskeert niet alleen een boete, maar ook reputatieschade en verlies van klantvertrouwen. Voor bedrijven met complexe AI-systemen geldt dat het inschakelen van een gespecialiseerde juridische of technische adviseur geen overbodige luxe is, gezien de breedte en diepte van de nieuwe verplichtingen.