Sla navigatie over
BronzGreen

De AI Act in gewone taal

Wat de AI Act van je organisatie vraagt.

De EU AI Act is sinds begin 2025 in fases van kracht, met volle handhaving vanaf augustus 2026. Er is veel over geschreven — in juridische taal. Op deze pagina leggen we uit wat het praktisch voor een Nederlandse organisatie betekent. Geen sloganwerk, geen dreigtaal, geen verkooppraat — wel een eerlijk kader van wat er van jullie wordt gevraagd.

Drink een koffie met onsOf bel direct: 085 060 5161

In één minuut: wat is de AI Act?

De EU AI Act (officiële naam: Verordening 2024/1689) is Europese wetgeving die het gebruik van kunstmatige intelligentie reguleert binnen de Europese Unie. Anders dan de AVG, die vooral over data gaat, gaat de AI Act over toepassingen van AI — over hoe AI wordt ontwikkeld, in de markt gezet en gebruikt, en welke verantwoordelijkheden daarbij horen.

De wet werkt met een risico-gebaseerde benadering. AI-toepassingen die onaanvaardbaar risico opleveren (bijvoorbeeld sociale scoring door overheden) zijn verboden. AI-toepassingen met hoog risico (bijvoorbeeld in recruitment of kritieke infrastructuur) hebben strenge eisen. Toepassingen met beperkt risico (zoals chatbots) hebben transparantie-eisen. Toepassingen met minimaal risico (zoals spamfilters) hebben nauwelijks verplichtingen.

De AI Act geldt voor organisaties die AI maken (providers) en voor organisaties die AI gebruiken (deployers). Voor de meeste Nederlandse organisaties komt het neer op "deployer" — jullie gebruiken AI die door anderen wordt gemaakt. Ook dat brengt verplichtingen mee.

Wanneer welke regels van kracht zijn.

De AI Act is niet op één dag ingegaan. Hier is de gefaseerde tijdlijn die voor bijna alle Nederlandse organisaties relevant is.

  1. 2 februari 2025

    Verboden praktijken en AI-geletterdheid

    Artikel 5 (verboden praktijken) treedt in werking. Bepaalde AI-toepassingen worden verboden. Artikel 4 (AI-geletterdheid) treedt in werking. Elke organisatie die AI ontwikkelt of gebruikt, moet zorgen voor "voldoende AI-geletterdheid" bij personeel en contractpartijen.

  2. 2 augustus 2025

    Regels voor general-purpose AI

    Regels voor providers van general-purpose AI-modellen (zoals GPT-, Gemini- en Llama-achtige modellen) treden in werking.

  3. 2 augustus 2026

    Volledige handhaving

    Artikel 50 (transparantie) treedt in werking. Organisaties moeten duidelijk maken wanneer content door AI is gegenereerd of gemanipuleerd. Handhaving en sancties volledig actief. Nationale toezichthouders (in Nederland: het op te richten AI-toezichtsorgaan) beginnen effectief te auditen.

  4. 2 augustus 2027

    Uitgestelde regels voor hoog-risico-AI

    Specifieke regels voor AI-systemen in gereguleerde producten (bijvoorbeeld medische apparatuur) treden in werking.

Wat betekent "voldoende AI-geletterdheid"?

Artikel 4 is het meest praktische onderdeel van de AI Act voor bijna alle Nederlandse organisaties. De tekst zegt:

Providers and deployers of AI systems shall take measures to ensure, to their best extent, a sufficient level of AI literacy of their staff and other persons dealing with the operation and use of AI systems on their behalf.

In gewoon Nederlands: elke organisatie moet zorgen dat de mensen die met AI werken, voldoende weten waar ze mee bezig zijn. Wie die mensen zijn, en wat "voldoende" betekent, hangt af van context: de soort AI, de rol van de persoon, en de mogelijke impact.

Wat hoort bij AI-geletterdheid?

  • Begrijpen wat AI wel en niet kan. Weten dat AI-tools soms fouten maken, soms bevooroordeelde uitkomsten geven, en soms anders werken dan ze lijken. Weten wanneer je AI-output kunt vertrouwen en wanneer niet.
  • Weten welke AI er in de organisatie gebruikt wordt. Niet alleen door directe gebruikers — ook managers en bestuurders moeten weten welke AI-toepassingen er intern lopen.
  • Begrijpen welke risico's er spelen. Privacy, bias, transparantie, aansprakelijkheid. In grote lijnen — niet als AI-onderzoeker, wel als geïnformeerde gebruiker.
  • Weten wat wel en niet mag. De basale regels die gelden voor het gebruik van AI in de eigen organisatie en voor de klant.

Voor welke mensen?

  • Bestuurders en directieleden — op strategisch niveau, verantwoordelijk voor het beleid en de grote keuzes
  • Managers en teamleiders — op tactisch niveau, verantwoordelijk voor de dagelijkse uitvoering
  • Medewerkers die AI gebruiken — op uitvoerend niveau, verantwoordelijk voor correct gebruik in de eigen taak
  • Contractpartijen die namens jullie AI gebruiken — leveranciers, consultants, externe experts

"Voldoende" is niet één niveau voor iedereen. Het is context-afhankelijk. Een bestuurder hoeft niet te weten hoe een neural network werkt; wel hoe AI-beslissingen bestuurlijke verantwoording raken. Een medewerker hoeft de Europese wetgeving niet te citeren; wel wanneer hij of zij een AI-resultaat moet wantrouwen.

Wat wordt er niet gevraagd?

Artikel 4 vraagt geen certificering. Het vraagt geen specifieke opleiding. Het vraagt geen specifiek aantal uren training. Het vraagt wel dat jullie, als organisatie, kunnen onderbouwen hoe jullie aan AI-geletterdheid werken — en dat jullie daar een bewust plan voor hebben.

Wat betekent "duidelijk maken wat AI-gegenereerd is"?

Artikel 50 gaat vanaf augustus 2026 in werking en vraagt transparantie over AI-gegenereerde content. In grote lijnen betekent dit:

  • Chatbots moeten zich als AI identificeren. Wanneer iemand met een AI-chatbot praat, moet dat duidelijk zijn — niet verborgen onder een menselijke naam.
  • AI-gegenereerde of -gemanipuleerde content moet als zodanig zijn gelabeld. Denk aan afbeeldingen, video, tekst die door AI is gemaakt en publiekelijk wordt gedeeld.
  • Deepfakes moeten worden gelabeld. Aanpassingen van bestaand beeldmateriaal waarbij iemand iets lijkt te doen of te zeggen, moeten als zodanig te herkennen zijn.

Er zijn uitzonderingen (bijvoorbeeld kunst en satire), en de exacte uitwerking zal per lidstaat in de handhavingspraktijk duidelijker worden. Voor de meeste Nederlandse organisaties is de belangrijkste vraag: als wij AI gebruiken om naar buiten te communiceren, zijn we daar transparant over?

AI Act, AVG, ISO 42001 en WCAG — wat is wat?

De AI Act staat niet op zichzelf. Een aantal andere regelkaders zijn even relevant, en ze werken op elkaar in.

AVG (Algemene Verordening Gegevensbescherming). Gaat over persoonsgegevens. AI-toepassingen gebruiken vaak persoonsgegevens — daardoor raken AI Act en AVG elkaar. Een AI-toepassing die persoonsgegevens verwerkt moet beide regels volgen. De AVG is sinds 2018 volledig actief; handhaving door de Autoriteit Persoonsgegevens is in Nederland stevig.

ISO/IEC 42001. Een internationale standaard voor AI-managementsystemen, gepubliceerd eind 2023. Niet wettelijk verplicht, maar steeds vaker verwacht als bewijs van "goed AI-bestuur". Sluit goed aan op wat de AI Act vraagt — certificering volgens 42001 helpt om aan de Act te voldoen.

WCAG 2.2 / European Accessibility Act. Gaat over toegankelijkheid van digitale diensten. Sinds 28 juni 2025 zijn de WCAG 2.2 AA-eisen bindend voor bijna alle publieksgerichte digitale diensten in de EU (European Accessibility Act). AI-toepassingen die met publiek interacteren, moeten ook aan deze eisen voldoen.

NIS2, DORA. Voor specifieke sectoren (kritieke infrastructuur, financiële dienstverlening) zijn er extra richtlijnen voor cyberveiligheid en operationele weerbaarheid. AI-systemen in die sectoren vallen óók onder die richtlijnen.

Drie realistische eerste stappen.

Geen actieplan uit een juridisch handboek — wel drie dingen die bij bijna elke organisatie zinvol zijn om op te pakken.

  1. 1

    Maak een inventarisatie van AI in jullie organisatie

    Begin bij wat er is. Welke AI-tools gebruiken jullie medewerkers? Welke AI-functies zitten in jullie bestaande software (CRM, HR, klantenservice, marketing)? Welke AI-pilots lopen er op projectniveau? Deze inventarisatie hoeft niet perfect te zijn — hij moet wel bestaan.

  2. 2

    Maak een basale governance-afspraak

    Wie is verantwoordelijk voor AI-gebruik in jullie organisatie? Niet als bureau-mens met een dikke titel, maar als praktische rol: bij wie kom je uit als een collega een AI-tool wil aanschaffen, als er iets misgaat, of als een klant vraagt hoe jullie AI gebruiken. Eén persoon of rol — dat is genoeg om te beginnen.

  3. 3

    Begin met AI-geletterdheid voor je bestuur

    Niet voor de hele organisatie tegelijk — dat wordt een project dat nooit af komt. Maar voor het bestuur en de directie is het een kwestie van maanden, niet jaren. Zij moeten eerst zelf begrijpen wat er speelt voordat zij redelijke eisen aan de rest van de organisatie kunnen stellen.

Hulp wanneer je die wilt — niet eerder.

Bovenstaande drie stappen zijn vrij beschikbaar. Als je hulp nodig hebt — of wilt — kunnen wij vanzelfsprekend betrokken zijn: via de Data Readiness Scan, het AI-Compliance Dashboard of een AI-geletterdheidstraject. Maar dat hoeft niet; deze drie stappen kun je zelfstandig zetten.

Veelgestelde vragen.

  • Geldt de AI Act ook voor ons als we alleen bestaande AI-tools gebruiken en niets zelf bouwen?

    Ja. De AI Act geldt niet alleen voor ontwikkelaars maar ook voor gebruikers ("deployers"). Zodra jullie AI-tools gebruiken — zoals ChatGPT, Copilot, een AI-gedreven HR-tool of klantenservice-bot — heeft jullie organisatie verplichtingen onder de Act.

  • Hoe zwaar zijn de sancties?

    De maximumboetes lopen op tot €35 miljoen of 7% van de wereldwijde jaaromzet (voor verboden praktijken onder Artikel 5). Voor andere overtredingen liggen de maximumbedragen lager maar nog steeds serieus. Voor de meeste organisaties is de reputatieschade en het vertrouwensverlies bij bestuur, klanten en personeel echter belangrijker dan de monetaire boete.

  • Hoe weten we of onze AI-toepassingen "hoog risico" zijn?

    Bijlage III van de AI Act benoemt concrete hoog-risico-gebieden: biometrische identificatie, kritieke infrastructuur, onderwijs, werk en arbeidsbeheer, essentiële diensten, rechtshandhaving, migratiebeheer, rechtsprakelijk en democratisch proces. Voor de meeste Nederlandse bedrijven vallen de meeste dagelijkse AI-toepassingen (schrijftools, ondersteunende assistenten) níet onder hoog-risico. Wel: recruitment-tools die pre-selecteren, classificatie-systemen voor klantrisico, en bepaalde monitoring-toepassingen.

  • Werkt de Nederlandse overheid aan een eigen invulling?

    Ja. In Nederland wordt op dit moment gewerkt aan de instelling van een AI-toezichtsorgaan en aan de afstemming met bestaande toezichthouders (Autoriteit Persoonsgegevens, Autoriteit Consument & Markt, sectorale toezichthouders).

  • Kunnen jullie ons door een AI Act-traject begeleiden?

    Ja, dat is een van onze specialiteiten. Afhankelijk van jullie vertrekpunt passen de Data Readiness Scan, het AI-Compliance Dashboard, een AI-geletterdheidstraject of een combinatie. Zie /grip-op-ai voor een overzicht van onze concrete producten.

Waar je meer kunt lezen.

Deze bronnen werken we periodiek bij. Als jullie een goede aanvullende bron kennen die hier niet staat, laat het ons weten.

Ook misschien voor jullie relevant.

Als deze pagina jullie geholpen heeft om het landschap iets beter te overzien, is dat al prima. Willen jullie doorpraten over hoe de AI Act precies bij jullie situatie uitvalt, dan staan we ervoor open. Geen verkoopgesprek — wel een halfuur waarin we samen kijken wat er voor jullie relevant is en wat niet.

Drink een koffie met ons

Of bel direct: 085 060 5161