EU AI-verordening: Complete nalevingsgids 2026 (Verordening EU 2024/1689)

EU AI-verordening: Complete nalevingsgids 2026

De EU AI-verordening (Verordening EU 2024/1689) is het eerste uitgebreide wettelijke kader ter wereld voor kunstmatige intelligentie. Gepubliceerd in het Publicatieblad op 12 juli 2024, trad de verordening in werking op 1 augustus 2024 en worden verplichtingen gefaseerd ingevoerd tot 2027.

De meest kritieke deadline is over vijf maanden: vanaf 2 augustus 2026 zijn de vereisten voor hoog-risico AI-systemen op grond van Bijlage III volledig handhavbaar — met boetes tot €35 miljoen of 7% van de wereldwijde omzet.

Of u nu AI-producten ontwikkelt, AI-tools van derden inzet of AI-modellen gebruikt in uw B2B-workflows: de AI-verordening is hoogstwaarschijnlijk op u van toepassing. Deze gids behandelt de volledige reikwijdte, risicoclassificatie, handhavingstijdlijn, boetestructuur en de praktische stappen die u vóór augustus 2026 moet nemen.

---

AI-verordening in één oogopslag

Vraag	Kort antwoord
Wat is het?	Verordening (EU) 2024/1689 — eerste horizontale AI-verordening ter wereld.
Wie moet naleven?	Aanbieders, gebruiksverantwoordelijken, importeurs en distributeurs van AI-systemen die in de EU worden gebruikt.
In werking getreden?	1 augustus 2024.
Verboden AI handhavbaar?	2 februari 2025.
GPAI-verplichtingen van toepassing?	2 augustus 2025.
Hoog-risico AI deadline?	2 augustus 2026 (Bijlage III-systemen).
Maximale boete voor verboden AI?	Tot €35 miljoen of 7% van de wereldwijde jaaromzet.
Handhavingsorgaan?	EU AI-bureau + nationale toezichthoudende autoriteiten (ten minste één per lidstaat).

---

Wat is de EU AI-verordening?

De AI-verordening stelt een risicogebaseerd kader voor AI vast. Niet de technologie zelf wordt gereguleerd, maar AI-systemen worden beoordeeld aan de hand van het risico dat ze vormen voor gezondheid, veiligheid en grondrechten. Hoe hoger het risico, hoe strenger de eisen.

Vierdelige risicoclassificatie

Risiconiveau	Voorbeelden	Betekenis
Onaanvaardbaar risico (Verboden)	Sociale scoring, subliminale manipulatie, realtime biometrische identificatie in openbare ruimten	Volledig verboden. Handhavbaar sinds 2 februari 2025.
Hoog risico (Bijlage III)	Cv-screening, kredietscoring, biometrische identificatie, schoolbeoordeling	Moeten vóór augustus 2026 voldoen aan kwaliteits-, transparantie- en toezichtvereisten.
Beperkt risico	Chatbots, deepfakegeneratoren, emotieherkenningstools	Moeten gebruikers informeren over AI-aard (Art. 50 — transparantieverplichtingen).
Minimaal risico	Spamfilters, AI-gedreven videospellen	Geen specifieke verplichtingen; vrijwillige gedragscodes worden aangemoedigd.

---

Wie moet naleven?

De verordening definieert vier categorieën exploitanten:

Rol	Definitie	Kernverplichtingen
Aanbieder	Ontwikkelt een AI-systeem of GPAI-model en brengt het op de markt.	Primaire nalevingslast: conformiteitsbeoordeling, technische documentatie, registratie in EU-database.
Gebruiksverantwoordelijke	Gebruikt een AI-systeem onder eigen verantwoordelijkheid in een professionele context.	Menselijk toezicht implementeren, AI-prestaties monitoren, grondrechtenbeoordeling voor bepaalde hoog-risicosystemen uitvoeren.
Importeur	Brengt AI-systemen uit derde landen op de EU-markt.	Nagaan of de aanbieder aan de vereisten voldoet; importeursverklaring toevoegen.
Distributeur	Stelt AI-systemen op de EU-markt beschikbaar zonder ze te wijzigen.	Naleving controleren, medewerken met autoriteiten.

Territoriale reikwijdte: De verordening is van toepassing wanneer de output van het AI-systeem in de EU wordt gebruikt, ongeacht waar de aanbieder gevestigd is.

---

Hoofdstuk II: Verboden AI-praktijken (Van kracht sinds 2 februari 2025)

Artikel 5 verbiedt AI-praktijken die een onaanvaardbaar risico voor grondrechten vormen. Deze brengen nu al boetes mee van tot €35 miljoen of 7% van de wereldwijde jaaromzet.

De volgende praktijken zijn verboden:

1. Subliminale manipulatie — AI die gedrag subliminaal beïnvloedt op een manier die schade veroorzaakt.
2. Misbruik van kwetsbaarheden — AI die personen target op basis van leeftijd, handicap of sociaaleconomische situatie om hun gedrag te vervormen.
3. Sociale scoring — Overheids- of private beoordeling van personen op basis van sociaal gedrag met nadelige behandeling als gevolg.
4. Realtime biometrische identificatie in openbare ruimten (rechtshandhaving; beperkte uitzonderingen).
5. Emotieherkenning op de werkplek en in onderwijsinstellingen.
6. Biometrische categorisering om gevoelige attributen (ras, politieke overtuiging, seksuele geaardheid) af te leiden.
7. Niet-gerichte verzameling van gezichtsafbeeldingen van internet of CCTV voor het opbouwen van herkennningsdatabases.
8. Voorspellende politieoptreden uitsluitend op basis van profilering zonder individuele verdenking.

Let op voor HR-teams en EdTech-bedrijven: Emotieherkenningssystemen op de werkplek en in onderwijsinstellingen zijn verboden. Controleer wellness-monitoringtools, engagementtrackers en proctoringsoftware met emotiedetectie onmiddellijk.

---

Hoofdstuk III & Bijlage III: Hoog-risico AI-systemen (Deadline: 2 augustus 2026)

Dit is de categorie die de meeste bedrijfs- en B2B-implementaties raakt. Bijlage III somt acht sectoren op waarin AI-systemen als hoog-risico worden beschouwd:

1. Biometrie — Identificatie op afstand, categorisering, emotieherkenning (waar niet verboden).
2. Kritieke infrastructuur — Veiligheidscomponenten in energie, water, transport, digitale infrastructuur.
3. Onderwijs en beroepsopleiding — Toegangsbepaling, leerlingbeoordeling, leerresultaatsevaluatie.
4. Werkgelegenheid en personeelsbeheer — Werving, selectie, prestatiebeoordeling, promotie, ontslag.
5. Toegang tot essentiële diensten — Kredietscoring, verzekeringsrisicobeoordeling, alarmcentraalbesturing.
6. Rechtshandhaving — Risicobeoordeling voor criminaliteit, leugendetectie, bewijsevaluatie.
7. Migratie, asiel, grensbeheer — Beoordeling van aanvragen, risicoschatting, documentauthenticiteit.
8. Rechtsbedeling en democratische processen — AI in rechtszaken, verkiezingssystemen.

Wat aanbieders van hoog-risicosystemen moeten doen (vóór augustus 2026)

Vereiste	Betekenis in de praktijk
Risicobeheersysteem (Art. 9)	Continu risicobeoordelingsproces gedurende de gehele AI-levenscyclus.
Datakwaliteit en -governance (Art. 10)	Trainings-, validatie- en testdatasets moeten relevant, representatief en zo volledig mogelijk foutloos zijn.
Technische documentatie (Art. 11 + Bijlage IV)	Gedetailleerde documentatie van systeemontwerp, beoogd doel, mogelijkheden, beperkingen en prestatiemetrieken.
Registraties / logging (Art. 12)	Automatische gebeurtenislogboeken voor traceerbaarheid en controleerbaarheid.
Transparantie naar gebruiksverantwoordelijken (Art. 13)	Gebruiksinstructies die mogelijkheden, beperkingen en prestatiekenmerken uitleggen.
Menselijk toezicht (Art. 14)	Ontwerp moet personen in staat stellen de AI-uitvoer te begrijpen, te monitoren en — indien nodig — te overschrijven.
Nauwkeurigheid, robuustheid, cyberbeveiliging (Art. 15)	Consistente prestaties; bescherming tegen adversariële aanvallen, datavergiftiging en modelfouten.
Conformiteitsbeoordeling (Art. 43)	Zelfbeoordeling voor de meeste Bijlage III-systemen; derdebeoordeling voor biometrische identificatie en bepaalde kritieke infrastructuur.
Registratie in EU-database (Art. 49)	Hoog-risicosystemen moeten vóór inzet worden geregistreerd in de publieke EU AI-database.
Post-marktmonitoring (Art. 72)	Continue prestatiebewaking na inzet; ernstige incidenten moeten worden gemeld aan nationale autoriteiten.

Verplichtingen van gebruiksverantwoordelijken voor hoog-risicosystemen

Gebruiksverantwoordelijken (organisaties die hoog-risico AI van derden gebruiken) hebben hun eigen verplichtingen:

• Beoordeling van grondrechtenimpact (BGIB) — Vereist voor gebruiksverantwoordelijken die overheidsinstanties zijn of aanbieders van essentiële diensten.
• Menselijk toezicht — De door de aanbieder gespecificeerde toezichtprocedures implementeren.
• Personeelsopleiding — Zorgen dat medewerkers die hoog-risico AI-systemen gebruiken de vereiste competenties hebben.
• Incidentbewaking — Systeem monitoren en ernstige incidenten melden aan de aanbieder en, indien vereist, aan de nationale autoriteit.

Belangrijk voor SaaS-inkopers: Als u een hoog-risico AI-tool van een derde partij aanschaft, bent u gebruiksverantwoordelijke — en heeft u eigen wettelijke verplichtingen. Leverancierscontracten moeten nu AI-verordening nalevingsclausules bevatten.

---

Hoofdstuk V: Modellen voor algemeen gebruik (GPAI) (Van kracht sinds 2 augustus 2025)

Hoofdstuk V introduceert een afzonderlijk stelsel voor grootschalige AI-modellen die voor vele doeleinden kunnen worden gebruikt — GPT-4, Claude, Gemini, Llama, Mistral en vergelijkbare modellen.

Wie is GPAI-aanbieder?

Elke organisatie die een GPAI-model traint en beschikbaar stelt — ook via een API — is GPAI-aanbieder. De drempel ligt bij modellen getraind met meer dan 10²³ FLOP.

Kernverplichtingen GPAI (Alle aanbieders)

• Technische documentatie — Modelarchitectuur, trainingsdata, gebruikte rekenkracht en prestatiebenchmarks documenteren.
• Auteursrechtsnaleving — Beleid implementeren voor naleving van EU-auteursrecht, inclusief de tekst- en datamining-uitzondering van Artikel 4 DSM-richtlijn.
• Transparantie naar downstream-aanbieders — Informatie beschikbaar stellen zodat downstream AI-ontwikkelaars mogelijkheden en beperkingen begrijpen.

Aanvullende verplichtingen: GPAI-modellen met systemisch risico

Modellen getraind met ≥10²⁵ FLOP worden vermoed hoog-impactcapaciteiten te hebben en zijn onderworpen aan systeemrisicoverplichtingen (Artikel 55):

• Modelevaluaties — Inclusief adversarieel testen (red-teaming) voor en na implementatie.
• Beoordeling van systemische risico's — Risico's beoordelen die aanzienlijke impact kunnen hebben op de uniemarkt.
• Cyberbeveiligingsmaatregelen — Model en bijbehorende infrastructuur beschermen.
• Incidentmelding — Ernstige incidenten melden bij het EU AI-bureau.
• Melding — Modellen met systemisch risico proactief melden bij het EU AI-bureau.

De GPAI-gedragscode, gepubliceerd op 10 juli 2025, biedt praktische nalevingsguidance. Deelname is vrijwillig maar geldt als vermoeden van naleving.

---

Artikel 50: Transparantieverplichtingen (Beperkt-risico AI)

Zelfs als uw AI-systeem geen hoog-risico- of verboden systeem is, verplicht Artikel 50 tot openbaarmaking in bepaalde situaties:

• Chatbots moeten gebruikers informeren dat ze met een AI-systeem interageren.
• Emotieherkennings- en biometrische categoriseringssystemen moeten de betrokken personen informeren.
• Deepfakes — door AI gegenereerde synthetische audio, video of afbeeldingen — moeten worden voorzien van machineleesbare watermerken.
• Door AI gegenereerde tekst over zaken van algemeen belang moet worden gemarkeerd als kunstmatig gegenereerd.

Deze verplichtingen gelden vanaf 2 augustus 2026.

---

Boetestructuur (Artikelen 99 en 101)

Overtreding	Maximale boete
Verboden AI-praktijken (Art. 5)	€35 miljoen of 7% van de wereldwijde jaaromzet
Niet-naleving van hoog-risicoverplichtingen (Bijlage III)	€15 miljoen of 3% van de wereldwijde jaaromzet
Verstrekking van onjuiste informatie aan autoriteiten	€7,5 miljoen of 1% van de wereldwijde jaaromzet
GPAI-aanbieders (Commissiehandhaving vanaf aug. 2026)	€15 miljoen of 3% van de wereldwijde jaaromzet
Niet-medewerking met EU AI-bureau (GPAI)	Periodieke dwangsommen

Boetes worden berekend op basis van het hoogste bedrag — vast bedrag of omzetpercentage. Voor het mkb en start-ups kunnen nationale autoriteiten het lagere plafond toepassen.

Context voor Nederlandse bedrijven: De boete van €35 miljoen voor verboden AI overstijgt de maximale boete van de eerste GDPR-categorie (€10 miljoen / 2%). De AI-verordening heeft bewust voor krachtige sancties gekozen om naleving te waarborgen.

---

Handhavingsarchitectuur

EU AI-bureau en Nederlandse autoriteiten

Het Europees AI-bureau is de centrale EU-autoriteit met directe handhavingsbevoegdheden over GPAI-modelaanbieders. In Nederland coördineren het NCSC-NL en de Autoriteit Persoonsgegevens (AP) de nationale AI-handhaving, voor zover AI-systemen persoonsgegevens verwerken of de beveiliging van netwerk- en informatiesystemen raken. De Rijksinspectie Digitale Infrastructuur (RDI) fungeert als markttoezichthouder.

Wbni en AI-verordening

De Wet beveiliging netwerk- en informatiesystemen (Wbni) — de Nederlandse omzettingswet van NIS2 — en de AI-verordening hebben overlappende verplichtingen voor aanbieders van kritieke infrastructuur die hoog-risico AI inzetten.

Voorstel 'Digital Omnibus'

Eind 2025 stelde de Europese Commissie een 'Digital Omnibus'-pakket voor dat bepaalde Bijlage III-verplichtingen mogelijk tot december 2027 kan uitstellen. In maart 2026 is dit voorstel nog niet aangenomen. Verantwoorde nalevingsplanning behandelt 2 augustus 2026 als de bindende deadline.

---

Nalevingschecklist vóór augustus 2026

Stap 1 — AI-systeminventarisatie

• Alle AI-systemen inventariseren die uw organisatie ontwikkelt, inzet, importeert of distribueert en die EU-gebruikers raken.
• Systeemnaam, leverancier, doel, data-in-/outputs en gebruikerspopulatie documenteren.

Stap 2 — Risicoclassificatie

• Voor elk systeem het risiconiveau bepalen: verboden, hoog risico (Bijlage III), beperkt risico of minimaal risico.
• De classificatieregels van Artikel 6 toepassen.

Stap 3 — Verboden AI onmiddellijk aanpakken

• Systemen die Artikel 5 schenden, uitschakelen of herontwerpen.
• Emotieherkenningstools op de werkplek en in onderwijsinstellingen auditeren.
• Sociale-scoringsystemen of gedragsprofileringssystemen herzien.

Stap 4 — Nalevingsprogramma voor hoog-risicosystemen

• Risicobeheersysteem implementeren (Artikel 9).
• Datakwaliteitscontrole voor trainings-/validatiedata uitvoeren (Artikel 10).
• Technische documentatie conform Bijlage IV opstellen (Artikel 11).
• Logging en registratieverplichtingen implementeren (Artikel 12).
• Procedures voor menselijk toezicht definiëren (Artikel 14).
• Conformiteitsbeoordeling uitvoeren (Artikel 43).
• Registreren in de EU AI-database (Artikel 49).

Stap 5 — Verplichtingen van gebruiksverantwoordelijken

• Voor hoog-risico AI-tools van derden: technische documentatie en conformiteitsbeoordelingsbewijzen opvragen en beoordelen.
• Leverancierscontracten bijwerken met AI-verordening nalevingsclausules.
• Grondrechtenbeoordeling uitvoeren indien vereist.
• Relevant personeel trainen in AI-toezichtprocedures.

Stap 6 — GPAI-verplichtingen (indien van toepassing)

• Als GPAI-aanbieder: technische documentatie, auteursrechtsbeleid en transparantieverplichtingen implementeren.
• Beoordelen of uw model de systemische risicodrempel van 10²⁵ FLOP overschrijdt.
• De GPAI-gedragscode bestuderen en overwegen te ondertekenen.

Stap 7 — Transparantie (Artikel 50)

• AI-openbaarmakingsberichten toevoegen aan alle chatbotinterfaces.
• Deepfake-watermerken implementeren als u synthetische media genereert.
• Gebruikers informeren over emotieherkenning waar dat niet verboden is.

---

Wisselwerking met andere EU-verordeningen

Verordening	Relatie
AVG	AI-systemen die persoonsgegevens verwerken moeten voldoen aan zowel de AI-verordening als de AVG. De datakwaliteitsverplichtingen (Art. 10) sluiten aan op de AVG-beginselen van dataminimalisatie en juistheid.
NIS2 / Wbni	Hoog-risico AI-systemen in kritieke infrastructuur zijn onderworpen aan zowel de AI-verordening (nauwkeurigheid, robuustheid, cyberbeveiliging — Art. 15) als NIS2-risicobeheermaatregelen (Art. 21).
DORA	Financiële entiteiten die AI inzetten in ICT-systemen hebben overlappende verplichtingen onder de AI-verordening en DORA. DORAs ICT-risicobeheerframework kan een deel van de operationele veerkrachtvereisten van de AI-verordening afdekken.
Cyber Resilience Act (CRA)	AI-producten met digitale elementen op de EU-markt moeten voldoen aan zowel CRA-cyberbeveiligingsvereisten als de AI-verordening. CRA-kwetsbaarhedenmeldingsverplichtingen gelden vanaf september 2026.

---

Hoe Orbiq helpt bij naleving van de AI-verordening

Naleving van de EU AI-verordening vereist documentatie, bewijsverzameling, leveranciersevaluaties en continue monitoring over uw gehele AI-portfolio — precies het gestructureerde nalevingsworkflow waarvoor Orbiq ISMS Software is ontwikkeld.

• AI-systeminventarisatie en risicoclassificatie — Elk AI-systeem gestructureerd documenteren en classificeren met bewijssporen via Orbiq ISMS Software.
• AI-verordening-vragenlijsten voor leveranciers — Nalevingsvragenlijsten versturen naar derde-partij AI-aanbieders en antwoorden bijhouden via Orbiqs Vendor Assurance Platform.
• Bewijsverzameling en auditgereedheid — Technische documentatie, conformiteitsbeoordelingsbewijzen en trainingsdata-governancebewijzen automatisch verzamelen.
• Continue monitoring — Orbiqs continue monitoring zorgt ervoor dat uw AI-verordening nalevingspositie actueel blijft naarmate systemen evolueren.

---

Gerelateerde artikelen

• Cyber Resilience Act: Complete nalevingsgids
• DORA-naleving: Complete gids
• NIS2-naleving
• EU-compliancesoftware: Inkoopgids
• AVG-naleving: Complete gids

---

Bronnen en verwijzingen

1. Verordening (EU) 2024/1689 — Publicatieblad van de EU — Officiële tekst van de AI-verordening, 12 juli 2024
2. Tijdlijn voor de implementatie van de AI-verordening — artificialintelligenceact.eu
3. Artikel 5 — Verboden AI-praktijken
4. Artikel 6 — Classificatieregels voor hoog-risico AI-systemen
5. Bijlage III — Categorieën hoog-risico AI-systemen
6. Artikel 55 — Verplichtingen voor GPAI-modellen met systemisch risico
7. Artikel 99 — Administratieve sancties
8. GPAI-gedragscode — Europese Commissie, 10 juli 2025
9. Richtsnoeren voor GPAI-modelaanbieders — Europese Commissie
10. DLA Piper: Nieuwe golf van AI-verordening verplichtingen van kracht — augustus 2025
11. Orrick: 6 stappen vóór 2 augustus 2026
12. Baker Botts: Wat leidinggevenden moeten weten vóór augustus 2026 — maart 2026
13. Boetes AI-verordening — Holistic AI
14. EU AI-bureau — Officiële pagina Europese Commissie