Terug naar blog
AI Regulation2026-03-3110 min read

De deadline van de EU AI Act in augustus 2026 is over 60 dagen — Dit moeten enterprises nu doen

Vanaf 2 augustus 2026 worden AI-systemen met een hoog risico volledig gehandhaafd met boetes tot 7% van de wereldwijde omzet. Als jouw AI Europese gebruikers, tegenpartijen of markten raakt, val je onder de wet — of je nu gevestigd bent in Berlijn, Boston of Bangalore. Hier is de compliance roadmap voor de komende 60 dagen.

Waarom Deze Deadline Anders Is Dan Alle Andere Compliance Deadlines

Enterprise compliance teams hebben een gezonde scepsis ontwikkeld jegens deadline-aankondigingen. AVG had overgangsperiodes. CCPA had handhavingsvertragingen. SOC 2-deadlines hebben de gewoonte om te schuiven. De deadline van 2 augustus 2026 verdient een andere behandeling — en de reden ligt in de boetestructuur.

Boetes voor overtredingen van AI-systemen met hoog risico kunnen oplopen tot €35 miljoen of 7% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Dit is de omvangrijkste boetestructuur ooit in wetgeving vastgelegd. Het is geen afrondingsfout in een kwartaalverslag. Voor een multinational met €10 miljard aan wereldwijde omzet is 7% €700 miljoen. Toezichthouders hoeven geen opzet te bewijzen. Ze hoeven geen schade aan te tonen. Ze moeten aantonen dat een AI-systeem met hoog risico werkzaam was zonder de vereiste conformiteitsbeoordeling, technische documentatie en audit trails.

2 augustus 2026 is niet het begin van het compliance-gesprek. Het is de datum waarop falen juridische gevolgen krijgt. De verplichtingen voor AI met hoog risico zijn sinds februari 2025 in gewijzigde vorm van kracht. De 18 maanden sindsdien waren de implementatieperiode. Die periode eindigt over 60 dagen.

De extraterritoriale reikwijdte is het onderdeel dat de meeste Amerikaanse en niet-EU-ondernemingen verrast. De EU AI Act is van toepassing op elke organisatie die AI-systemen op de EU-markt brengt of AI-systemen inzet die Europese gebruikers beïnvloeden — ongeacht waar de organisatie is opgericht. Een Amerikaanse bank die een AI-systeem gebruikt om kredietaanvragen van in de EU gevestigde tegenpartijen te beoordelen, valt eronder. Een Amerikaans ziekenhuissysteem dat een AI-triagetool inzet die gegevens van EU-patiënten verwerkt, valt eronder. Een Britse fintech die AI-gestuurde risicobeoordeling gebruikt voor transacties met EU-klanten, valt eronder.

De driedelige verplichtingsstructuur voegt complexiteit toe. Wanneer een Amerikaans bedrijf een AI-systeem van een OpenAI- of Anthropic-model gebruikt in een werkstroom met hoog risico die Europese gebruikers raakt, hebben de modelprovider, de systeemintegrator en de implementerende organisatie elk afzonderlijke verplichtingen onder de wet. De AI Act is geen enkele compliance checkbox. Het is een keten van verplichtingen die door elke laag van de AI-stack loopt.

Weet Je In Welke Risicoklasse Je AI-Systemen Vallen?

De EU AI Act verdeelt AI-systemen in vier risicoklassen. De meeste ondernemingen hebben AI-systemen in minimaal twee hiervan. De risicoklasse bepaalt je verplichtingen — en je boetes.

Onacceptabel risico — Verboden. Bepaalde AI-praktijken zijn in de EU verboden, ongeacht waar de implementerende organisatie is gevestigd. Dit omvat AI-systemen die subliminale manipulatietechnieken gebruiken om gedrag te beïnvloeden, sociale scoringssystemen beheerd door overheidsinstanties, en realtime biometrische identificatie op afstand in openbare ruimten voor wetshandhavingsdoeleinden. Als een van je AI-systemen in deze categorieën valt, is de augustus-deadline irrelevant — ze zouden in EU-contexten helemaal niet werkzaam mogen zijn.

Hoog risico — Volledige compliance vereist. Bijlage III van de EU AI Act specificeert de categorieën AI-systemen met hoog risico die het volledige compliance-framework activeren. Dit zijn de categorieën het meest relevant voor enterprise deployments: AI-systemen gebruikt in beslissingen over arbeid — werving, promotie, prestatiebeoordeling en ontslag. AI-systemen gebruikt in kredietbeslissingen en beoordelingen door financiële instellingen. AI-systemen ingezet in kritieke infrastructuur — energie, transport, gezondheidszorg en watersystemen. AI-systemen gebruikt door wetshandhavings- of rechterlijke instanties. AI-systemen die essentiële overheidsdiensten beheren, waaronder sociale zekerheid en immigratie.

Als je organisatie AI in een van deze categorieën inzet en die AI Europese gebruikers of tegenpartijen raakt, val je onder het volledige compliance-framework voor hoog risico. Dit is geen risicobeoordeling die je kunt uitstellen. Dit is een wettelijke classificatie waaronder je nu al valt.

Beperkt risico — Alleen transparantieverplichtingen. AI-systemen zoals chatbots en systemen die synthetische media genereren moeten onthullen dat ze AI zijn richting de mensen die ermee communiceren. De verplichtingen zijn lichter, maar het niet onthullen is nog steeds een overtreding.

Minimaal risico — Geen specifieke verplichtingen. De overgrote meerderheid van AI-systemen valt hier. Maar "minimaal risico" is geen categorie waar je zelf voor kiest — als je AI-systeem EU-gebruikers heeft of EU-markten raakt en valt in een categorie die niet als verboden of hoog risico wordt vermeld, valt het onder minimaal risico. De meeste aanbevelingsengines, spamfilters en interne analysetools vallen hier.

Het praktische compliance-probleem: de meeste ondernemingen hebben geen systematische classificatie voltooid van hun AI-portfolio tegen Bijlage III-categorieën. Ze weten niet hoeveel van hun AI-systemen hoog risico zijn. Dat is het eerste dat verandert in 60 dagen.

De High-Risk Compliance Checklist — Wat De Wet Feitelijk Vereist

Voor AI-systemen geclassificeerd als hoog risico onder Artikel 6 schrijft de EU AI Act een specifiek compliance-framework voor. Dit zijn geen suggesties. Dit zijn de voorwaarden waaronder een AI-systeem met hoog risico na 2 augustus 2026 legaal in de EU mag opereren.

Classificeer je AI-systemen. Map elk AI-systeem in je portfolio — inclusief AI-agents, ML-modellen en geautomatiseerde besluitvormingssystemen — tegen de Bijlage III-categorieën voor hoog risico. Dit is de prerequisite voor elke andere compliance-stap. Je kunt je niet conformeren aan vereisten die je niet hebt geïdentificeerd.

Conformiteitsbeoordeling. AI-systemen met hoog risico moeten een conformiteitsbeoordeling doorstaan vóór implementatie. Afhankelijk van het systeemtype wordt dit uitgevoerd door een geaccrediteerde derde conformiteitsbeoordelingsinstantie of, voor bepaalde systeemtypen, een zelfbeoordeling door de implementerende organisatie. De beoordeling evalueert of de technische documentatie, het risicomanagementsysteem en de governance-controls van het systeem voldoen aan de vereisten van de wet. Beoordelingen moeten vóór 2 augustus zijn voltooid en gedocumenteerd.

Technische documentatie. Artikel 11 vereist uitgebreide documentatie voor elk AI-systeem met hoog risico. Deze documentatie moet het doel van het systeem beschrijven, de architectuur, het databeheer voor trainingsdata, het risicomanagementsysteem dat is ingesteld, de monitoringprocedures voor post-implementatie en de maatregelen genomen om nauwkeurigheid, robuustheid en cyberbeveiliging te waarborgen onder Artikel 15. Deze documentatie moet continu worden onderhouden en bijgewerkt — niet eenmalig worden geschreven en gearchiveerd.

Kwaliteitsmanagementsysteem. Organisaties die AI-systemen met hoog risico implementeren moeten een gedocumenteerd kwaliteitsmanagementsysteem hebben dat de levenscyclus van de AI-systemen dekt. Dit omvat gedefinieerde rollen en verantwoordelijkheden voor AI-governance, gedocumenteerde procedures voor AI-systeemoperatie en -monitoring, en een proces voor het afhandelen van incidenten en klachten.

Menselijk toezicht. Artikel 14 vereist dat AI-systemen met hoog risico worden ontworpen om menselijk toezicht mogelijk te maken — ingebouwde mechanismen die mensen in staat stellen het systeem te monitoren, corrigeren en uitschakelen wanneer nodig. De standaard is niet dat mensen elke beslissing moeten beoordelen. Het is dat mensen effectief moeten kunnen ingrijpen wanneer het systeem outputs produceert die menselijke beoordeling vereisen of wanneer het systeem buiten zijn beoogde parameters opereert.

Logging en audit trails. Artikel 12 vereist automatische logging van de operatie van AI-systemen met hoog risico, inclusief inputs, outputs en de context waarin beslissingen werden gemaakt. Dit is de bepaling die EU AI Act-compliance direct verbindt met Shadow AI-governance en MCP-beveiliging. Een AI-agent die opereert zonder gestructureerde logging — of een MCP-server zonder telemetry — opereert in overtreding van Artikel 12 tenzij het kwalificeert voor een beperkt-risico-vrijstelling.

Nauwkeurigheid, robuustheid en cyberbeveiliging. Artikel 15 vereist dat AI-systemen met hoog risico worden ontworpen om passende niveaus van nauwkeurigheid, robuustheid en cyberbeveiliging te bereiken, en dat ze consistent presteren op die gebieden gedurende hun hele levenscyclus. Dit is geen eenmalige certificering. Dit is een doorlopende prestatievereiste.

EU-databaseregistratie. Onder Artikel 51 moeten AI-systemen met hoog risico worden geregistreerd in een openbaar toegankelijke EU-database voordat ze worden geïmplementeerd. Deze registratie moet de provider van het systeem omvatten, het beoogde doel, de conformiteitsbeoordelingsinformatie en de basistechnische documentatie. Registratie is een precondition voor legale operatie, geen formaliteit na implementatie.

EU-gemachtigde vertegenwoordiger. Voor organisaties gevestigd buiten de EU die AI-systemen met hoog risico op de EU-markt brengen of implementeren voor EU-gebruikers, vereist de AI Act de aanwijzing van een fysieke of rechtspersoon gevestigd in de EU als gemachtigde vertegenwoordiger. Deze vertegenwoordiger fungeert als contactpunt voor EU-regulerende instanties en is de entiteit op wie compliance-verplichtingen formeel worden gehandhaafd.

De 60-Dagen Compliance Roadmap

Zestig dagen is niet genoeg tijd om een compliance-programma vanaf nul op te bouwen. Het is genoeg tijd om te weten waar je staat, je gaps te identificeren en in een actief remediëringsproces te zitten dat goede trouw demonstreert vóór de handhavingsdatum. Hier is hoe je ze gebruikt.

Dagen 1–15: Audit je AI-portfolio. Map elk AI-systeem dat momenteel in je organisatie opereert tegen de Bijlage III-categorieën voor hoog risico. Identificeer elk AI-systeem dat EU-gebruikers, EU-tegenpartijen of EU-markten raakt — inclusief AI-agents die draaien op persoonlijke apparaten onder BYOAI-beleid. Deze audit produceert de inventarisatie waar elke andere stap van afhangt.

De "quick win" in dit venster: de meeste organisaties zullen minstens één AI-systeem vinden waarvan ze niet wisten dat het in hoogrisicogebruik was. Het vinden tijdens een audit in dagen 1–15, met een remediëringsplan, is aanzienlijk beter dan het te vinden in een handhavingsactie op 3 augustus.

Dagen 16–30: Classificeer per risicoklasse en wijs eigenaarschap toe. Documenteer voor elk AI-systeem in je inventaris de risicoklasse-classificatie onder Artikel 6 en Bijlage III. Wijs voor systemen met hoog risico een interne eigenaar toe — een genoemde persoon verantwoordelijk voor de compliance van dat systeem. Dit eigenaarschap is wat een compliance-programma onderscheidt van een documentatieoefening.

Dagen 31–45: Gap assessment en conformiteitsbeoordelingsplanning. Vergelijk voor elk systeem met hoog risico je huidige technische documentatie, kwaliteitsmanagementprocedures, menselijk toezichtmechanismen en logging-infrastructuur met de Artikel-vereisten. Identificeer welke systemen derde partij conformiteitsbeoordelingen nodig hebben versus zelfbeoordelingen. Begin met het betrekken van conformiteitsbeoordelingsinstanties als je systemen met hoog risico hebt die derde partij-beoordeling vereisen — deze instanties boeken waarschijnlijk al voor de augustus-deadline.

Dit is ook het venster om de audit trail gap aan te pakken. Artikel 12 logging-vereisten zijn waar EU AI Act-compliance direct intersecteert met Shadow AI-governance: AI-agents die draaien zonder gestructureerde logging zijn niet compliant met Artikel 12. Het werk dat nodig is om die gap te dichten — inventarisatie, telemetry, gedragsmonitoring — overlapt met het Shadow AI-remediëringsframework.

Dagen 46–60: Juridische betrokkenheid en registratievoorbereiding. Betrek juridisch advies met EU AI Act-expertise voor een compliance-review van je systemen met hoog risico. Dit is niet optioneel voor organisaties met materiële EU-omzetblootstelling — de boetes maken de kosten van juridisch advies een afrondingsfout op mogelijke boetes. Wijs je EU-gemachtigde vertegenwoordiger aan als je een niet-EU-organisatie bent. Bereid registratie-indieningen voor de EU-database voor. Documenteer voor systemen waar conformiteitsbeoordelingen nog niet zijn voltooid het remediëringstraject als bewijs van actieve compliance-voortgang.

EU AI Act, NIS2, AVG — Dit Is Nu Eén Systeem

De EU AI Act opereert niet geïsoleerd. Voor ondernemingen die al NIS2-verplichtingen voor kritieke infrastructuur beheren, AVG-gegevensbeheervereisten en ISO 27001-informatiebeveiligingsframeworks, is de EU AI Act een extra laag — maar overlapt significant met frameworks die je mogelijk al hebt.

Het convergentiepunt is audit trails. De logging-vereisten van Artikel 12 voor AI-systemen met hoog risico zijn structureel vergelijkbaar met NIS2-incidentloggingverplichtingen. De vereisten voor registers van gegevensverwerking under AVG overlappen met de technische documentatievereisten in Artikel 11. Het risicomanagementframework van ISO 27001 mappt direct op de risicomanagementsysteemvereisten van Artikel 9.

Voor organisaties die AI-agents inzetten — met name die verbonden via MCP-servers — creëren de audit trail-vereisten van de EU AI Act een extra regulatoire driver voor Shadow AI-remediëringswerk. Een AI-agent die mist aan gestructureerde logging schendt Artikel 12. Een MCP-server zonder telemetry schendt de nauwkeurigheids- en robuustheidsvereisten van Artikel 15. Dit zijn geen afzonderlijke governance-zorgen — dit zijn componenten van EU AI Act-compliance voor elke organisatie met materiële AI-blootstelling in EU-markten.

De consequentie van non-compliance verergert over frameworks heen. Een EU AI Act-overtreding genereert de primaire boete. Het genereert ook bewijs van ontoereikende governance dat NIS2-toezichthouders zullen opmerken. Het creëert documentatiegaps die AVG-toezichthouders zullen refereren. De boete is het headline-cijfer. Het regulatoire toezicht dat volgt is de blijvende consequentie.

2 augustus 2026 is 60 dagen weg. De organisaties die zijn voorbereid kennen hun AI-portfolio, hebben hun systemen met hoog risico geclassificeerd en zijn in actieve remediëring. De organisaties die niet zijn voorbereid draaien de klok niet tegen een deadline — maar tegen de omvangrijkste regulatoire boetestructuur ooit in wetgeving vastgelegd.

EU AI Act Compliance Checklist (voor AI-systemen met EU-marktblootstelling)

Classificatie

  • [ ] Elk AI-systeem gemapt naar Artikel 6/Bijlage III risicoklasse
  • [ ] EU-markt/tegenpartij/gebruiker-touchpoints geïdentificeerd voor elk systeem
  • [ ] Systemen met hoog risico toegewezen aan interne eigenaren

Documentatie

  • [ ] Technische documentatie voor elk systeem met hoog risico (Artikel 11)
  • [ ] Kwaliteitsmanagementsysteem gedocumenteerd en van middelen voorzien
  • [ ] Conformiteitsbeoordeling voltooid of gaande
  • [ ] Menselijk toezichtmechanismen gedocumenteerd voor elk systeem met hoog risico

Logging & Audit Trails

  • [ ] Automatische logging operationeel voor systemen met hoog risico (Artikel 12)
  • [ ] Logs omvatten inputs, outputs en beslissingscontext
  • [ ] Logging-infrastructuur dekt AI-agents en MCP-servers

Registratie & Vertegenwoordiging

  • [ ] Systemen met hoog risico geregistreerd in EU-database (Artikel 51)
  • [ ] EU-gemachtigde vertegenwoordiger aangewezen (niet-EU-organisaties)

Verificatie

  • [ ] Juridisch advies betrokken voor compliance-review
  • [ ] Remediëringstraject gedocumenteerd voor resterende gaps

Onderzoekssynthese door Agencie. Bronnen: Europese Commissie — EU AI Act (artificialintelligenceact.eu), Artikel 6 (Classificatie), Artikel 9 (Risicomanagement), Artikel 11 (Technische Documentatie), Artikel 12 (Logging en Audit Trails), Artikel 14 (Menselijk Toezicht), Artikel 15 (Nauwkeurigheid, Robuustheid en Cyberbeveiliging), Artikel 51 (EU-Databaseregistratie), Bijlage III (Categoricën AI-Systemen met Hoog Risico). Alle geciteerde bronnen zijn officiële EU-wetstekst.

Ready to let AI handle your busywork?

Book a free 20-minute assessment. We'll review your workflows, identify automation opportunities, and show you exactly how your AI corps would work.

Book Free AssessmentView pricing

From $199/month ongoing, cancel anytime. Initial setup is quoted based on your requirements.