Juridisch 9 min leestijd

AI-watermarking en content credentials: verplicht vanaf augustus 2026.

De EU AI Act verplicht vanaf 2 augustus 2026 dat AI-gegenereerde content machinaal herkenbaar is. Wat zijn content credentials, hoe werkt C2PA en wat moet jouw organisatie regelen?

Jasper Koers ·

In het kort

  • Vanaf 2 augustus 2026 moeten AI-gegenereerde afbeeldingen, video, audio en tekst machinaal herkenbaar zijn gemarkeerd
  • C2PA (Content Credentials) is de open standaard die de industrie en de EU als referentie hanteren
  • Aanbieders van AI-systemen dragen de technische markeerplicht; deployers moeten controleren dat markering aanwezig is
  • Boetes kunnen oplopen tot 15 miljoen euro of 3 procent van de wereldwijde omzet
  • Grote AI-diensten als Adobe Firefly, DALL-E en Google Imagen hebben C2PA al ingebouwd

Waarom AI-content herkenbaar moet zijn

AI genereert steeds vaker content die niet van menselijk werk te onderscheiden is. Afbeeldingen, video's, stemklonen en teksten die eruitzien alsof een mens ze heeft gemaakt. Dat biedt enorme kansen, maar het creëert ook risico's: desinformatie, misleiding en ondermijning van vertrouwen in digitale content.

De Europese Unie trekt daarom een harde grens. Artikel 50 van de EU AI Act verplicht dat alle synthetische content — afbeeldingen, video, audio en tekst — machinaal herkenbaar wordt gemarkeerd. Niet met een zichtbaar stempeltje, maar met een onzichtbare digitale handtekening die software kan detecteren.

De deadline? 2 augustus 2026.

Wat Artikel 50 precies eist

De verplichting uit de AI-verordening (EU 2024/1689) is helder: aanbieders van AI-systemen die synthetische content genereren moeten ervoor zorgen dat de output wordt gemarkeerd op een manier die:

  • Machineleesbaar is — software moet de markering kunnen detecteren zonder menselijke tussenkomst
  • Effectief — de markering moet ondubbelzinnig vaststellen dat content door AI is gegenereerd
  • Interoperabel — elk compatibel verificatie-instrument moet de markering kunnen lezen, niet alleen de tool van de aanbieder
  • Robuust — de markering moet bestand zijn tegen gangbare bewerkingen zoals compressie, verkleining en formaatconversie
  • Betrouwbaar — de markering moet manipulatiebestendig zijn

Twee groepen partijen hebben verplichtingen:

  • Aanbieders van AI-systemen dragen de primaire technische markeerplicht. Zij moeten watermarking inbouwen in hun generatiepijplijn.
  • Deployers — bedrijven die AI-tools inzetten om content te genereren — moeten ervoor zorgen dat AI-gegenereerde content als zodanig herkenbaar blijft en mogen markeringen niet verwijderen.

Content credentials en C2PA: de open standaard

De industrie heeft zich verzameld rond één open standaard voor herkomstinformatie van digitale content: C2PA (Coalition for Content Provenance and Authenticity). C2PA is ontwikkeld door Adobe, Microsoft, Google, Intel, de BBC en de Associated Press en is inmiddels opgenomen in de internationale norm ISO/IEC 21694.

Hoe C2PA werkt

C2PA embedt een cryptografisch ondertekend manifest in een bestand op het moment van creatie. Dat manifest legt vast:

  • Wie het bestand heeft gemaakt (de aanbieder of het platform)
  • Welk hulpmiddel is gebruikt (het specifieke AI-model)
  • Of er AI bij betrokken was en in welke mate
  • Of het bestand na creatie is bewerkt

De ondertekening gebruikt een X.509-certificaat, vergelijkbaar met de certificaten die websites gebruiken voor HTTPS. Elke wijziging aan het bestand na ondertekening is detecteerbaar. Het resultaat: een digitale herkomstverklaring die niet te vervalsen is.

C2PA is voor digitale content wat een notariële akte is voor documenten: een onweerlegbaar bewijs van herkomst en authenticiteit.

C2PA versus onzichtbare watermarks

Er zijn twee complementaire technieken die samen de AI Act-verplichting invullen:

  • C2PA content credentials — cryptografische metadata ingebed in het bestand. Open standaard, verifieerbaar door elke compatibele tool. Kwetsbaar voor metadata-stripping (denk aan upload naar social media).
  • Imperceptibele watermarks — onzichtbare patronen verwerkt in de pixels of audiosamples van de content zelf. Overleeft compressie en bewerking, maar vereist een detectie-algoritme om te lezen. Voorbeelden zijn Google SynthID, Meta's AudioSeal en Stable Signature.

De Code of Practice van het EU AI Office beveelt een meervoudige aanpak aan: C2PA-metadata voor volledige herkomstinformatie, aangevuld met een imperceptibel watermark dat bestand is tegen metadata-stripping. Zo blijft de markering intact, ook als een afbeelding via social media wordt verspreid.

Wie moet wat regelen?

Je bouwt zelf een AI-toepassing

Als je een AI-systeem ontwikkelt dat synthetische content genereert — een afbeeldingsgenerator, een chatbot die tekst produceert, een tool die stemklonen maakt — dan ben je aanbieder in de zin van de AI Act. Je moet watermarking inbouwen in je generatiepijplijn vóór 2 augustus 2026. Dat betekent: C2PA-manifest toevoegen op het moment van generatie, certificaat regelen bij een erkende certificaatautoriteit en optioneel een imperceptibel watermark verwerken.

Je gebruikt AI-tools om content te maken

Gebruik je een bestaande AI-dienst om afbeeldingen, teksten of video's te genereren voor je website, marketing of producten? Dan ben je deployer. Je verplichtingen:

  • Controleer dat de AI-dienst die je gebruikt content credentials inbouwt
  • Verwijder geen C2PA-metadata of watermarks bij het publiceren van de content
  • Maak bij je publiek kenbaar dat content AI-gegenereerd is waar dat relevant is

Grote AI-diensten als Adobe Firefly, OpenAI's DALL-E 3 en Sora, en Google Imagen hebben C2PA al ingebouwd. Gebruik je een van deze diensten, dan is het technische deel grotendeels gedekt.

Je toont AI-content op je platform

Platforms die AI-gegenereerde content van derden tonen, vallen buiten de directe markeerplicht — zolang ze de bestaande markeringen niet verwijderen. Let wel: social-mediaplatforms en CMS'en strippen regelmatig metadata bij upload. Als je een platform bouwt, overweeg dan om C2PA-metadata te behouden bij bestandsverwerking.

Wat betekent dit per contenttype?

  • Afbeeldingen — markering moet bestand zijn tegen JPEG-compressie (tot 80 procent), verkleining naar 512 pixels en formaatconversie. C2PA-metadata ingebouwd in het bestand, aangevuld met een perceptueel watermark.
  • Audio — markering moet MP3-hercodering op 64 kbps en kleine toonhoogteverschuivingen overleven. Tools als AudioSeal (Meta) embedden onhoorbare watermarks in het audiosignaal.
  • Video — markering op frameniveau plus containermetadata. Moet transcodering van 480p naar 720p en trimmen overleven.
  • Tekst — het zwakste domein voor watermarking. Statistische detectie na parafrasering is beperkt effectief. In de praktijk wordt tekst vaak voorzien van C2PA-metadata op documentniveau.

De sancties

De EU AI Act (Artikel 99) voorziet in aanzienlijke boetes bij niet-naleving:

  • Aanbieders — tot 15 miljoen euro of 3 procent van de wereldwijde jaaromzet (het hoogste bedrag geldt)
  • Deployers — tot 7,5 miljoen euro of 1,5 procent van de omzet
  • Voor het MKB geldt een evenredigheidsprincipe, maar er is geen automatische vrijstelling

Handhaving loopt via nationale toezichthouders, gecoördineerd door het EU AI Office. Eerste handhavingsacties worden verwacht in het vierde kwartaal van 2026.

Uitzonderingen

De markeerplicht geldt niet in twee situaties:

  • Assisterende bewerkingen — AI die ondersteunt bij het bewerken van bestaande content zonder de inhoud wezenlijk te veranderen (denk aan automatische kleurcorrectie of ruisonderdrukking) valt buiten de verplichting.
  • Rechtshandhaving — AI-systemen die worden ingezet voor het opsporen of voorkomen van strafbare feiten zijn uitgezonderd.

Wat je nu kunt doen

De deadline van 2 augustus 2026 is over vijf weken. Dit zijn de stappen die je nu kunt zetten:

  1. Inventariseer — breng in kaart waar je organisatie AI-gegenereerde content gebruikt of produceert. Marketing, productfoto's, klantenservice, documentatie — de kans is groot dat AI al op meer plekken draait dan je denkt.
  2. Controleer je tools — gebruik je AI-diensten die C2PA al ondersteunen? Adobe Firefly, DALL-E 3, Google Imagen en Canva's AI-functies doen dit. Check de documentatie van je AI-tools.
  3. Behoud metadata — zorg dat je publicatieproces C2PA-metadata niet stript. Test dit: genereer een afbeelding, upload hem naar je CMS en controleer met de Content Credentials Verify-tool of de metadata intact is.
  4. Bouw je eigen AI-toepassing? — integreer C2PA-signing in je generatiepijplijn. De open-source libraries c2pa-rs en c2pa-python maken dit technisch toegankelijk. Regel een X.509-certificaat bij een erkende certificaatautoriteit.
  5. Documenteer — leg vast welke AI-tools je gebruikt, welke content AI-gegenereerd is en welke markeringsmaatregelen je hebt getroffen. Dit helpt bij een eventuele audit.

Conclusie

AI-watermarking en content credentials zijn geen vrijblijvende optie meer. De EU AI Act maakt machinale herkenbaarheid van AI-gegenereerde content een wettelijke verplichting met serieuze sancties. De technologie is er — C2PA is een volwassen, open standaard die door de grootste techbedrijven wordt ondersteund. De vraag is niet óf je dit moet regelen, maar of je het op tijd doet.

Wil je weten of jouw software of AI-toepassing compliant is met de watermarkingverplichting? Of heb je hulp nodig bij het inbouwen van C2PA in je applicatie? Neem contact op — we helpen je graag.

Veelgestelde vragen

AI-watermarking is het onzichtbaar markeren van content die door kunstmatige intelligentie is gegenereerd. De markering is niet zichtbaar voor mensen, maar wel detecteerbaar door software. Zo kan altijd worden vastgesteld of een afbeelding, video, audiofragment of tekst door AI is gemaakt.
Ja. Artikel 50 van de EU AI Act verplicht aanbieders van AI-systemen die synthetische content genereren om die content machinaal herkenbaar te markeren. De verplichting geldt vanaf 2 augustus 2026 en treft iedereen die AI-gegenereerde content aanbiedt aan gebruikers in de EU.
Content credentials zijn cryptografisch ondertekende metadata die in een bestand worden ingebed op het moment van creatie. Ze leggen vast wie het bestand heeft gemaakt, welk hulpmiddel is gebruikt en of er AI bij betrokken was. De open standaard hiervoor is C2PA, ontwikkeld door Adobe, Microsoft, Google en anderen.
Bij niet-naleving van Artikel 50 riskeren aanbieders van AI-systemen boetes tot 15 miljoen euro of 3 procent van de wereldwijde jaaromzet. Voor deployers (bedrijven die AI inzetten) ligt het maximum op 7,5 miljoen euro of 1,5 procent van de omzet.
Dat hangt af van hoe je AI inzet. Gebruik je een AI-tool om afbeeldingen of teksten te genereren voor je website of marketing? Dan ben je een deployer en moet je ervoor zorgen dat de AI-gegenereerde content herkenbaar is. Gebruik je een AI-dienst die C2PA al ingebouwd heeft (zoals Adobe Firefly of DALL-E 3), dan is dat grotendeels geregeld. Bouw je zelf een AI-toepassing? Dan ben je aanbieder en gelden de volledige markeerverplichtingen.
Gerelateerde expertise — AI Integratie

Meer weten over ai integratie? Bekijk onze aanpak, werkwijze en referentieprojecten.

Bekijk onze aanpak Gratis prijsindicatie
Onderwerpen
AI Act Watermarking C2PA Content Credentials EU Compliance AI Transparantie

Gerelateerde artikelen

25 mrt. 2026
Juridisch

EU AI Act: wat betekent het voor jouw software?

De Europese AI-verordening is een feit. Wat moet je weten als je AI inzet in je bedrijfssoftware, en hoe zorg je dat je compliant bent?

10 okt. 2024
Strategie

AI integreren in bedrijfsprocessen

Hoe zet je AI concreet in? Van use case selectie tot provider-keuze en implementatie in je bestaande software.

14 feb. 2026
Architectuur

AI security: prompt injection en guardrails

Hoe je AI-features veilig bouwt zonder dat gebruikers je systeem manipuleren. Over prompt injection, data leaks en de guardrails die je nodi...

Hulp nodig?

Vragen over dit onderwerp? Laten we het erover hebben.

Neem contact op