Juridisch 10 min leestijd

EU AI Act: wat betekent het voor jouw software?.

De Europese AI-verordening is een feit. Wat moet je weten als je AI inzet in je bedrijfssoftware, en hoe zorg je dat je compliant bent?

Jasper Koers · ·

In het kort

  • De EU AI Act is de eerste uitgebreide AI-wetgeving ter wereld en geldt voor iedereen die AI aanbiedt of gebruikt in de EU
  • AI-systemen worden ingedeeld in vier risicocategorieën: onaanvaardbaar, hoog, beperkt en minimaal risico
  • Op 7 mei 2026 bereikten Parlement en Raad een voorlopig akkoord op de Digital Omnibus: hoog-risico deadlines worden uitgesteld tot december 2027 / augustus 2028
  • GPAI-handhaving start gewoon op 2 augustus 2026 — boetes tot €15 miljoen of 3% van de omzet
  • Watermarking van AI-gegenereerde content (Artikel 50(2)) moet uiterlijk 2 december 2026 geregeld zijn
  • De meeste bedrijfssoftware met AI valt onder beperkt of minimaal risico — maar check dit expliciet en bouw transparantie in

De eerste AI-wet ter wereld

De Europese Unie heeft met de AI Act (Verordening (EU) 2024/1689) de eerste uitgebreide wetgeving ter wereld aangenomen die het gebruik van kunstmatige intelligentie reguleert. Voor ondernemers die AI inzetten in hun software — en dat zijn er steeds meer — heeft dit directe gevolgen.

De verordening is niet bedoeld om innovatie te remmen, maar om een kader te bieden waarbinnen AI veilig en verantwoord ingezet kan worden. Het raakt iedereen die AI-systemen ontwikkelt, aanbiedt of gebruikt binnen de EU. Ongeacht of je een SaaS-platform bouwt, een intern classificatiesysteem draait of een chatbot inzet voor klantenservice.

Risicocategorieën

De kern van de AI Act is een risicogebaseerde aanpak. AI-systemen worden ingedeeld in vier categorieën, elk met eigen verplichtingen:

Onaanvaardbaar risico — verboden

Bepaalde AI-toepassingen zijn simpelweg verboden. Denk aan sociale scoring door overheden, manipulatieve systemen die kwetsbare groepen uitbuiten, of biometrische identificatie in real-time op openbare plaatsen (met beperkte uitzonderingen voor rechtshandhaving). Dit verbod geldt sinds februari 2025.

Met het Digital Omnibus-akkoord van 7 mei 2026 zijn hier twee nieuwe verboden aan toegevoegd: AI-systemen die niet-consensueel intiem beeldmateriaal (NCII) genereren of manipuleren — denk aan zogenaamde "nudifier"-apps — en systemen die kindermisbruikmateriaal (CSAM) genereren. Het verbod geldt zowel voor systemen die hier expliciet voor zijn ontworpen als voor systemen waar dergelijke output redelijkerwijs voorzienbaar en reproduceerbaar is zonder passende waarborgen.

Hoog risico

AI-systemen die ingezet worden in kritieke domeinen (Annex III) vallen onder strenge eisen. Voorbeelden zijn AI voor werving en selectie, kredietbeoordeling, medische diagnostiek, of systemen die toegang tot onderwijs of essentiële diensten beïnvloeden. Deze systemen moeten voldoen aan eisen rondom databeheer, documentatie, menselijk toezicht en nauwkeurigheid.

Beperkt risico — transparantieverplichtingen

AI-systemen die interacteren met mensen — chatbots, AI-gegenereerde content, deepfakes — moeten transparant zijn (Artikel 50). Gebruikers moeten weten dat ze met AI te maken hebben. Dit is waar de meeste bedrijfssoftware met AI-features mee te maken krijgt.

Minimaal risico

De meeste AI-toepassingen vallen in deze categorie: spamfilters, AI-gestuurde aanbevelingen in je webshop, geautomatiseerde data-analyse. Hiervoor gelden geen specifieke verplichtingen vanuit de AI Act, hoewel algemene wetgeving (AVG, consumentenbescherming) uiteraard gewoon van toepassing blijft.

De AI Act verbiedt niet het gebruik van AI. Het vraagt je om bewust na te denken over hoe je het inzet en welke risicos dat met zich meebrengt.

Wat betekent dit voor jouw software?

Als je AI inzet in je bedrijfssoftware, moet je een aantal dingen uitzoeken:

Classificeer je AI-gebruik

Maak een inventarisatie van alle plekken waar je AI inzet. Categoriseer elk gebruik volgens de risicocategorieën van de AI Act. In de praktijk valt het meeste gebruik in bedrijfssoftware onder beperkt of minimaal risico, maar dat moet je expliciet vaststellen — niet aannemen.

Transparantie implementeren

Als je een chatbot, AI-assistent of geautomatiseerd besluitvormingssysteem hebt, moeten gebruikers weten dat ze met AI interacteren. Dat kan zo simpel zijn als een label "Dit antwoord is gegenereerd door AI" of een duidelijke melding bij eerste gebruik.

Documentatie en logging

Voor hoog-risico systemen zijn de eisen uitgebreider: technische documentatie, logging van beslissingen, periodieke evaluatie van nauwkeurigheid en bias, en een kwaliteitsmanagementsysteem. Maar ook voor lagere risicocategorieën is goede documentatie verstandig.

Menselijk toezicht

Zeker bij AI die beslissingen neemt die mensen raken — denk aan automatische goedkeuring of afwijzing van aanvragen — moet er een mogelijkheid zijn voor menselijke tussenkomst. Een mens moet de AI-beslissing kunnen inzien en overrulen.

Tijdlijn: wanneer moet je wat geregeld hebben?

  • Februari 2025 — Verboden AI-toepassingen zijn niet meer toegestaan (Artikel 5)
  • Augustus 2025 — Transparantieverplichtingen voor general-purpose AI-modellen (zoals GPT, Claude) gelden voor aanbieders (in werking). De finale GPAI Code of Practice werd in juli 2025 gepubliceerd
  • 2 augustus 2026Handhaving op GPAI-verplichtingen start: de Europese Commissie kan vanaf die datum boetes opleggen tot €15 miljoen of 3% van de wereldwijde omzet. Deze deadline staat vast — het Digital Omnibus-akkoord verandert hier niets aan
  • 2 december 2026 — Nieuwe deadline voor watermarking van AI-gegenereerde content (Artikel 50(2)) — uitgesteld van augustus 2026 via het Omnibus-akkoord van 7 mei 2026
  • 2 december 2027 — Nieuwe deadline voor stand-alone hoog-risico AI-systemen uit Annex III (biometrie, onderwijs, werkgelegenheid, kredietbeoordeling, rechtshandhaving) — uitgesteld van augustus 2026 omdat technische standaarden nog niet gereed waren
  • 2 augustus 2028 — Regels voor hoog-risico AI in reeds gereguleerde producten uit Annex I (medische apparatuur, machines, speelgoed) — uitgesteld van augustus 2027

Digital Omnibus: uitstel voor hoog-risico regels (akkoord 7 mei 2026)

In november 2025 publiceerde de Europese Commissie de Digital Omnibus on AI, een wetsvoorstel dat de deadlines voor hoog-risico AI-systemen uitstelt. De reden: de technische standaarden die bedrijven nodig hebben om te voldoen, werden niet op tijd opgeleverd door de Europese standaardisatieorganisaties.

De onderhandelingen verliepen moeizaam — de tweede triloog op 28 april 2026 eindigde zonder akkoord. Maar in de vroege ochtend van 7 mei 2026 bereikten Parlement en Raad een voorlopig akkoord. Beide instellingen hebben aangegeven het akkoord formeel te willen aannemen vóór 2 augustus 2026 — de datum waarop de hoog-risico verplichtingen anders van kracht zouden worden.

De belangrijkste uitkomsten van het akkoord:

  • Annex III hoog-risico AI — deadline verschuift van augustus 2026 naar 2 december 2027
  • Annex I hoog-risico AI (sectoraal: medische apparatuur, machines, speelgoed) — deadline verschuift van augustus 2027 naar 2 augustus 2028
  • Watermarking en content marking — providers van generatieve AI krijgen tot 2 december 2026 om Artikel 50(2) te implementeren
  • Twee nieuwe verboden — AI-systemen die NCII/CSAM genereren of manipuleren (zie risicocategorieën hierboven)
  • Vereenvoudigde rapportage — minder administratieve lasten voor kleine aanbieders en startups

Belangrijk: dit uitstel geldt niet voor de GPAI-verplichtingen. De handhaving daarvan start gewoon per 2 augustus 2026. Ook de bestaande verboden (Artikel 5) en de transparantieregels voor chatbots (Artikel 50(1)) blijven onveranderd.

Kritiek: heeft de tech-lobby gewonnen?

Niet iedereen is blij met het Omnibus-akkoord. Digitale-rechtenorganisatie Bits of Freedom stelt dat de Europese Commissie heeft toegegeven aan druk vanuit de tech-industrie en de AI-verordening verzwakt voordat die volledig in werking trad. Hun belangrijkste bezwaren:

  • Waarborgen op pauze, ontwikkeling niet — Terwijl de hoog-risico verplichtingen worden uitgesteld, gaan AI-bedrijven gewoon door met het ontwikkelen en uitrollen van toepassingen. De fundamentele asymmetrie tussen innovatie en bescherming groeit.
  • Heronderhandelen ondermijnt het democratisch proces — Het opnieuw openbreken van net afgesproken wetgeving ondergraaft EU-procedures en put de capaciteit van maatschappelijke organisaties uit, die met veel minder middelen moeten lobbyen tegen goed gefinancierde tech-belangen.
  • De tech-sector is de grote winnaar — Verplichtingen rondom veiligheid en grondrechten staan op de lange baan, terwijl bedrijven meer ruimte krijgen om door te ontwikkelen.
  • Bredere zorg over digitale wetgeving — Bits of Freedom waarschuwt dat de Commissie ook andere digitale-rechtenwetgeving heropent, waaronder mogelijk de AVG.

Tegelijk erkent Bits of Freedom dat een aantal belangrijke elementen overeind blijven: de verplichte registratie van AI-systemen in de Europese database, de strikte noodzakelijkheidstoets bij verwerking van bijzondere persoonsgegevens om bias te detecteren, en het nieuwe verbod op nudificatie-systemen.

De boodschap voor ondernemers: het uitstel is geen vrijbrief. De richting van de wet blijft onveranderd, en wie nu zorgvuldig bouwt heeft straks geen inhaalslag te maken — en geeft gebruikers waarborgen die zij volgens organisaties als Bits of Freedom verdienen, ook als de wet ze niet meer afdwingt.

GPAI Code of Practice — vrijwillig, maar zwaarwegend

Naast de wetgeving zelf publiceerde het AI Office in juli 2025 de finale versie van de General-Purpose AI Code of Practice. Dit is een vrijwillig instrument dat aanbieders van GPAI-modellen helpt om aan de AI Act te voldoen. De Code bestaat uit drie hoofdstukken: Transparantie, Copyright, en Safety & Security.

Voor de meeste bedrijven is dit niet direct relevant: je bent pas GPAI-aanbieder als je zélf grote foundation models traint en aanbiedt — denk aan OpenAI, Anthropic, Mistral of Meta. Gebruik je een API van een van deze partijen, dan ben je downstream-gebruiker en gelden er andere (lichtere) verplichtingen.

Belangrijk om te weten als je wel GPAI aanbiedt: ondertekening van de Code is vrijwillig, maar het AI Office houdt rekening met je commitment bij het opleggen van eventuele boetes. Aanbieders die de Code volgen worden door de Commissie als te goeder trouw beschouwd, ook als ze nog niet alle verplichtingen volledig hebben geïmplementeerd.

Actieve handhaving: AI Office komt op stoom

Het EU AI Office is operationeel en heeft de afgelopen maanden zijn tanden laten zien. Volgens verschillende handhavingsacties begin 2026:

  • Onderzoek naar X (voorheen Twitter) wegens systeemrisico's bij Grok
  • Onderzoek naar Meta wegens systeemrisico's bij Llama
  • In januari 2026 een aanvullend onderzoek naar Meta over de WhatsApp Business API — de vraag is of Meta concurrerende AI-aanbieders oneerlijk uitsluit

De bevoegdheden van het AI Office zijn breed: documentatie opvragen, modellen evalueren, broncode-toegang eisen, recalls afdwingen en boetes opleggen. Vanaf augustus 2026 kan dat allemaal met sancties — daarvoor is het vooral signaalwerking, maar de onderzoeken lopen nu al.

Wat je nu al kunt doen

Het uitstel voor hoog-risico regels betekent niet dat je kunt afwachten. De GPAI-handhaving start op 2 augustus 2026, de watermarking-deadline volgt op 2 december 2026 en de richting is helder. Begin nu met deze stappen:

  • AI-register opzetten — Documenteer waar je AI inzet, welke modellen je gebruikt, welke data je verwerkt en welk doel het dient. Dit is je startpunt voor compliance.
  • Risicobeoordeling uitvoeren — Bepaal per AI-toepassing in welke risicocategorie het valt. Wees eerlijk en grondig.
  • Transparantie inbouwen — Zorg dat gebruikers weten wanneer ze met AI interacteren. Dit is vaak een kleine aanpassing met grote impact.
  • Watermarking voorbereiden — Genereer je beeld, audio of video met AI? Dan moet je content vóór 2 december 2026 voorzien zijn van een machinaal leesbare markering (Artikel 50(2)). De technische details staan in de GPAI Code of Practice.
  • Data governance checken — Welke data gebruik je voor AI? Is die data schoon, representatief en in lijn met de AVG? De AI Act bouwt voort op bestaande privacywetgeving.
  • Vendor-afspraken controleren — Gebruik je AI-diensten van derden (OpenAI, Anthropic, Google)? Check welke verantwoordelijkheden bij jou liggen en welke bij de aanbieder. Vraag specifiek naar hun ondertekening van de GPAI Code of Practice.
Begin met een AI-register. Als je niet weet waar je AI inzet, kun je ook niet beoordelen of je compliant bent.

AI Act en de AVG

De AI Act staat niet op zichzelf. Het werkt samen met bestaande wetgeving, met name de AVG (Verordening (EU) 2016/679). Als je AI inzet om persoonsgegevens te verwerken, moet je aan beide kaders voldoen. In de praktijk betekent dit dat je al een groot deel van het werk gedaan hebt als je AVG-compliance op orde is: dataminimalisatie, doelbinding, transparantie en rechten van betrokkenen zijn principes die in beide regelgevingen terugkomen.

Het verschil is dat de AI Act specifiek kijkt naar de werking en impact van het AI-systeem zelf, niet alleen naar de data die het verwerkt.

Hoe Coding Agency hiermee omgaat

Bij de AI-integraties die wij bouwen houden we rekening met de AI Act. Dat betekent concreet:

  • We classificeren het AI-gebruik in de software die we bouwen
  • We bouwen transparantie-indicatoren in waar nodig
  • We implementeren logging en audit trails voor AI-beslissingen
  • We zorgen dat menselijk toezicht mogelijk is bij geautomatiseerde besluitvorming
  • We adviseren over de juiste aanpak gegeven jouw specifieke situatie

De AI Act is geen reden om af te zien van AI. Het is een reden om het goed te doen. En dat is precies wat je wilt: AI die waarde toevoegt aan je bedrijf, binnen een kader dat je beschermt.

Conclusie

De EU AI Act is er en gaat niet meer weg. Het Omnibus-akkoord van 7 mei 2026 geeft aanbieders van hoog-risico systemen extra adem tot eind 2027, maar verandert niets aan de GPAI-handhaving in augustus 2026 of de watermarking-deadline van december 2026. Voor de meeste bedrijfssoftware zijn de gevolgen overzichtelijk: zorg dat je weet waar je AI inzet, wees transparant naar gebruikers en documenteer je keuzes. Begin daar nu mee, niet pas als de handhaving start. Heb je vragen over wat de AI Act voor jouw software betekent? Neem contact op — we denken graag mee.

Veelgestelde vragen

Waarschijnlijk wel, als je AI inzet voor besluitvorming, classificatie, aanbevelingen of geautomatiseerde processen. De AI Act geldt voor alle organisaties die AI-systemen aanbieden of gebruiken binnen de EU, ongeacht waar de aanbieder gevestigd is.
De AI Act is gefaseerd ingevoerd. Sinds februari 2025 gelden de verboden op onaanvaardbare AI-toepassingen. Sinds augustus 2025 gelden de transparantieverplichtingen voor general-purpose AI. Vanaf augustus 2026 start de handhaving op GPAI-verplichtingen met boetes tot €15 miljoen of 3% van de wereldwijde omzet. Op 7 mei 2026 sloten Parlement en Raad een voorlopig akkoord op de Digital Omnibus: hoog-risico systemen krijgen uitstel tot december 2027 (Annex III) of augustus 2028 (sectoraal), en watermarking van AI-content moet uiterlijk 2 december 2026 geregeld zijn.
De boetes kunnen oplopen tot 35 miljoen euro of 7% van de wereldwijde jaaromzet voor verboden toepassingen (Artikel 99 AI Act). Voor andere overtredingen gelden boetes tot 15 miljoen euro of 3% van de jaaromzet.
Nee, dat is alleen relevant als je zelf een general-purpose AI-model aanbiedt (zoals OpenAI, Anthropic, Mistral). De Code is vrijwillig, maar het AI Office houdt rekening met ondertekening bij het bepalen van eventuele boetes. Voor de meeste bedrijven die GPT, Claude of Gemini gebruiken via een API geldt dit niet — dan ben je downstream-gebruiker en gelden de algemene transparantieregels.
Gerelateerde expertise — AI Integratie

Meer weten over ai integratie? Bekijk onze aanpak, werkwijze en referentieprojecten.

Bekijk onze aanpak Gratis prijsindicatie
Onderwerpen
AI Act EU Compliance AI Regelgeving Software

Gerelateerde artikelen

13 feb. 2026
Koppelingen

Bol.com koppeling

Automatiseer je Bol.com verkoop door je webshop of bedrijfssoftware te koppelen aan het Bol.com platform. Van voorraad tot verzending.

Lees verder
13 feb. 2026
Juridisch

Digitale toegankelijkheid en de European Accessibility Act

Sinds juni 2025 moeten digitale producten en diensten in de EU toegankelijk zijn voor iedereen. Wat betekent dit voor jouw webapplicatie?

Lees verder
13 feb. 2026
Koppelingen

RentalCheck koppeling voor verhuur

Integreer RentalCheck in je verhuurplatform voor huurdersscreening, kredietcontroles, identiteitsverificatie en fraudepreventie.

Lees verder

Hulp nodig?

Vragen over dit onderwerp? Laten we het erover hebben.

Neem contact op