We waarderen uw privacy

We gebruiken cookies om uw browse-ervaring te verbeteren, gepersonaliseerde advertenties of inhoud weer te geven en ons verkeer te analyseren. Door op ‘Alles accepteren’ te klikken, stemt u in met ons gebruik van cookies.

    TRON Group
    Terug naar blog
    EU AI Act 2026 compliance en verplichtingen voor bedrijven
    Compliance & AI

    AI Act 2026: Wat Moet Jouw Bedrijf Vastleggen als je AI Gebruikt?

    TRON Group• Compliance & IT Experts
    13 minuten lezen

    De EU AI Act gaat in augustus 2026 verplichtingen opleggen aan elk bedrijf dat AI gebruikt. Van Microsoft Copilot tot ChatGPT: ontdek welke regels er gelden, wat je moet documenteren en hoe je je voorbereidt.

    AI Act 2026: Wat Moet Jouw Bedrijf Vastleggen als je AI Gebruikt?

    De EU AI Act is de eerste uitgebreide AI-wetgeving ter wereld en de eerste verplichtingen treden in augustus 2026 in werking. Als jouw bedrijf AI-tools gebruikt zoals Microsoft Copilot, ChatGPT of geautomatiseerde besluitvorming, dan moet je actie ondernemen. Niet alleen Big Tech wordt geraakt: elke organisatie die AI inzet, krijgt met documentatie- en transparantieverplichtingen te maken.

    Kernpunten (TL;DR)

    • Eerste AI Act 2026 verplichtingen starten 2 augustus 2026 voor AI-systemen met een beperkt risico, inclusief transparantieplichten
    • Vier risicocategorieen: onacceptabel, hoog risico, beperkt risico en minimaal risico bepalen welke verplichtingen gelden
    • Documentatieplicht: bedrijven moeten vastleggen waar AI wordt ingezet, welke data wordt verwerkt en wie toezicht houdt
    • Niet alleen voor techbedrijven: ook MKB dat AI-tools gebruikt voor klantenservice, recruitment of cybersecurity valt onder de regels
    • Overlap met NIS2 en DORA: organisaties die al aan deze kaders werken, hebben een voorsprong op AI Act compliance
    • Boetes tot 35 miljoen euro of 7% van de wereldwijde jaaromzet bij overtredingen van de zwaarste categorie
    • Nu beginnen is noodzakelijk: een AI-inventarisatie en risicoanalyse kosten tijd en de deadline nadert snel

    Wat is de EU AI Act en wanneer gaat deze in?

    De EU AI Act (Verordening (EU) 2024/1689) is een Europese verordening die regels stelt voor de ontwikkeling, het aanbieden en het gebruik van AI-systemen. De wet is op 1 augustus 2024 in werking getreden, maar de verplichtingen worden gefaseerd ingevoerd.

    Tijdlijn van de AI Act 2026 verplichtingen:

    DatumWat treedt in werking
    2 februari 2025Verbod op AI-systemen met onacceptabel risico
    2 augustus 2025Verplichtingen voor general-purpose AI-modellen (zoals GPT-4)
    2 augustus 2026Verplichtingen voor hoog-risico AI-systemen (Artikel 6) en transparantieplichten
    2 augustus 2027Verplichtingen voor hoog-risico AI ingebed in sectorspecifieke wetgeving

    Voor de meeste Nederlandse bedrijven is 2 augustus 2026 de kritieke datum. Vanaf dan gelden de AI Act 2026 verplichtingen voor transparantie, documentatie en menselijk toezicht bij het gebruik van AI-systemen.

    Waarom raakt dit ook jouw MKB-bedrijf?

    De AI Act geldt niet alleen voor bedrijven die AI ontwikkelen. Artikel 3 definieert ook de "deployer" (gebruiker) van AI-systemen. Gebruik jij Microsoft 365 Copilot om e-mails te beantwoorden, een AI-chatbot voor klantenservice of geautomatiseerde screening bij recruitment? Dan ben je een deployer en heb je verplichtingen.

    Concrete voorbeelden van AI-gebruik waarbij de AI Act geldt:

    • Microsoft Copilot voor het genereren van documenten en analyses
    • ChatGPT of vergelijkbare tools voor klantcommunicatie
    • AI-gestuurde security monitoring binnen je cybersecurity-oplossingen
    • Geautomatiseerde CV-screening bij werving en selectie
    • AI-chatbots op je website voor klantenservice
    • Predictive analytics voor bedrijfsbeslissingen

    Het gaat niet om de grootte van je bedrijf, maar om het type AI dat je inzet en het risico dat het met zich meebrengt.

    Welke risicocategorieen kent de AI Act?

    De kern van de AI Act is een risicogebaseerde aanpak. Artikel 6 en Bijlage III classificeren AI-systemen in vier categorieen die bepalen welke AI Act 2026 verplichtingen voor jouw organisatie gelden.

    Onacceptabel risico (verboden)

    AI-toepassingen die als onacceptabel worden beschouwd zijn per 2 februari 2025 verboden. Denk aan sociale scoring door overheden, manipulatieve AI die kwetsbaarheden uitbuit en real-time biometrische identificatie in openbare ruimtes.

    Hoog risico

    Dit zijn AI-systemen die een aanzienlijk risico vormen voor gezondheid, veiligheid of fundamentele rechten. Voorbeelden zijn AI in recruitment, kredietbeoordeling, onderwijs en rechtshandhaving. Hier gelden de zwaarste verplichtingen: risicobeheersysteem, datakwaliteitseisen, technische documentatie, logging, transparantie en menselijk toezicht.

    Beperkt risico

    AI-systemen die interactie hebben met mensen, zoals chatbots en AI-gegenereerde content. Hier geldt een transparantieplicht: gebruikers moeten weten dat ze met AI te maken hebben. Dit raakt veel MKB-bedrijven die chatbots op hun website inzetten.

    Minimaal risico

    AI-toepassingen zonder significant risico, zoals spamfilters en AI-aanbevelingen in entertainment. Hiervoor gelden geen specifieke verplichtingen, maar vrijwillige gedragscodes worden aangemoedigd.

    Wat moet je als bedrijf vastleggen?

    Voor bedrijven die AI-systemen met een hoog of beperkt risico gebruiken, schrijft de AI Act specifieke documentatie- en governanceverplichtingen voor. Dit zijn de vier kerngebieden die je moet vastleggen.

    1. Waar wordt AI ingezet in de organisatie?

    Maak een compleet register van alle AI-toepassingen binnen je bedrijf. Per systeem documenteer je het doel, de leverancier, de risicocategorie en de afdeling die het gebruikt. Dit AI-register vormt de basis voor alle verdere compliance-acties.

    2. Welke data wordt verwerkt?

    Voor elk AI-systeem leg je vast welke persoonsgegevens en bedrijfsdata worden verwerkt, waar deze data vandaan komt en hoe de datakwaliteit wordt geborgd. Dit sluit aan bij de AVG-verplichtingen die je waarschijnlijk al kent.

    3. Wie houdt toezicht op AI-beslissingen?

    Artikel 14 van de AI Act vereist menselijk toezicht op hoog-risico AI-systemen. Je moet documenteren wie verantwoordelijk is voor het monitoren van AI-output, wie bevoegd is om AI-beslissingen te overrulen en hoe het escalatieproces werkt.

    4. Wat is de menselijke rol in AI-processen?

    Je moet vastleggen hoe de interactie tussen mens en AI-systeem werkt. Worden AI-suggesties automatisch overgenomen of is er een menselijke review? Hoe worden fouten gedetecteerd en gecorrigeerd? Dit is vooral relevant als je AI gebruikt voor beslissingen die mensen raken.

    Praktijkvoorbeelden: hoe pakt dit uit voor jouw bedrijf?

    De AI Act 2026 verplichtingen worden concreet als je ze toepast op veelgebruikte AI-tools in het Nederlandse MKB.

    Microsoft Copilot in je Microsoft 365-omgeving: Copilot voor het schrijven van e-mails en documenten valt onder minimaal risico. Gebruik je Copilot echter voor het analyseren van medewerkergegevens of het nemen van HR-beslissingen, dan kan het als hoog risico worden geclassificeerd. Documenteer het gebruiksdoel per afdeling.

    ChatGPT voor klantenservice: Een chatbot die klanten te woord staat valt onder beperkt risico. Je moet klanten informeren dat ze met AI communiceren. Zet een duidelijke disclaimer op je website en leg vast hoe het systeem wordt gemonitord.

    AI in recruitment: Gebruik je AI-tools om CV's te screenen of kandidaten te ranken? Dit is expliciet hoog risico volgens Bijlage III van de AI Act. Je hebt een volledige risicoanalyse, datakwaliteitsborging en menselijk toezicht nodig.

    AI voor cybersecurity monitoring: Security-tools die AI gebruiken voor dreigingsdetectie vallen doorgaans onder minimaal risico. Maar documenteer wel welke systemen AI-gestuurde beslissingen nemen, bijvoorbeeld automatische blokkering van netwerkverkeer.

    Hoe verhoudt de AI Act zich tot NIS2 en DORA?

    De AI Act staat niet op zichzelf. Er is aanzienlijke overlap met andere Europese regelgeving, wat zowel een uitdaging als een kans is.

    NIS2-richtlijn: NIS2 vereist risicoanalyses en documentatie van IT-systemen. AI-systemen die onderdeel zijn van je netwerk- en informatiebeveiliging moeten zowel onder NIS2 als de AI Act worden gedocumenteerd. De risicoanalyse die je voor NIS2 maakt, kun je uitbreiden met AI-specifieke elementen.

    DORA: Voor financiele instellingen geldt dat AI-systemen die worden ingezet voor operationele processen ook onder DORA vallen. Het ICT-risicobeheerframework van DORA biedt een goede basis voor AI Act compliance.

    Organisaties die al werken aan NIS2- of DORA-compliance hebben een voorsprong. Veel documentatie- en governance-eisen overlappen. Een geintegreerde aanpak bespaart tijd en voorkomt dubbel werk.

    Welke stappen moet je nu nemen?

    Wacht niet tot augustus 2026. De AI Act 2026 verplichtingen vragen om voorbereiding die maanden in beslag neemt. Dit is een praktisch stappenplan om nu te starten.

    Stap 1: AI-inventarisatie (deze maand)

    Breng alle AI-toepassingen in je organisatie in kaart. Vraag elke afdeling welke AI-tools ze gebruiken, ook schaduw-IT. Veel medewerkers gebruiken ChatGPT of andere AI-tools zonder dat IT hiervan weet.

    Stap 2: Risicoanalyse (binnen 3 maanden)

    Classificeer elk AI-systeem volgens de vier risicocategorieen van de AI Act. Bepaal welke verplichtingen per systeem gelden. Een IT-partner met security-expertise kan hierbij ondersteunen.

    Stap 3: Documentatieframework opzetten (binnen 6 maanden)

    Creeer templates en processen voor de vereiste documentatie: AI-register, risicobeoordelingen, datakwaliteitsrapportages en toezichtprocedures. Koppel dit aan bestaande IT-beheer processen.

    Stap 4: Governance en verantwoordelijkheden (binnen 6 maanden)

    Wijs een AI-verantwoordelijke aan binnen je organisatie. Definieer wie toezicht houdt op welke AI-systemen en hoe escalatie werkt. Integreer AI-governance in je bestaande IT-governance.

    Stap 5: Training en bewustwording (doorlopend)

    Train medewerkers over verantwoord AI-gebruik. Niet alleen de technische aspecten, maar ook de wettelijke kaders. Medewerkers moeten weten wanneer ze AI mogen inzetten en welke regels gelden.

    Stap 6: Review en audit (kwartaal)

    Plan kwartaalreviews van je AI-register en risicobeoordelingen. AI-gebruik verandert snel, nieuwe tools worden geadopteerd en bestaande tools krijgen nieuwe functionaliteit. Houd je documentatie actueel.

    TRON Group: Jouw Partner voor AI-Compliant IT

    Bij TRON Group combineren we diepgaande kennis van IT-beheer, cybersecurity en Microsoft 365 met praktische ervaring in compliance-trajecten. We helpen Nederlandse bedrijven bij het verantwoord inzetten van AI binnen de kaders van de AI Act, NIS2 en DORA.

    Wat we voor je doen:

    • AI-inventarisatie en risicoanalyse van je huidige IT-omgeving
    • Opzetten van documentatieframeworks die aansluiten bij je bestaande processen
    • Inrichten van governance en toezichtmechanismen
    • Beveiligen van AI-systemen binnen je Microsoft 365-omgeving
    • Training en bewustwording voor je team
    • Doorlopende monitoring en kwartaalreviews

    Wil je weten hoe jouw organisatie ervoor staat? Vraag een gratis Quick Scan aan en krijg binnen een week inzicht in je AI-gebruik en compliance-risico's. Of neem direct contact op voor een vrijblijvend gesprek. Bel 085-3035869 of plan een afspraak via onze contactpagina. Lees ook meer over wie we zijn en hoe we werken.

    AI ActEU RegelgevingComplianceArtificial IntelligenceMicrosoft CopilotMKBDocumentatieRisicobeoordeling

    Wil je meer weten over deze IT-oplossingen?

    Neem contact op voor een vrijblijvend gesprek met onze experts

    Neem contact opBel 085 303 5869

    Meer Artikelen

    WordPress beveiliging checklist voor bedrijfswebsites
    Web Security
    11 min lezen

    WordPress Beveiliging: De Ultieme Checklist om Je Bedrijfswebsite te Beschermen

    WordPress draait op 43,4% van alle websites en is verantwoordelijk voor 90% van alle CMS-gerelateerde hacks. Ontdek de ultieme 10-punten beveiligingschecklist en wat je moet doen als je site gehackt is.

    WordPressWebsite BeveiligingHacken
    Lees meer
    E-mail beveiliging met SPF DKIM en DMARC voor bedrijven
    Cyber Security
    12 min lezen

    E-mail Beveiliging voor Bedrijven: SPF, DKIM en DMARC Uitgelegd (+ Stappenplan)

    Slechts 13% van de Nederlandse bedrijven gebruikt DMARC — het laagste van alle onderzochte landen. Ontdek wat SPF, DKIM en DMARC zijn, waarom ze essentieel zijn en hoe je ze stap voor stap instelt.

    E-mail BeveiligingDMARCSPF
    Lees meer
    MFA twee-factor authenticatie implementeren voor bedrijven
    Cyber Security
    11 min lezen

    MFA Implementeren voor Je Bedrijf: Het Complete Stappenplan voor 2026

    MFA blokkeert 99,9% van geautomatiseerde aanvallen, maar slechts 26% van de Nederlandse organisaties heeft het volledig uitgerold. Ontdek hoe je MFA in 6 stappen implementeert, wat het kost en waarom NIS2 het verplicht.

    MFATwee-Factor Authenticatie2FA
    Lees meer