Quick Answer
Compliance met de EU AI Act begint met twee vragen: welke rol heeft u (aanbieder of gebruiksverantwoordelijke) en welk risiconiveau heeft uw AI-systeem? Daarna volgt u een vaste reeks stappen: classificeren, documenteren, governance inrichten en, voor hoog risico, een conformiteitsbeoordeling uitvoeren. Dit is algemene informatie, geen juridisch advies. Bent u aanbieder of gebruiksverantwoordelijke? Uw verplichtingen onder de AI-verordening hangen af van uw rol. Bepaal die eerst. Aanbieder: u ontwikkelt een AI-systeem of laat het ontwikkelen en brengt het onder uw eigen naam of merk op de markt. Aanbieders dragen de zwaarste verplichtingen. Gebruiksverantwoordelijke: u gebruikt een AI-systeem onder eigen verantwoordelijkheid in een professionele context. U moet het systeem volgens de instructies gebruiken, menselijk toezicht borgen en input/logging op orde houden. Importeur of distributeur: u brengt een AI-systeem van een derde partij op de EU-markt of stelt het beschikbaar; u controleert of de aanbieder zijn verplichtingen is nagekomen.
Gratis pentest
Gratis security audit voor NIS2 en BIO compliance.
AanvragenCompliance met de EU AI Act begint met twee vragen: welke rol heeft u (aanbieder of gebruiksverantwoordelijke) en welk risiconiveau heeft uw AI-systeem? Daarna volgt u een vaste reeks stappen: classificeren, documenteren, governance inrichten en, voor hoog risico, een conformiteitsbeoordeling uitvoeren. Dit is algemene informatie, geen juridisch advies.
Bent u aanbieder of gebruiksverantwoordelijke?
Uw verplichtingen onder de AI-verordening hangen af van uw rol. Bepaal die eerst.
- Aanbieder: u ontwikkelt een AI-systeem of laat het ontwikkelen en brengt het onder uw eigen naam of merk op de markt. Aanbieders dragen de zwaarste verplichtingen.
- Gebruiksverantwoordelijke: u gebruikt een AI-systeem onder eigen verantwoordelijkheid in een professionele context. U moet het systeem volgens de instructies gebruiken, menselijk toezicht borgen en input/logging op orde houden.
- Importeur of distributeur: u brengt een AI-systeem van een derde partij op de EU-markt of stelt het beschikbaar; u controleert of de aanbieder zijn verplichtingen is nagekomen.
Let op: door wijzigingen aan te brengen of een systeem onder uw eigen merk te zetten, kunt u als gebruiksverantwoordelijke alsnog aanbieder worden, met bijbehorende plichten.
Classificeer het risico van uw AI-systeem
De AI Act kent vier risiconiveaus. Bepaal per AI-toepassing waar deze valt, want dat stuurt de hele checklist.
Hoe weet ik of mijn systeem hoog risico is?
Uw systeem is doorgaans hoog risico als het valt onder de gebruikssituaties in Annex III (zoals werving, kredietbeoordeling, onderwijs, kritieke infrastructuur of rechtshandhaving) of als veiligheidscomponent van een gereguleerd product onder Annex I. Verboden toepassingen (onaanvaardbaar risico) zijn niet toegestaan. Chatbots en AI-content vallen onder beperkt risico met transparantieplichten. De rest is meestal minimaal risico.
Hulp nodig met cloud?
Plan een gratis 30-minuten gesprek met een van onze cloud-specialisten. We analyseren uw behoefte en geven concrete aanbevelingen — geheel vrijblijvend.
De stapsgewijze compliance-checklist
Werk de onderstaande stappen per AI-systeem af. Documenteer elke keuze; dat bewijst uw zorgvuldigheid.
| Stap | Actie | Geldt voor |
|---|---|---|
| 1 | Maak een inventaris van alle AI-systemen die u ontwikkelt of gebruikt | Alle organisaties |
| 2 | Bepaal per systeem uw rol (aanbieder, gebruiksverantwoordelijke, importeur) | Alle organisaties |
| 3 | Classificeer het risiconiveau van elk systeem | Alle organisaties |
| 4 | Stop of vervang systemen die onder een verbod vallen | Bij onaanvaardbaar risico |
| 5 | Richt een risicobeheersysteem en datagovernance in | Hoog risico |
| 6 | Stel technische documentatie op en zorg voor logging | Hoog risico |
| 7 | Borg menselijk toezicht, nauwkeurigheid en cyberbeveiliging | Hoog risico |
| 8 | Doorloop de conformiteitsbeoordeling en breng CE-markering aan | Hoog risico |
| 9 | Informeer gebruikers dat ze met AI te maken hebben; markeer AI-content | Beperkt risico |
| 10 | Train medewerkers in AI-geletterdheid | Alle organisaties |
Conformiteitsbeoordeling en CE-markering voor hoog risico
Hoog-risico-systemen mogen pas op de markt na een conformiteitsbeoordeling waaruit blijkt dat aan alle eisen is voldaan. Voor veel Annex III-systemen mag dit via een interne controle door de aanbieder zelf; in andere gevallen, vooral bij gereguleerde producten onder Annex I, is een aangemelde instantie (notified body) betrokken.
Na een geslaagde beoordeling stelt de aanbieder een EU-conformiteitsverklaring op, brengt de CE-markering aan en registreert het systeem in de EU-databank. Houd er rekening mee dat een substantiele wijziging aan het systeem een nieuwe beoordeling vereist.
Documentatie en governance op orde
Goede compliance is vooral aantoonbaar. Zorg minimaal voor:
- Een actuele AI-inventaris met rol- en risicoclassificatie per systeem.
- Technische documentatie en gebruiksinstructies voor hoog-risico-systemen.
- Een risicobeheersysteem dat de hele levenscyclus dekt.
- Datagovernance: kwaliteit, representativiteit en herkomst van trainingsdata.
- Logging en monitoring na ingebruikname, inclusief incidentmelding.
- Duidelijke menselijke toezichtsrollen en escalatieprocedures.
- Afstemming met uw AVG-documentatie, zoals het verwerkingsregister en DPIA's.
Beleg de verantwoordelijkheid intern, bijvoorbeeld via een AI-governanceboard of een verantwoordelijke functionaris, zodat besluiten en updates traceerbaar blijven.
Tijdlijn: wanneer moet wat klaar zijn?
De AI Act wordt gefaseerd toegepast. Stem uw planning af op deze mijlpalen:
- Sinds 2 februari 2025: verboden praktijken en AI-geletterdheid.
- Sinds 2 augustus 2025: verplichtingen voor general-purpose AI (GPAI).
- Vanaf 2 augustus 2026: transparantieverplichtingen en handhaving van GPAI-regels.
- Hoog risico: in 2026 is een uitstel afgesproken (voorlopig akkoord van 7 mei 2026) waarbij veel Annex III-verplichtingen opschuiven naar 2 december 2027 en Annex I-systemen naar 2 augustus 2028. Dit moet nog formeel worden vastgesteld; wij presenteren daarom geen vaste hoog-risicodatum als zekerheid. Controleer de actuele stand bij de officiele EU-bronnen.
Hoe begint u?
Begin klein en concreet. Maak eerst een volledige AI-inventaris en wijs per systeem rol en risico toe; alleen dat geeft al overzicht van uw blootstelling. Pak vervolgens de verboden toepassingen en hoog-risico-systemen met voorrang aan, omdat daar de zwaarste verplichtingen en boetes (tot 35 miljoen euro of 7% van de wereldwijde jaaromzet) liggen. Leg keuzes vast, koppel ze aan uw bestaande AVG- en informatiebeveiligingsprocessen en plan de resterende stappen tegen de tijdlijn.
Welke fouten kunt u beter vermijden?
In de praktijk lopen organisaties vaak op dezelfde punten vast. Houd deze valkuilen in de gaten:
- Geen volledige inventaris: AI die via SaaS-tools, plug-ins of ingebouwde modelfuncties binnenkomt, wordt makkelijk over het hoofd gezien.
- Rol verkeerd inschatten: wie een systeem aanpast of onder eigen merk aanbiedt, kan onbedoeld aanbieder worden met zwaardere plichten.
- Classificatie te laat: zonder vroege risicobepaling mist u de doorlooptijd voor documentatie en conformiteitsbeoordeling.
- Transparantie vergeten: ook bij beperkt risico moet u gebruikers informeren en AI-content markeren.
- AVG en AI Act gescheiden behandelen: koppel beide trajecten, zodat DPIA's en risicobeheer elkaar versterken in plaats van dubbel werk op te leveren.
Een korte interne audit op deze punten voorkomt dat kleine omissies later uitgroeien tot kostbare compliance-gaten.
Veelgestelde vragen
Wanneer geldt de AI Act voor mijn checklist?
De verordening geldt nu al gefaseerd. Verboden en GPAI-regels zijn van kracht; transparantieverplichtingen gaan in vanaf augustus 2026. Voor hoog-risico-systemen is een uitstel naar 2 december 2027 afgesproken dat nog formeel moet worden bevestigd. Begin daarom nu met inventariseren en classificeren.
Geldt de checklist ook voor mijn bedrijf buiten de EU?
Ja, als u AI op de EU-markt aanbiedt of als de output van uw AI in de EU wordt gebruikt. De AI Act heeft een extraterritoriale reikwijdte, vergelijkbaar met de AVG, dus ook niet-EU-bedrijven kunnen verplichtingen hebben.
Wat is het verschil tussen de EU AI Act en de AVG voor mijn compliance?
De AVG regelt persoonsgegevens; de AI Act reguleert AI-systemen op basis van risico. Bestaande AVG-documentatie zoals DPIA's en uw verwerkingsregister is een nuttige basis, maar dekt de AI-Act-eisen (zoals conformiteitsbeoordeling en CE-markering) niet volledig.
Hoe hoog zijn de boetes bij niet-naleving?
Tot 35 miljoen euro of 7% van de wereldwijde jaaromzet voor verboden praktijken. Voor andere overtredingen gelden lagere maxima (3% en 1% van de omzet). Dit onderstreept waarom een gestructureerde checklist loont.
Hulp nodig bij uw AI-compliance?
Voor de achtergrond bij deze checklist leest u onze uitleg over de AI-verordening (EU AI Act). Wilt u de stappen samen doorlopen en uw AI verantwoord inrichten? Opsio, ISO 27001-gecertificeerd, ondersteunt u met AI-consultancy van inventaris tot governance.
Dit artikel biedt algemene informatie en is geen juridisch advies. Raadpleeg voor uw specifieke situatie een gekwalificeerd juridisch adviseur en de officiele bronnen van de EU.
Written By
Group COO & CISO
Fredrik is Group COO en CISO bij Opsio. Hij richt zich op operationele excellentie, governance en informatiebeveiliging en werkt nauw samen met de delivery- en leiderschapsteams om technologie, risico en bedrijfsresultaten in complexe IT-omgevingen op elkaar af te stemmen. Hij leidt Opsio's beveiligingspraktijk, waaronder SOC-services, penetratietests en compliance-frameworks.
Editorial standards: Dit artikel is geschreven door cloudpraktijkmensen en beoordeeld door ons engineeringteam. We actualiseren de inhoud per kwartaal voor technische nauwkeurigheid. Opsio bewaart redactionele onafhankelijkheid.