Laatst gecheckt op 9 juli 2026. Dit gaat over regelgeving die tot op het laatst is bijgesteld, dus behandel de exacte data als een momentopname en check bij twijfel de officiële bron.

Er komt een datum aan die met veel stelligheid door mijn tijdlijn schuift: 2 augustus 2026. Vanaf dan zou de EU Ai Act “van kracht” zijn, en afhankelijk van wie je leest is dat het einde van Ai in Europa of een storm in een glas water. Geen van beide klopt. Ik heb de wet en de laatste wijzigingen doorgespit, want ik draai zelf de hele dag Ai in mijn werk en wil weten waar ik aan toe ben. Hier is de nuchtere versie, geschreven voor de ondernemer die Ai gebrúikt, niet bouwt.

Waar staat 2 augustus 2026 nou echt voor#

De Ai Act trad in werking op 1 augustus 2024 en wordt gefaseerd toepasbaar. Een paar stappen zijn al genomen: sinds 2 februari 2025 gelden de verboden praktijken (denk aan sociale scoring en bepaalde vormen van manipulatie) en de plicht tot Ai-geletterdheid. Sinds 2 augustus 2025 gelden verplichtingen voor de makers van de grote, algemene Ai-modellen.

2 augustus 2026 is het moment waarop de wet in de breedte toepasbaar wordt. Concreet worden dan vooral twee dingen relevant voor een gewoon bedrijf:

  1. Transparantieregels. Als je klanten met een Ai-chatbot praat, moeten ze kunnen weten dat ze met een machine praten en niet met een mens. Publiceer je content die door Ai is gemaakt of bewerkt (denk aan gegenereerde beelden of teksten), dan geldt een markeringsplicht. Klein detail: de technische watermerk-verplichting voor de aanbieders van Ai-systemen is apart uitgesteld naar 2 december 2026, maar de rest van de transparantie geldt vanaf augustus.
  2. Handhaving. Vanaf deze datum staat het boete- en toezichtkader. De maximale boetes zijn stevig: tot 35 miljoen euro of 7% van de wereldwijde jaaromzet voor de verboden praktijken, tot 15 miljoen of 3% voor de meeste andere overtredingen.

Dat klinkt zwaar, en voor een groot techbedrijf is het dat ook. Maar lees even door, want voor het MKB zit er een belangrijke knik in.

De nuance die vaak wegvalt: hoog-risico is juist uitgesteld#

Veel nieuwsberichten schrijven dat de verplichtingen voor hoog-risico Ai-systemen ook per 2 augustus 2026 ingaan. Dat is inmiddels achterhaald. Via een vereenvoudigingspakket (in de wandelgangen de “Digital Omnibus”) hebben de EU-instellingen de zwaarste verplichtingen juist opgeschoven. Op 29 juni 2026 gaf de Raad definitief groen licht.

Wat betekent dat concreet? De verplichtingen voor zelfstandige hoog-risico systemen (de categorie Annex III: denk aan Ai voor werving en selectie, kredietbeoordeling, bepaalde onderwijs- en medische toepassingen) schuiven op naar 2 december 2027. Voor Ai die is ingebouwd in gereguleerde producten is het zelfs 2 augustus 2028. Je krijgt dus meer lucht, niet minder, voor precies de categorie die het meeste werk kost om aan te voldoen.

Dit is typisch een stukje dat je alleen weet als je verder leest dan de kop. Ik hou er niet van om op basis van een deadline in paniek te schieten, en dit is er een voorbeeld van: de spannendste deadline is opgeschoven.

Wat er wél telt als je Ai gebruikt in plaats van bouwt#

De meeste ondernemers die ik spreek zitten niet in de hoog-risico categorie. Ze gebruiken Ai voor mail, offertes, klantcontact, teksten, een chatbot. Voor die groep komt het neer op drie dingen die je nu al kunt regelen.

1. Ai-geletterdheid. Dit geldt al sinds februari 2025 en het is de meest onderschatte verplichting. Het betekent niet dat je team een cursus machine learning moet volgen. Het betekent dat de mensen die met Ai werken redelijkerwijs snappen wat het wel en niet kan, waar het de fout in gaat en wanneer je een mens moet inschakelen. Een halve middag uitleg over hallucinaties, over “controleer altijd” en over welke data je er wel en niet in gooit, dekt voor de meeste bedrijven de lading. Het is bovendien gewoon goed voor je werk: mensen die snappen hoe Ai faalt, maken er betere keuzes mee.

2. Transparantie richting je klant. Wees eerlijk waar Ai in het spel is. Zegt je chatbot ergens “je spreekt met een virtuele assistent”? Markeer je gegenereerde beelden? Dat is niet alleen straks verplicht, het is ook gewoon fatsoenlijk en het voorkomt dat een klant zich misleid voelt. Dit is meestal een kwestie van een zinnetje en een label, geen technisch project.

3. Weten waar je Ai zit en met welke data. Dit is de kern. Je kunt pas beoordelen in welke risicocategorie je gebruik valt als je überhaupt weet wáár je overal Ai hebt zitten. Bij veel bedrijven sluipt Ai binnen via tools die je al hebt (je e-mailprogramma, je office-pakket, je boekhouding), zonder dat iemand een bewust besluit nam. Een halve dag inventariseren, “waar gebruiken we Ai en met welke gegevens”, bespaart je later een hoop gedoe.

Het MKB krijgt bewust een lichtere last#

Een geruststelling die eerlijk is en niet vaak genoeg wordt genoemd: de wet is expliciet zo geschreven dat kleine bedrijven niet dezelfde last dragen als de grote.

Het duidelijkste voorbeeld zit in de boetes. Voor grote bedrijven geldt het hóógste van een vast bedrag of een percentage van de omzet. Voor het MKB is die formule omgekeerd: dan geldt het láágste van de twee. Voor een klein bedrijf met een bescheiden omzet betekent dat in de praktijk een fractie van die miljoenenbedragen uit de krantenkoppen. Daarnaast krijgen micro-ondernemingen vereenvoudigde documentatie-eisen, zijn de conformiteitskosten proportioneel bedoeld, en is er voorrang voor kleine spelers in de test-omgevingen (regulatory sandboxes) waar je veilig mag experimenteren. De wetgever heeft dus geprobeerd om de drempel voor een bedrijf van vijf man niet gelijk te trekken met die voor een multinational.

Dat neemt de zorgvuldigheid niet weg, maar het haalt wel de scherpe randjes van de angst.

Wat ik zelf doe, en jou zou aanraden#

Mijn eigen aanpak sluit hier redelijk naadloos op aan, en niet omdat ik de wet volgde maar omdat het gewoon verstandig werken is. Ik hou bij wat waar draait en met welke data, ik houd gevoelige gegevens zoveel mogelijk lokaal en uit externe modellen, en ik werk met een kennisbank-discipline waarin vastligt wat mag en niet mag. Dat “weten waar je Ai zit en met welke data” is precies wat de wet nu ook van je vraagt, en het is toevallig ook wat je nodig hebt om er überhaupt grip op te houden.

Als je één ding doet naar aanleiding van dit stuk, doe dan dat inventarisrondje. Zet op een A4: welke Ai-tools gebruiken we, waarvoor, en welke gegevens gaan erin. Negen van de tien keer valt het reuze mee en heb je meteen je Ai-geletterdheid en je transparantie half op orde. En je weet dan zeker of je in die uitgestelde hoog-risico categorie zit of niet.

Wil je hulp bij dat inventarisrondje of bij de vraag welk Ai-gebruik in jouw bedrijf gevoelig ligt qua data, kijk dan op de consulting-pagina. En als je sowieso wilt vastleggen waar Ai in jouw bedrijf zelf mag beslissen en waar echt niet, dan is het Ai-stoplicht een gratis werkblad dat daar goed bij past. Paniek is nergens voor nodig. Op tijd weten wat er speelt, dat wel.


Bronnen: Europese Commissie, “Ai Act” (digital-strategy.ec.europa.eu); Raad van de EU, persbericht “Council gives final green light to simplify and streamline rules” (29 juni 2026); analyses van de Digital Omnibus over de uitgestelde hoog-risico deadlines (o.a. Gibson Dunn, Loyens & Loeff). Boete- en MKB-bepalingen: artificialintelligenceact.eu, “Small Businesses’ Guide to the Ai Act”. De praktijkaanpak (inventariseren, lokaal draaien, kennisbank) komt uit mijn eigen werk. Dit is geen juridisch advies.