AI Act augustus 2026: de belangrijkste verplichtingen voor hoog-risico AI-systemen

AI Act augustus 2026: bent u klaar voor de belangrijkste deadline?

De EU AI Act (Verordening (EU) 2024/1689) is op 1 augustus 2024 in werking getreden en wordt gefaseerd ingevoerd. Op 2 augustus 2026 bereiken we de belangrijkste mijlpaal: vanaf die datum gelden de verplichtingen voor hoog-risico AI-systemen. Voor veel organisaties betekent dit dat de tijd om te handelen nu écht begint te dringen.

Tijdlijn van de AI Act

De AI Act kent een stapsgewijze invoering:

1 augustus 2024 — De verordening treedt in werking

2 februari 2025 — Verbod op AI-systemen met onaanvaardbaar risico (sociale scoring, manipulatieve AI, massale gezichtsherkenning) en verplichting tot AI-geletterdheid

2 augustus 2025 — Regels voor general-purpose AI-modellen (zoals grote taalmodellen), governance-structuur en sanctiekader

2 augustus 2026 — Alle verplichtingen voor hoog-risico AI-systemen uit Annex III, conformiteitsbeoordeling, CE-markering en registratie in de EU-database

2 augustus 2027 — Verplichtingen voor hoog-risico AI in gereguleerde producten (medische hulpmiddelen, machines)

2 augustus 2030 — Eisen voor hoog-risico AI-systemen bij overheidsorganisaties die vóór augustus 2026 op de markt zijn gebracht

Wat verandert er op 2 augustus 2026?

Dit is de datum waarop de meeste regels daadwerkelijk van toepassing worden. Concreet gaat het om:

Verplichtingen voor aanbieders van hoog-risico AI

Risicomanagementsysteem — Continue identificatie, beoordeling en beperking van risico's gedurende de hele levenscyclus van het AI-systeem

Data governance — Eisen aan de kwaliteit, representativiteit en bias-vrijheid van trainingsdata

Technische documentatie — Uitgebreide documentatie over ontwerp, ontwikkeling en werking, minimaal 10 jaar bewaren

Logging en traceerbaarheid — Automatische registratie van systeemactiviteiten

Transparantie — Duidelijke gebruiksinstructies voor deployers

Menselijk toezicht — Het AI-systeem moet ontworpen zijn voor effectief menselijk toezicht

Nauwkeurigheid, robuustheid en cybersecurity — Aantoonbare prestatie-eisen

Conformiteitsbeoordeling — Verplichte beoordeling vóór marktintroductie

CE-markering — Verplicht voor hoog-risico AI-systemen

EU-database registratie — Registratie in de Europese database voor hoog-risico AI

Verplichtingen voor gebruikers (deployers) van hoog-risico AI

Gebruik volgens de instructies van de aanbieder

Competent menselijk toezicht organiseren

Monitoring van de werking en rapportage van risico's

Logbestanden minimaal 6 maanden bewaren

Bij bepaald overheidsgebruik: een grondrechteneffectbeoordeling uitvoeren

AI regulatory sandboxes

Elke EU-lidstaat moet per 2 augustus 2026 minimaal één operationele AI-sandbox hebben — een gecontroleerde omgeving waarin organisaties innovatieve AI-systemen kunnen ontwikkelen en testen.

Welke AI-systemen zijn hoog-risico?

De AI Act classificeert AI-systemen in vier risicocategorieën:

Categorie	Regulering	Voorbeelden
Onaanvaardbaar risico	Verboden (sinds feb 2025)	Sociale scoring, manipulatieve AI, massale gezichtsherkenning
Hoog risico	Streng gereguleerd (vanaf aug 2026)	Biometrie, kritieke infrastructuur, onderwijs, werving & selectie, kredietbeoordeling, rechtshandhaving
Beperkt risico	Transparantieverplichtingen	Chatbots, deepfakes, emotieherkenning
Minimaal risico	Geen specifieke eisen	Spamfilters, AI in games

Hoog-risico AI-systemen omvatten onder andere toepassingen in:

Biometrie — Identificatie en categorisering van personen

Kritieke infrastructuur — Energie, water, transport

Onderwijs — Toelating, beoordeling van studenten

Werkgelegenheid — Werving, selectie, prestatiebeoordeling

Essentiële diensten — Kredietscoring, verzekeringen

Rechtshandhaving — Risicobeoordeling, bewijsanalyse

Migratie en grenscontrole — Visumaanvragen, asielverzoeken

Wat zijn de boetes?

De sancties zijn fors en vergelijkbaar met de AVG:

Overtreding	Maximum boete
Verboden AI-praktijken	Tot EUR 35 miljoen of 7% van de wereldwijde jaaromzet
Overige verplichtingen (hoog-risico)	Tot EUR 15 miljoen of 3% van de wereldwijde jaaromzet
Onjuiste informatie verstrekken	Tot EUR 7,5 miljoen of 1% van de wereldwijde jaaromzet

Belangrijk: voor MKB-bedrijven en startups geldt het *lagere* bedrag van de twee opties.

Conformiteitsbeoordeling: twee routes

Voordat een hoog-risico AI-systeem op de markt mag worden gebracht, is een conformiteitsbeoordeling verplicht. Er zijn twee routes:

1.Interne controle (Annex VI) — De aanbieder beoordeelt zelf of het systeem voldoet aan alle eisen. Dit geldt voor de meeste hoog-risico categorieën. Geen externe instantie nodig, maar wel volledige documentatie vereist.

2.Beoordeling door aangemelde instantie (Annex VII) — Een externe partij auditeert het kwaliteitsmanagementsysteem en de technische documentatie. Verplicht voor biometrische AI-systemen wanneer geharmoniseerde standaarden niet volledig worden toegepast.

Wat moet u nu doen? Een praktische checklist

Met nog minder dan 5 maanden tot de deadline is het zaak om nu te starten:

Stap 1: AI-inventarisatie

Breng alle AI-systemen in uw organisatie in kaart. Denk ook aan AI die is ingebed in bestaande software en diensten van derden.

Stap 2: Risicoclassificatie

Bepaal per AI-systeem in welke risicocategorie het valt. Gebruik de Annex III-criteria om vast te stellen of uw systemen als hoog-risico worden aangemerkt.

Stap 3: Gap-analyse

Vergelijk de huidige situatie met de vereisten uit de AI Act. Waar zitten de grootste hiaten in documentatie, risicobeheer en governance?

Stap 4: Governance inrichten

Stel verantwoordelijkheden vast. Wie is verantwoordelijk voor AI-compliance? Hoe wordt menselijk toezicht georganiseerd?

Stap 5: Documentatie en registratie

Start met het opbouwen van technische documentatie, risicobeoordelingen en logregistratie. Dit kost tijd en moet grondig gebeuren.

Stap 6: Conformiteitsbeoordeling voorbereiden

Bepaal welke route van toepassing is en start tijdig met de voorbereiding.

De link met ISO/IEC 42001

ISO/IEC 42001 is de internationale standaard voor AI-managementsystemen. Deze norm biedt een gestructureerd kader dat nauw aansluit bij de eisen van de AI Act. Door ISO/IEC 42001 te implementeren, legt u een solide basis voor AI Act-compliance:

Risicomanagement voor AI-systemen

Governance en verantwoordelijkheden

Documentatie en traceerbaarheid

Continue verbetering van AI-processen

Lees meer over ISO/IEC 42001 en wat deze norm betekent voor uw organisatie.

Hoe uComply helpt bij AI Act-compliance

uComply helpt organisaties om aantoonbare compliance te versnellen — ook voor de AI Act. Met het [ISO/IEC 42001](/normen/iso42001) Content Pack in uComply heeft u direct toegang tot:

Kant-en-klare controls en maatregelen gebaseerd op ISO/IEC 42001, afgestemd op de AI Act-vereisten

Risicoanalyse-templates specifiek voor AI-systemen

Beleidsdocumenten en procedures voor AI-governance

Dashboards die real-time inzicht geven in uw compliance-status

Integratie met bestaande normen — Combineert u de AI Act met ISO 27001, NIS2 of andere normen? uComply voorkomt dubbel werk door gedeelde controls automatisch te koppelen

Daarnaast ondersteunt het uComply-team organisaties met consultancy bij het opzetten en implementeren van AI-complianceprogramma's, inclusief gap-analyses en interne audits.

Conclusie

De AI Act is geen toekomstmuziek meer — de verordening is sinds 2024 van kracht en de belangrijkste verplichtingen gelden vanaf 2 augustus 2026. Organisaties die hoog-risico AI-systemen aanbieden of gebruiken, moeten nu actie ondernemen. De combinatie van ISO/IEC 42001 en een goed compliance-managementsysteem zoals uComply maakt het verschil tussen tijdig compliant zijn en achter de feiten aanlopen.

Wilt u weten waar uw organisatie staat? Plan een vrijblijvende demo en ontdek hoe uComply u helpt om aantoonbaar te voldoen aan de AI Act.