EU AI Act: implementatie op schema? Dit moeten bedrijven nú regelen

De EU AI Act is sinds 1 augustus 2024 in werking en wordt volledig van toepassing op 2 augustus 2026, met belangrijke uitzonderingen die al eerder gelden (zoals verbodsregels en AI-geletterdheid). Dit is hét moment voor een praktische compliance-roadmap: rolbepaling, inventarisatie, datagovernance, technische controles en documentatie.

Tijds­lijn in het kort

• In werking: 1 augustus 2024.
• Gefaseerde toepassing: verbodsregels en AI-literacy-eisen gelden eerder (2025), volledige toepassing 2 augustus 2026.
• Sandboxes: elk EU-land moet minstens één AI-regulatory sandbox opzetten uiterlijk 2 augustus 2026.

Wie ben jij onder de AI Act?

• Provider (aanbieder): ontwikkelt een AI-systeem en brengt dit op de markt.
• Deployer (gebruiker): zet een AI-systeem in binnen een proces/service.
• Downstream-actors: distributeurs, importeurs, integrators.
  Heldere rolbepaling voorkomt fouten in documentatie en verantwoordelijkheden.

Verboden en hoog-risico

• Verboden (unacceptable risk): o.a. manipulatieve technieken die gedrag significant verstoren, bepaalde biometrische categorisering—toepassingen sinds 2025 al niet toegestaan.
• Hoog-risico: toepassingen in o.a. kritieke infrastructuur, onderwijs, werk, rechtshandhaving. Hiervoor gelden strenge conformiteits-, data- en monitoring-eisen.

Jouw 8-stappen-roadmap (praktisch)

1. Inventariseer AI-toepassingen: maak een AI-register (systeem, doel, data, gebruiker, leverancier).
2. Classificeer risico: map elk systeem op verboden/hoog-risico/overig met rationale.
3. Data & privacy: breng datasets, herkomst, bias-risico’s, labels en DPIA’s in kaart.
4. Technische eisen: logging, menselijk toezicht, robuustheid, post-market monitoring.
5. Leveranciersbeheer: vraag om conformiteitsverklaringen, modelkaarten, eval-rapporten.
6. AI-geletterdheid: train personeel (juridisch, data, operatie) en leg trainingsbewijzen vast.
7. Documentatie: maak gebruikershandleidingen, risicobeoordelingen, incidentprocedures—audit-klaar.
8. Sandbox/Proefprojecten: benut (nationale) AI-sandboxes om innovatieve use-cases veilig te testen.

Praktische tips per rol

• IT/Engineering: implementeer telemetrie (inputs/outputs/feedback), drift-detectie en fallbacks.
• Legal/Compliance: borg role-based access, ethische review, contractclausules met leveranciers (data-locatie, aansprakelijkheid).
• Business/Operations: definieer use-case-KPI’s (nauwkeurigheid, tijdwinst), en exitcriteria bij falende modellen.

Quick wins (binnen 90 dagen)

• AI-register + risicokaarten per systeem.
• Prompt-/policy-handboek (do’s/don’ts, voorbeelden).
• Supplier intake-formulier met verplichte velden (model, dataset, evals, conformiteit).
• Trainingstraject (AI-literacy) met certificaat—dit helpt direct aan AI-literacy-verplichtingen te voldoen.

Veelgemaakte valkuilen

• Alleen technisch kijken: zonder juridische en operationele checks mis je de helft.
• Shadow AI: ongecontroleerd gebruik van externe tools; pak dit aan met centrale inkoop en beleid.
• Geen audit-trail: zonder logs geen bewijs van naleving.

Wat komt eraan?

• Nationale sandboxes (2025–2026) versnellen veilig experimenteren.
• Richtsnoeren en sector-specifieke codes worden verwacht; houd EU-portalen en nationale autoriteiten in de gaten.

Conclusie

De AI Act vraagt geen “big bang”, maar discipline en documentatie. Bedrijven die nu investeren in rolbepaling, AI-registers, leveranciersbeheer en training, staan in 2026 audit-proof én wendbaar voor innovatie.