Blog

De EU AI Act in de praktijk: een checklist voor jouw organisatie

De EU AI Act is geen toekomstmuziek meer: sinds februari 2025 gelden de eerste verboden en in augustus 2026 wordt het grootste deel van de AI-verordening van kracht. Toch weten veel organisaties nog niet welke verplichtingen op hen afkomen of waar ze moeten beginnen. Met deze AI Act checklist maken we de EU AI Act praktisch: zeven concrete stappen die je deze maand al kunt zetten.

Stap 1: breng je AI-toepassingen in kaart

Je kunt niets reguleren wat je niet kent. De eerste stap onder de EU AI Act is een volledig AI-register: welke systemen gebruikt je organisatie, ingekocht én zelf gebouwd? Denk niet alleen aan het voor de hand liggende chatbot- of voorspelmodel, maar ook aan de AI die verstopt zit in HR-software (cv-screening), fraudedetectie, klantsegmentatie of een slimme functie in je CRM.

In de praktijk zien we dat organisaties hun AI-gebruik structureel met 30 tot 50 procent onderschatten, vooral door 'shadow AI': tools die teams zelf aanschaffen of gratis gebruiken. Inventariseer per systeem het doel, de leverancier, de gebruikte data en wie ervan afhankelijk is. Dit register is het fundament onder al je volgende stappen.

Stap 2: bepaal de risicocategorie per systeem

De AI-verordening werkt met een risicogebaseerde piramide. Onaanvaardbaar risico (zoals social scoring of manipulatieve systemen) is sinds februari 2025 verboden. Hoog risico betreft AI in onder meer werving, onderwijs, kredietverlening, kritieke infrastructuur en publieke dienstverlening: hier gelden de zwaarste eisen. Beperkt risico, zoals chatbots, vraagt vooral om transparantie. Minimaal risico, zoals een spamfilter, kent nauwelijks verplichtingen.

Loop je register langs deze vier categorieën en wees streng bij twijfel. Voor de publieke sector is dit extra relevant: veel overheidstoepassingen vallen sneller in de hoog-risicocategorie dan organisaties verwachten. Een verkeerde inschatting hier werkt door in álle vervolgstappen.

Stap 3: regel AI-geletterdheid in je team

Sinds februari 2025 verplicht artikel 4 van de EU AI Act organisaties tot voldoende 'AI-geletterdheid' bij iedereen die met AI-systemen werkt. Dit is geen vrijblijvende ambitie maar een directe verplichting, ongeacht de risicocategorie van je systemen.

Concreet betekent dit: zorg dat medewerkers begrijpen wat een systeem kan, waar het faalt en wanneer menselijk toezicht nodig is. Een korte, rolgerichte training voor verschillende functiegroepen, vastgelegd in je opleidingsadministratie, is een haalbare eerste invulling. Begin bij de teams die dagelijks beslissingen nemen op basis van AI-output.

Stap 4: richt je governance en menselijk toezicht in

AI-governance is de ruggengraat van compliance. Wijs een verantwoordelijke aan, leg vast wie besluit over nieuwe AI-inkoop en koppel dit aan je bestaande risk- en privacyprocessen. Wie al werkt met BIO, ENSIA of NIS2 herkent het patroon: de AI Act bouwt voort op governance die je waarschijnlijk deels al hebt.

Voor hoog-risicosystemen is betekenisvol menselijk toezicht verplicht. Dat betekent dat een mens de output kan begrijpen, negeren en corrigeren, en dat er een duidelijke escalatieroute is. Leg per systeem vast wie deze rol heeft en hoe je interventie in de praktijk werkt: zonder concrete inrichting blijft 'human oversight' een papieren belofte.

Stap 5: zorg voor transparantie en documentatie

Transparantie is een rode draad door de hele verordening. Gebruikers moeten weten wanneer ze met een AI-systeem of AI-gegenereerde content te maken hebben: een chatbot moet zich kenbaar maken en synthetische content (deepfakes, AI-tekst) moet gelabeld worden.

Voor hoog-risicosystemen komt daar technische documentatie bij: logging, een beschrijving van de trainingsdata, prestaties, bekende beperkingen en een conformiteitsbeoordeling. Onze tip: bouw deze documentatie nú op in plaats van achteraf te reconstrueren. Vraag bij ingekochte AI direct de documentatie en CE-conformiteit op bij je leverancier, zodat je niet bij een audit afhankelijk bent van hun tempo.

Stap 6: maak een tijdlijn richting augustus 2026

De EU AI Act kent een gefaseerde invoering. Februari 2025: verboden toepassingen en de plicht tot AI-geletterdheid. Augustus 2025: verplichtingen voor aanbieders van general-purpose AI-modellen. Augustus 2026: het leeuwendeel van de regels, inclusief de eisen voor hoog-risicosystemen. Augustus 2027: de laatste verplichtingen voor AI in gereguleerde producten.

Zet deze data af tegen je register en bepaal per systeem wanneer je klaar moet zijn. Augustus 2026 lijkt ver weg, maar voor hoog-risicotoepassingen is anderhalf jaar krap als je documentatie, toezicht en leverancierscontracten allemaal nog moet inrichten. Plan terug vanaf de deadline, niet vooruit vanaf vandaag.

Aan de slag: scan, vouchers en sparren

De EU AI Act is omvangrijk, maar met deze checklist is hij behapbaar: inventariseren, classificeren, geletterdheid regelen, governance inrichten, transparant documenteren en een tijdlijn maken. De grootste fout is wachten tot augustus 2026 dichtbij komt.

Wil je weten waar je organisatie nu staat? Met onze volwassenheidsscan brengen we in een dagdeel je AI-register en risicoprofiel in kaart en leveren we een concreet stappenplan. Voor mkb-organisaties zijn er bovendien regelingen en vouchers die een deel van de kosten dekken. Neem gerust contact met ons op om vrijblijvend te sparren over jouw situatie: we denken graag mee, zonder verplichtingen.