EU AI Act 2026: Complete Naleving Gids voor AI-ontwikkelaars

Als je iets bouwt met AI in Europa, heb je waarschijnlijk al gehoord over de EU AI Act. Het is al jaren in het nieuws en werd steeds uitgesteld. Maar vanaf 2026 gebeurt het echt. Sommige onderdelen zijn al afdwingbaar en er komen meer bepalingen aan.

Ik heb geprobeerd te begrijpen wat dit praktisch betekent. Niet de juridische vaktaalversie, maar wat er echt toe doet als je datasystemen bouwt of werkt met AI tools.

Quick background

De EU AI Act is het eerste uitgebreide wettelijke kader voor AI wereldwijd. Het hanteert een risicogebaseerde aanpak. Sommige AI-toepassingen zijn volledig verboden. Andere vereisen strikte naleving. De meeste use cases hebben lichtere vereisten of helemaal geen.

De wet is in augustus 2024 in werking getreden, maar de implementatie gebeurt gefaseerd. We zitten momenteel ergens middenin die uitrol.

Wat is al van kracht

Vanaf januari 2026 zijn deze bepalingen live en afdwingbaar:

Verboden AI praktijken (sinds februari 2025)

Bepaalde AI-systemen zijn gewoon niet meer toegestaan in de EU. Hieronder vallen:

• Social scoring door overheidsinstanties
• Untargeted scraping van gezichtsafbeeldingen van het internet of CCTV
• Emotieherkenning op werkplekken en scholen (met enkele uitzonderingen)
• AI die mensen manipuleert door subliminale technieken
• Het exploiteren van kwetsbaarheden van specifieke groepen

Als je iets bouwt in deze categorieën, moet je ermee stoppen. Punt uit.

General-purpose AI regels (sinds augustus 2025)

Deze raakt de grote modelproviders. Als je iets gebruikt zoals GPT of Claude in je producten, zit je waarschijnlijk goed als deployer. Maar de providers zelf moeten nu:

• Technische documentatie bijhouden
• Voldoen aan het EU-auteursrecht
• Samenvattingen publiceren van gebruikte trainingsdata

Het European AI Office behandelt de handhaving voor GPAI-modellen. Er zijn extra vereisten als een model wordt geclassificeerd als "systemic risk", wat in feite de echt krachtige foundation modellen betekent.

AI literacy vereisten (sinds februari 2025)

Dit is makkelijk te missen, maar het is al van kracht. Als je AI-systemen implementeert of levert, moet je ervoor zorgen dat je personeel voldoende kennis heeft van AI.

Wat telt als voldoende? De regelgeving specificeert dit niet exact. Maar het hebben van trainingsprogramma's en het documenteren dat je team de AI tools waarmee ze werken begrijpt, is waarschijnlijk de basis.

Governance structuur

Lidstaten hadden uiterlijk augustus 2025 hun nationale bevoegde autoriteiten moeten aanwijzen. Dit zijn de instanties die de handhaving op nationaal niveau zullen uitvoeren. Het boetekader is ook van kracht. Boetes kunnen aanzienlijk zijn, afhankelijk van de overtreding.

Wat staat er nog te gebeuren

Dit is waar dingen intenser worden.

Augustus 2026: de grote stap

Dit is het moment waarop de meeste resterende bepalingen van de AI Act afdwingbaar worden. Specifiek:

High-risk AI systemen op gebieden zoals werving, onderwijs, wetshandhaving en toegang tot essentiële diensten zullen volledig moeten voldoen. Dit betekent:

• Risk management systems
• Data governance requirements
• Technical documentation
• Human oversight measures
• Accuracy and robustness requirements
• Logging and traceability

Als je AI bouwt voor aanwervingsbeslissingen, onderwijsbeoordelingen of kredietbeoordeling, is dit jouw deadline.

Transparantieverplichtingen worden wettelijk bindend. AI-gegenereerde inhoud moet duidelijk worden gelabeld. Dit omvat deepfakes en synthetische inhoud die echt lijkt. Als je systeem afbeeldingen of video's of audio genereert die voor echt kunnen worden aangezien, heb je openbaarmakingsmechanismen nodig.

Regulatory sandboxes moeten worden opgericht. Elke lidstaat moet tegen deze datum ten minste één AI regulatory sandbox op nationaal niveau hebben. Deze stellen bedrijven in staat om innovatieve AI te testen in een gecontroleerde omgeving met toezichtrichtlijnen.

Augustus 2027

High-risk AI die als veiligheidscomponent is geïntegreerd in bestaande gereguleerde producten, krijgt een extra jaar. Denk aan medische hulpmiddelen, machines, luchtvaartsystemen. Deze hebben al hun eigen regelgevingskaders, dus de AI-regels komen daar bovenop.

Wat dit praktisch betekent

De meeste data engineers en developers bouwen geen verboden AI-systemen. Je bent waarschijnlijk veilig voor de verboden van februari 2025.

De GPAI-regels beïnvloeden voornamelijk modelproviders, niet mensen die de modellen gebruiken. Als je OpenAI of Anthropic in je applicaties integreert, ben je een deployer, geen provider. Je belangrijkste verplichtingen gaan over transparantie en correct gebruik.

De deadline van augustus 2026 is degene die jouw werk daadwerkelijk kan beïnvloeden. Vraag jezelf af:

• Maakt mijn AI-systeem beslissingen over mensen op gevoelige gebieden?
• Wordt het gebruikt in werving, onderwijs, kredietverlening, gezondheidszorg, wetshandhaving?
• Genereert het inhoud die voor echt kan worden aangezien?

Als het antwoord op een van deze vragen 'ja' is, moet je je nu voorbereiden. Naleving vereist documentatie, testen en governance structuren die tijd kosten om op te bouwen.

Risicocategorieën vereenvoudigd

De AI Act gebruikt vier risicocategorieën:

Unacceptable risk: direct verboden. De praktijken die ik eerder noemde.

High-risk: toegestaan, maar zwaar gereguleerd. De lijst in Annex III omvat zaken als biometrische identificatie, beheer van kritieke infrastructuur, onderwijs- en trainingssystemen, arbeids- en personeelsbeheer, toegang tot essentiële diensten, wetshandhaving, migratie- en grenscontrole, en de rechtspraak.

Limited risk: voornamelijk transparantievereisten. Chatbots moeten aangeven dat ze AI zijn. Deepfakes hebben labels nodig.

Minimal risk: geen specifieke vereisten. De meeste AI-toepassingen vallen hieronder.

Jouw taak is om uit te zoeken in welke categorie jouw systeem valt. Als het high-risk is, heb je werk te doen.

Documentatie waarmee je nu zou moeten beginnen

Zelfs als je niet zeker weet of je systeem high-risk is, helpt het om vroegtijdig te beginnen met documentatie. Overweeg het bijhouden van:

• Training data sources en hoe data werd geselecteerd
• Model architecture en hoe het systeem werkt
• Performance metrics en hoe je de nauwkeurigheid hebt getest
• Known limitations en failure modes
• Human oversight mechanisms
• Hoe je updates en monitoring afhandelt

Dit spul is nuttig, zelfs zonder regulatoire druk. Goede engineering practice overlapt veel met compliance vereisten.

Waar je meer informatie kunt vinden

De officiële bronnen die de moeite waard zijn om te bekijken:

• EU Digital Strategy website heeft de volledige regelgevingstekst
• AI Act Service Desk geeft een tijdlijn en richtlijnen
• Jouw nationale bevoegde autoriteit (zodra aangewezen) voor lokale interpretatie

De wet is complex en mijn samenvatting hier is geen juridisch advies. Als je iets bouwt dat mogelijk high-risk is, schakel dan passend juridisch advies in.

Final thoughts

De AI Act zal niet alles van de ene op de andere dag veranderen. Het meeste wat mensen bouwen met AI valt niet onder de high-risk of verboden categorieën.

Maar als je werkt aan iets dat te maken heeft met werving, onderwijs, gezondheidszorg of wetshandhaving, dan is dit echte regelgeving met echte impact. Door nu te beginnen met compliance werk, heb je voldoende voorbereidingstijd voor de deadline van augustus 2026.

De EU is de eerste, maar waarschijnlijk niet de laatste. Andere rechtsgebieden kijken mee. Nu bouwen met compliance in gedachten kan je later kopzorgen besparen wanneer vergelijkbare regelgeving elders opduikt.

Ik ben nog steeds aan het uitzoeken hoe dit mijn eigen werk met data pipelines en AI integrations beïnvloedt. Ik zal meer delen zodra ik leer. Als je inzichten of vragen hebt, neem dan contact met me op.