NIS2 & DORA van kracht. EU AI Act volgt — boek een demo
Alle frameworks
Raamwerk

EU AI Act-compliance, volledig geautomatiseerd

De EU AI Act is 's werelds eerste uitgebreide AI-regelgeving - verplicht vanaf 2 augustus 2026. Matproof dekt risicoclassificatie, screening op verboden praktijken, gegevensbeheer, menselijk toezicht en conformiteitsbeoordeling.

Demo aanvragen

Wat is de EU AI Act?

De EU AI Act (Verordening 2024/1689) is het eerste uitgebreide wettelijke kader ter wereld dat kunstmatige intelligentie reguleert. Aangenomen door het Europees Parlement in maart 2024 en gepubliceerd in het Publicatieblad op 12 juli 2024, stelt het geharmoniseerde regels vast voor de ontwikkeling, het op de markt brengen en het gebruik van AI-systemen in de Europese Unie. De verordening hanteert een risicogebaseerde aanpak, met verplichtingen die varieren van absolute verboden tot transparantie- en documentatievereisten.

De AI Act classificeert AI-systemen in vier risiconiveaus: verboden (AI-praktijken die onaanvaardbare risico's vormen voor grondrechten), hoog-risico (AI gebruikt in kritieke gebieden zoals biometrie, onderwijs, werkgelegenheid, rechtshandhaving en essentiele diensten), beperkt-risico (AI waarvoor specifieke transparantieverplichtingen gelden, zoals chatbots en deepfakes) en minimaal-risico (alle overige AI zonder specifieke verplichtingen, behalve AI-geletterdheid).

Voor hoog-risico AI-systemen stelt de verordening uitgebreide vereisten vast op het gebied van risicomanagement (Art. 9), gegevensbeheer (Art. 10), technische documentatie (Art. 11), registratie (Art. 12), transparantie (Art. 13), menselijk toezicht (Art. 14) en nauwkeurigheid, robuustheid en cyberveiligheid (Art. 15). Aanbieders moeten ook kwaliteitsmanagementsystemen implementeren en conformiteitsbeoordelingen ondergaan voordat systemen op de markt worden gebracht.

De AI Act introduceert ook verplichtingen voor general-purpose AI (GPAI)-modellen onder Art. 53-55, waaronder technische documentatie, naleving van auteursrechten en aanvullende vereisten voor modellen die systemische risico's vormen. De verordening wordt gehandhaafd door een combinatie van het Europees AI-bureau, nationale bevoegde autoriteiten en markttoezichtorganen.

Wie moet voldoen aan de EU AI Act?

De EU AI Act is van toepassing op elke organisatie die AI-systemen ontwikkelt, inzet of gebruikt binnen of ten behoeve van de EU-markt. Het toepassingsgebied is bewust breed om de gehele AI-waardeketen te bestrijken:

AI-aanbieders (ontwikkelaars)

  • Bedrijven die AI-systemen ontwikkelen voor de EU-markt
  • GPAI-modelaanbieders (bijv. ontwikkelaars van basismodellen)
  • Open-source AI-ontwikkelaars (met uitzonderingen voor onderzoek)
  • Niet-EU-bedrijven waarvan de AI-output in de EU wordt gebruikt
  • Productfabrikanten die AI integreren in gereguleerde producten
  • Bedrijven die AI-modellen van derden aanpassen of fine-tunen

AI-gebruikers (inzetters)

  • Overheidsinstanties die hoog-risico AI-systemen gebruiken
  • Financiele instellingen die AI gebruiken voor kredietscoring
  • Werkgevers die AI gebruiken voor werving en HR-beslissingen
  • Zorgverleners die AI-diagnosesystemen gebruiken
  • Bedrijven die AI gebruiken voor biometrische identificatie
  • Elke organisatie die hoog-risico AI gebruikt binnen de EU

Alle organisaties die AI gebruiken in de EU moeten zorgen voor AI-geletterdheid onder hun personeel (Art. 4), ongeacht of hun AI-systemen als hoog-risico zijn geclassificeerd. Deze verplichting geldt vanaf 2 februari 2025. Voor hoog-risico AI-aanbieders en -gebruikers geldt het volledige pakket aan verplichtingen vanaf 2 augustus 2026.

Not sure if you're compliant?

Take the free EU AI Act readiness assessment — 10 questions, 3 minutes.

Check your readiness

Belangrijkste vereisten van de EU AI Act

1. AI-risicoclassificatie (Art. 5-7, Annex III)

De basis van AI Act-compliance is het correct classificeren van elk AI-systeem op risiconiveau. Art. 5 definieert verboden praktijken (van kracht februari 2025). Art. 6-7 en Annex III definiëren hoog-risicocategorieën die biometrie, kritieke infrastructuur, onderwijs, werkgelegenheid, essentiële diensten, rechtshandhaving, migratie en justitie bestrijken. Organisaties moeten een AI-systeeminventaris bijhouden, elk systeem classificeren en classificaties regelmatig herzien naarmate toepassingen zich ontwikkelen.

2. AI-risicomanagementsysteem (Art. 9)

Aanbieders van hoog-risico AI moeten een continu, iteratief risicomanagementsysteem opzetten dat de gehele levenscyclus bestrijkt. Dit omvat het identificeren en analyseren van bekende en voorzienbare risico's, het inschatten en evalueren van risico's van beoogd gebruik en misbruik, het nemen van risicobeperkende maatregelen en het testen om te waarborgen dat restrisico's aanvaardbaar zijn. Het risicomanagementsysteem moet worden gedocumenteerd, regelmatig bijgewerkt en gedurende de gehele levenscyclus van het AI-systeem worden getest.

3. Gegevensbeheer (Art. 10)

Trainings-, validatie- en testdatasets voor hoog-risico AI moeten voldoen aan strenge beheervereisten. Dit omvat het waarborgen van gegevenskwaliteit, relevantie, representativiteit en foutloosheid. Datasets moeten worden onderzocht op mogelijke vooroordelen, met name die welke beschermde kenmerken betreffen. Wanneer verwerking van persoonsgegevens noodzakelijk is voor bias-monitoring, moeten specifieke waarborgen worden geïmplementeerd. Gegevensbeheerpraktijken moeten worden gedocumenteerd en controleerbaar zijn.

4. Menselijk toezicht (Art. 14)

Hoog-risico AI-systemen moeten zo worden ontworpen dat effectief menselijk toezicht mogelijk is. Menselijke operators moeten de capaciteiten en beperkingen van het systeem volledig kunnen begrijpen, outputs correct kunnen interpreteren, kunnen beslissen wanneer het systeem niet te gebruiken of de output te negeren, en de werking kunnen onderbreken of stoppen. Voor real-time biometrische identificatie gelden aanvullende waarborgen, waaronder de eis dat ten minste twee personen identificatieresultaten bevestigen.

5. Technische documentatie en transparantie (Art. 11-13)

Aanbieders moeten gedetailleerde technische documentatie opstellen conform Annex IV voordat een hoog-risico AI-systeem op de markt wordt gebracht. Dit omvat systeemontwerp, ontwikkelmethodologie, monitoring en testen, nauwkeurigheidsmetrieken en bekende beperkingen. Gebruikers moeten duidelijke gebruiksinstructies ontvangen, waaronder de identiteit van de aanbieder, systeemkenmerken, prestatiemetrieken, bekende risico's en noodzakelijke menselijke toezichtmaatregelen.

6. Conformiteitsbeoordeling en CE-markering (Art. 19-20, 43)

Voordat een hoog-risico AI-systeem op de EU-markt wordt gebracht, moeten aanbieders een conformiteitsbeoordeling uitvoeren, een EU-conformiteitsverklaring (Annex V) opstellen en de CE-markering aanbrengen. De beoordeling kan voor de meeste hoog-risicosystemen zelf worden uitgevoerd via een kwaliteitsmanagementsysteem (Annex VII), maar biometrische AI-systemen die door rechtshandhaving worden gebruikt, vereisen beoordeling door een aangemelde instantie. Systemen moeten ook worden geregistreerd in de EU-database.

7. Verplichtingen voor general-purpose AI-modellen (Art. 53-55)

Aanbieders van GPAI-modellen moeten technische documentatie opstellen en bijhouden, informatie verstrekken aan downstream-aanbieders, beleid voor naleving van auteursrechten vaststellen en samenvattingen van trainingsgegevens publiceren. GPAI-modellen die systemisch risico vormen (op basis van cumulatieve rekenkracht of aanwijzing door de Commissie) hebben aanvullende verplichtingen: modelevaluatie op systemische risico's, adversarial testing, rapportage van ernstige incidenten aan het AI-bureau en adequate cyberbeveiligingsmaatregelen.

Sancties bij niet-naleving van de EU AI Act

De AI Act stelt een van de strengste sanctieregimes vast in de EU-technologieregulering, met boetes berekend als het hogere van een vast bedrag of een percentage van de wereldwijde jaaromzet:

Tot EUR 35 miljoen / 7%

voor overtredingen van verboden AI-praktijken (Art. 5) - de zwaarste sancties in de verordening

Tot EUR 15 miljoen / 3%

voor niet-naleving van hoog-risico AI-verplichtingen, GPAI-modelvereisten of verplichtingen van aangemelde instanties

Tot EUR 7,5 miljoen / 1%

voor het verstrekken van onjuiste, onvolledige of misleidende informatie aan autoriteiten of aangemelde instanties

MKB-proportionaliteit

MKB's en startups betalen het lagere van het vaste bedrag of het percentageplafond - zodat sancties proportioneel blijven

Naast financiele sancties kan niet-naleving leiden tot het van de markt halen van AI-systemen, gebruiksbeperkingen en reputatieschade. Nationale markttoezichtautoriteiten beschikken over ruime onderzoeks- en corrigerende bevoegdheden, en het Europees AI-bureau houdt rechtstreeks toezicht op GPAI-modelaanbieders.

Hoe u zich voorbereidt op EU AI Act-compliance

Met hoog-risico AI-verplichtingen die vanaf 2 augustus 2026 gelden, moeten organisaties nu beginnen met de voorbereiding. Hier is een gestructureerde aanpak om compliance te bereiken:

  1. 1

    AI-systeeminventaris en -classificatie

    Maak een uitgebreide inventaris van alle AI-systemen die uw organisatie gebruikt of ontwikkelt. Classificeer elk systeem volgens de risiconiveaus van Art. 5-7 en Annex III. Identificeer verboden praktijken, hoog-risicotoepassingen en transparantieverplichtingen. Deze inventaris vormt de basis voor alle verdere compliance-activiteiten.

  2. 2

    Gap-analyse op basis van vereisten

    Beoordeel voor elk hoog-risico AI-systeem de huidige praktijken aan de hand van het volledige pakket Art. 9-15-vereisten. Identificeer hiaten in risicomanagement, gegevensbeheer, technische documentatie, logging, transparantie, menselijk toezicht en nauwkeurigheid/robuustheid. Prioriteer herstelmaatregelen op basis van risico en implementatiecomplexiteit.

  3. 3

    AI-risicomanagementsysteem

    Stel een continu, iteratief risicomanagementproces op voor elk hoog-risico AI-systeem. Documenteer risico-identificatie, -analyse, -evaluatie en -behandelingsmaatregelen. Implementeer testprotocollen om te valideren dat restrisico's aanvaardbaar zijn. Zorg dat het systeem de gehele AI-levenscyclus bestrijkt, van ontwerp tot inzet en post-marktmonitoring.

  4. 4

    Gegevensbeheer en biastesting

    Implementeer gegevensbeheerpraktijken voor trainings-, validatie- en testdatasets. Stel kwaliteitscriteria, representativiteitscontroles en processen voor bias-onderzoek op. Documenteer gegevensherkomst, voorverwerkingsstappen en eventuele beperkingen. Richt continue bias-monitoring in voor ingezette systemen.

  5. 5

    Voorbereiding conformiteitsbeoordeling

    Stel technische documentatie op conform Annex IV, implementeer een kwaliteitsmanagementsysteem conform Art. 17 en stel de EU-conformiteitsverklaring op conform Annex V. Schakel voor biometrische identificatiesystemen die door rechtshandhaving worden gebruikt een aangemelde instantie in voor beoordeling door derden. Registreer systemen in de EU-database conform Art. 49.

  6. 6

    AI-geletterdheid en doorlopende compliance

    Implementeer een AI-geletterdheidsprogramma voor al het personeel conform Art. 4. Stel post-marktmonitoring (Art. 72), rapportage van ernstige incidenten (Art. 73) en doorlopende processen voor menselijk toezicht in. Integreer AI Act-compliance in het bestaande governance-, risico- en compliancekader van uw organisatie.

Veelgestelde vragen over de EU AI Act

Wat is de EU AI Act?

De EU AI Act (Verordening 2024/1689) is het eerste uitgebreide wettelijke kader ter wereld voor kunstmatige intelligentie. Het stelt een risicogebaseerde aanpak vast voor het reguleren van AI-systemen, met verplichtingen varierend van absolute verboden tot transparantievereisten. Hoog-risico AI-systemen hebben de strengste vereisten, waaronder risicomanagement, gegevensbeheer en conformiteitsbeoordelingen. Volledige toepassing begint op 2 augustus 2026.

Wie moet voldoen aan de EU AI Act?

De AI Act is van toepassing op aanbieders (ontwikkelaars) en gebruikers (inzetters) van AI-systemen die op de EU-markt worden gebracht of waarvan de output in de EU wordt gebruikt. Dit omvat EU-bedrijven, niet-EU-bedrijven die de EU-markt bedienen en aanbieders van general-purpose AI-modellen. Alle organisaties die AI gebruiken in de EU moeten zorgen voor AI-geletterdheid onder hun personeel.

Wat zijn de sancties bij niet-naleving?

De sancties zijn streng: tot EUR 35 miljoen of 7% van de wereldwijde jaaromzet voor verboden AI-praktijken, tot EUR 15 miljoen of 3% voor hoog-risico AI-verplichtingen en tot EUR 7,5 miljoen of 1% voor het verstrekken van onjuiste informatie. MKB's en startups kennen proportioneel lagere plafonds.

Wat kwalificeert als een hoog-risico AI-systeem?

Hoog-risico AI-systemen zijn gedefinieerd in Annex III en omvatten AI gebruikt voor: biometrische identificatie, beheer van kritieke infrastructuur, onderwijs en beroepsopleiding, werkgelegenheid en personeelsbeheer, toegang tot essentiele diensten, rechtshandhaving, migratie en grenscontrole, en rechtsbedeling.

Wat is het verschil tussen de EU AI Act en ISO 42001?

De EU AI Act is een juridisch bindende verordening met handhaving en sancties, terwijl ISO 42001 een vrijwillige internationale standaard is voor AI-managementsystemen. ISO 42001 kan helpen bij het aantonen van compliance, maar garandeert dit niet. De AI Act heeft specifieke vereisten zoals conformiteitsbeoordelingen, CE-markering en incidentrapportage die verder gaan dan ISO 42001.

Wanneer wordt de EU AI Act afdwingbaar?

De AI Act is in werking getreden op 1 augustus 2024 met gefaseerde implementatie: verboden AI-praktijken vanaf 2 februari 2025; GPAI-modelverplichtingen vanaf 2 augustus 2025; en volledige hoog-risico AI-vereisten vanaf 2 augustus 2026.

EU AI Act Readiness Assessment

Check your AI compliance before August 2026

Take the free assessment

Belangrijkste functies

AI-risicoclassificatie (Art. 6)

Geautomatiseerde AI-systeeminventaris met risicoclassificatie op basis van Annex III-categorieen. Continue monitoring voor verboden, hoog-risico, beperkt-risico en minimaal-risicosystemen.

Screening op verboden praktijken (Art. 5)

Screen alle AI-toepassingen op Art. 5-verboden - subliminale manipulatie, social scoring, emotieherkenning en biometrische categorisering. Geautomatiseerde waarschuwingen en herstelmaatregelen.

Risicomanagementsysteem (Art. 9)

Bouw en onderhoud continue AI-risicomanagementsystemen. Risico-identificatie, -analyse, -evaluatie en -behandeling - met volledige audit trail en bewijsverzameling.

Menselijk toezicht (Art. 14)

Documenteer menselijke toezichtmaatregelen voor hoog-risico AI. Volg operatorrollen, interventieprocedures, override-mogelijkheden en preventie van automatiseringsbias.

Technische documentatie (Art. 11)

Genereer en onderhoud Annex IV technische documentatie. Systeemontwerp, ontwikkelmethodologie, testprocedures en prestatiemetrieken - alles op een plek.

Conformiteitsbeoordeling (Art. 19)

Bereid u voor op conformiteitsbeoordelingen met geautomatiseerde gap-analyse. EU-conformiteitsverklaring en CE-markeringsdocumentatie.

Waarom Matproof

Dekt alle EU AI Act-verplichtingen in een enkel platform
AI-gestuurde risicoclassificatie op basis van Annex III-categorieen
Vooraf opgesteld beleid voor alle 8 belangrijke AI-governancegebieden
100% EU-gegevensresidentie (gehost in Duitsland)

EU AI Act Readiness Assessment

Check your AI compliance before August 2026

Take the free assessment

Klantverhalen

Teams die niet meer opzien tegen het auditseizoen.

85%minder voorbereidingstijd

Matproof heeft ons maanden aan auditvoorbereiding bespaard. We koppelden onze tools op maandag en hadden vrijdag al DORA-gemapt bewijsmateriaal. Onze auditor was onder de indruk van de diepgang van de audit trail.

Ho

Head of Compliance

Series B Fintech, Germany

* Company names anonymized for privacy. All quotes from real compliance professionals using Matproof.

Klaar om te beginnen?

Klaar om te beginnen?

Ontdek hoe Matproof compliance automatiseert voor uw organisatie.

Demo aanvragen