De AI Act is geen kwestie voor je legal team. Het is een kwestie voor je directiebord.
De Europese AI Act is sinds 1 augustus 2024 in werking, met een gefaseerde uitrol over drie jaar. We zitten nu midden in de implementatieperiode, en de afspraken die deze maanden gemaakt worden, bepalen hoe AI-gebruik in jouw organisatie eruitziet vanaf 2026 en 2027.
Wie de AI Act nog steeds ziet als een legal-vraagstuk, mist het punt. De wet vraagt directies om expliciete keuzes over hoe AI in hun organisatie wordt ingezet, getoetst en gerapporteerd. Dat is een governance-vraagstuk, geen compliance-checklist.
Deadlines die nu spelen
Sinds februari 2025 zijn de bepalingen rond verboden AI-praktijken van kracht. Systemen die manipulatief gedrag uitlokken, social scoring uitvoeren of biometrische data van werknemers in real-time analyseren zijn niet toegestaan. Voor de meeste organisaties zal dit weinig directe impact hebben, maar de definities zijn breder dan ze lijken. Wie HR-software gebruikt met emotie-herkenning of sentiment-analyse op werknemerscommunicatie, zit dichter bij de grens dan verwacht.
Sinds augustus 2025 gelden de regels voor general-purpose AI-modellen. Aanbieders van foundationmodellen, ook open source, moeten technische documentatie, training data summaries en intellectual property-statements leveren. Voor afnemers betekent dat: je vendor moet die documentatie kunnen tonen. Wie dat niet kan, levert geen compliant AI.
Vanaf augustus 2026 worden de regels voor hoog-risico AI-systemen volledig van toepassing. Dit zijn de systemen die directies vandaag het meest raken: AI in werving en selectie, kredietbeoordeling, fraudedetectie, prijsstelling, en operationele beslissingen die mensen rechtstreeks treffen. Hier komt de zware compliance-laag: risk management systems, data governance, transparantie naar gebruikers, menselijk toezicht, post-market monitoring.
Wat dit nu vraagt van een directie
- Eerste stap is een AI-inventaris. Niet door IT alleen, wel met HR, finance, marketing en operations samen aan tafel. Welke systemen gebruiken AI, voor welke beslissingen, en op welke data. Negen op tien organisaties die we begeleiden, hebben deze inventaris niet, of slechts gedeeltelijk.
- Tweede stap is classificatie. Welke van die systemen vallen onder hoog-risico volgens annex III van de wet. Voor de meeste mid-market organisaties zijn dat er meestal drie tot zes: een HR-tool, een kredietbeoordelingsmodule, soms een dynamische prijsstelling, een fraudedetectie, een chatbot met klantbeslissingen, of een operationeel optimalisatiemodel.
- Derde stap is een governance-keuze. Wie in de organisatie is verantwoordelijk voor AI-compliance. Bij de meeste van onze klanten landt dit bij de COO of CFO, niet bij CIO of legal. Niet omdat IT geen rol heeft, wel omdat de beslissingen over wat AI mag doen, business-beslissingen zijn.
Risico's die we vaak onderschat zien
AI-tools die je al gebruikt zonder dat je weet dat ze AI gebruiken. Veel SaaS-leveranciers hebben AI-functionaliteit toegevoegd in update releases. Wie de release notes niet leest, gebruikt nu AI met onbekende risicoclassificatie.
Vendor lock-in op niet-compliant tools. Wie nu een hoog-risico AI-tool implementeert zonder compliance-laag, zit over twaalf maanden vast aan een herziening of een vervanging.
Onvoldoende menselijk toezicht in workflows. De wet vraagt expliciet dat hoog-risico beslissingen menselijk reviewbaar zijn, met een echte beslissingsmogelijkheid voor de mens. Een rubberstamp telt niet.
Wat ideeds aanbeveelt
Begin niet bij de wet, maar bij je business. Welke beslissingen wil je in 2027 op AI laten draaien, en welke niet. Daaruit volgt vanzelf welke systemen onder de wet vallen, en welke compliance-laag je nodig hebt.
De AI Act is geen rem op innovatie, maar een kader om innovatie volwassen te maken. Wie het kader benut, krijgt scherpere AI-keuzes en betere governance. Wie het kader afwacht, betaalt twee keer: eerst voor de implementatie, dan voor de remediation.
Wil je een AI-inventaris en compliance-scan voor jouw directie? Plan een verkenningsgesprek met ideeds.
