Blog

Wat zijn de AI wet- en regelgeving waar bedrijven in 2026 aan moeten voldoen?

  • Posted by: Dustin Wijnberg
Open nalevingsbinder op modern bureau naast klein humanoïd robotfiguur, zachte amberverlichting en blauwe tinten.

Bedrijven in Nederland en België moeten in 2026 voldoen aan de EU AI Act, de eerste uitgebreide Europese wet die het gebruik van kunstmatige intelligentie reguleert. De wet legt verplichtingen op op basis van het risiconiveau van een AI-systeem en geldt voor zowel aanbieders als gebruikers van AI-toepassingen. In dit artikel beantwoorden we de meest gestelde vragen over AI wet- en regelgeving voor bedrijven, van concrete verplichtingen tot de gevolgen voor HR- en L&D-afdelingen.

Welke verplichtingen legt de EU AI Act op aan bedrijven?

De EU AI Act verplicht bedrijven om AI-systemen te classificeren op basis van risico, transparantie te bieden aan gebruikers en medewerkers, en bij hoog-risico toepassingen aanvullende maatregelen te treffen, zoals risicobeheersystemen, technische documentatie en menselijk toezicht. Organisaties die AI inzetten of ontwikkelen, vallen onder de wet als gebruiker of aanbieder.

De kernverplichtingen voor bedrijven als gebruikers van AI zijn onder andere:

  • AI-geletterdheid garanderen: Organisaties zijn verplicht ervoor te zorgen dat medewerkers die met AI werken, voldoende kennis hebben om de systemen verantwoord te gebruiken. Dit maakt AI geletterdheid medewerkers een wettelijke eis, niet alleen een nice-to-have.
  • Transparantie richting eindgebruikers: Wanneer medewerkers of klanten in contact komen met een AI-systeem, moet dit duidelijk worden gemaakt.
  • Menselijk toezicht bij hoog-risico AI: Systemen die ingrijpende beslissingen nemen, zoals bij werving of prestatiebeoordeling, vereisen aantoonbaar menselijk toezicht.
  • Registratieplicht: Hoog-risico AI-systemen moeten worden geregistreerd in een Europese databank.

Voor bedrijven die zelf AI-tools ontwikkelen of aanpassen, gelden aanvullende eisen rondom technische documentatie, conformiteitsbeoordelingen en kwaliteitsmanagementsystemen.

Wanneer gaat de EU AI Act precies in voor bedrijven?

De EU AI Act is in augustus 2024 in werking getreden en wordt gefaseerd ingevoerd. In 2026 zijn de meest ingrijpende verplichtingen van kracht, waaronder de regels voor hoog-risico AI-systemen en de verplichting rondom AI-geletterdheid van medewerkers. Bedrijven die nog niet in actie zijn gekomen, lopen nu concreet risico.

De tijdlijn ziet er als volgt uit:

  • Februari 2025: Verbod op onacceptabele risico-AI (zoals sociale scoring) van kracht.
  • Februari 2025: Verplichting tot AI-geletterdheid voor medewerkers ingegaan.
  • Augustus 2026: Verplichtingen voor hoog-risico AI-systemen volledig van kracht, inclusief documentatie, transparantie en menselijk toezicht.
  • Augustus 2027: Aanvullende regels voor bepaalde bestaande AI-systemen.

Voor de meeste middelgrote en grote organisaties betekent 2026 het jaar waarin compliance niet langer optioneel is. Wie medewerkers klaarstomen voor AI nog niet serieus heeft genomen, staat voor een urgente inhaalslag.

Wat is het verschil tussen hoog-risico en laag-risico AI-systemen?

Het onderscheid tussen hoog-risico en laag-risico AI-systemen bepaalt welke verplichtingen een organisatie heeft. Hoog-risico AI-systemen zijn toepassingen die ingrijpende gevolgen kunnen hebben voor de rechten, veiligheid of kansen van mensen. Laag-risico systemen kennen voornamelijk transparantieverplichtingen en nauwelijks aanvullende eisen.

Voorbeelden van hoog-risico AI die relevant zijn voor bedrijven:

  • AI-systemen voor werving en selectie van personeel
  • Systemen die prestaties van medewerkers beoordelen of monitoren
  • AI die toegang tot opleidingen of promotiekansen beïnvloedt
  • Kredietbeoordelingstools en systemen voor toegang tot essentiële diensten

Voorbeelden van laag-risico AI die veelgebruikt zijn op de werkvloer:

  • Chatbots voor klantenservice of interne ondersteuning
  • Generatieve AI-tools zoals ChatGPT op de werkvloer voor tekstproductie of samenvatting
  • Aanbevelingssystemen voor content of leermodules

Het gebruik van tools als ChatGPT zakelijk valt in de meeste gevallen onder laag-risico, maar vereist wel transparantie richting gebruikers en een duidelijk beleid om shadow AI risico’s te beheersen. Shadow AI verwijst naar het ongecontroleerde gebruik van AI-tools door medewerkers buiten de officiële systemen van de organisatie om, wat beveiligings- en compliance-risico’s met zich meebrengt.

Hoe bereiden HR- en L&D-afdelingen zich voor op AI-compliance?

HR- en L&D-afdelingen bereiden zich voor op AI-compliance door een combinatie van bewustwording, training en beleid. De wettelijke verplichting rondom AI-geletterdheid maakt het noodzakelijk dat organisaties aantoonbaar investeren in AI upskilling HR en bredere medewerkerstraining, en dit ook kunnen documenteren.

Concrete stappen voor HR en L&D:

  1. Breng AI-gebruik in kaart: Inventariseer welke AI-tools medewerkers gebruiken, zowel officieel als informeel. Dit helpt shadow AI risico’s te identificeren en te beheersen.
  2. Stel een AI-beleid op: Definieer hoe medewerkers AI-tools mogen gebruiken, welke data ze mogen invoeren en wat de grenzen zijn bij tools als Chat GPT bedrijf-toepassingen.
  3. Ontwikkel een trainingsprogramma: Zorg voor een AI training organisatie breed programma dat zowel basisbegrip als verantwoord gebruik behandelt. Differentieer naar functiegroep: een marketeer heeft andere AI-competenties nodig dan een HR-adviseur.
  4. Documenteer leerinspanningen: Houd bij wie welke training heeft gevolgd. Dit is niet alleen goed voor de ontwikkeling, maar ook noodzakelijk als bewijs van compliance.
  5. Evalueer regelmatig: AI-regelgeving en AI-tools ontwikkelen zich snel. Zorg dat het leerprogramma actueel blijft en sluit aan bij de nieuwste ontwikkelingen.

Organisaties die leren en compliance slim combineren, maken van de wettelijke verplichting een strategisch voordeel: medewerkers die AI begrijpen, werken effectiever en nemen verantwoorde beslissingen.

Wat zijn de boetes bij niet-naleving van de AI Act?

De boetes bij niet-naleving van de EU AI Act zijn aanzienlijk en worden opgelegd door nationale toezichthouders. De hoogte hangt af van de ernst van de overtreding en het type bedrijf. Voor grote organisaties kunnen de bedragen oplopen tot tientallen miljoenen euro’s.

De boetestructuur is als volgt opgebouwd:

  • Tot 35 miljoen euro of 7% van de wereldwijde jaaromzet bij gebruik van verboden AI-systemen (de hoogste risicocategorie).
  • Tot 15 miljoen euro of 3% van de wereldwijde jaaromzet bij niet-naleving van verplichtingen voor hoog-risico AI-systemen.
  • Tot 7,5 miljoen euro of 1,5% van de wereldwijde jaaromzet bij het verstrekken van onjuiste informatie aan toezichthouders.

Voor kleine en middelgrote ondernemingen gelden in sommige gevallen lagere maxima. De nationale toezichthouder in Nederland zal verantwoordelijk zijn voor handhaving. Naast financiële boetes kunnen organisaties ook reputatieschade oplopen wanneer overtredingen openbaar worden gemaakt. Dit maakt investeren in AI wet- en regelgeving bedrijven compliance niet alleen een juridische, maar ook een strategische prioriteit.

Welke AI-tools voor leren en ontwikkelen vallen onder de regelgeving?

AI-tools die worden ingezet voor leren en ontwikkelen vallen onder de EU AI Act wanneer ze invloed hebben op toegang tot onderwijs, loopbaankansen of prestatiebeoordeling. Een leerplatform AI cursus of aanbevelingsalgoritme dat bepaalt welke trainingen een medewerker krijgt aangeboden, kan als hoog-risico worden geclassificeerd.

Specifiek gaat het om tools die:

  • Automatisch leertrajecten samenstellen op basis van prestatiedata
  • Medewerkers beoordelen of rangschikken op basis van leerresultaten
  • Beslissingen ondersteunen over promotie of doorstroom op basis van trainingsdata

Generatieve AI-tools die medewerkers ondersteunen bij het leren, zoals samenvattingen maken of vragen beantwoorden, vallen doorgaans onder laag-risico. Toch geldt ook hier de transparantieplicht en de verplichting om medewerkers voldoende te informeren over hoe de tool werkt.

Voor AI adoptie werknemers is het belangrijk dat organisaties niet alleen de tools zelf beoordelen, maar ook nadenken over hoe ze medewerkers begeleiden bij het gebruik ervan. Toekomstbestendig werken AI begint bij een leeromgeving die medewerkers voorbereidt op verantwoord en effectief AI-gebruik, binnen de grenzen van de wet.

Hoe SkillsTown helpt met AI-compliance en medewerkerstraining

Wij begrijpen dat de EU AI Act voor veel organisaties een complexe uitdaging is, zeker als het gaat om het aantoonbaar opbouwen van AI-geletterdheid bij medewerkers. Precies daar helpen wij je mee. Via ons platform en trainingsaanbod ondersteunen we organisaties bij:

  • Actuele AI-trainingen: Via ons platform bieden we toegankelijke en relevante AI trainingen voor medewerkers aan, van basisgeletterdheid tot gevorderd gebruik van AI-tools op de werkvloer.
  • Meetbare leerresultaten: Met onze learning analytics tool Reveal kun je exact bijhouden wie welke training heeft gevolgd en afgerond, wat je directe ondersteuning geeft bij compliance-documentatie.
  • Eigen leermodules bouwen: Met onze auteurstool Create ontwikkel je eenvoudig interne trainingen over jullie eigen AI-beleid en specifieke tools die medewerkers gebruiken.
  • Schaalbaar en toegankelijk: Ons online leerplatform is WCAG-gecertificeerd en geschikt voor medewerkers met uiteenlopende digitale vaardigheidsniveaus.

Of je nu wilt starten met een basistraining AI-geletterdheid of een volledige leerstrategie wilt opzetten rondom verantwoord AI-gebruik: wij denken graag met je mee. Plan een gratis demo en ontdek hoe we jouw organisatie kunnen helpen om AI-compliant en toekomstbestendig te worden.

Veelgestelde vragen

Geldt de EU AI Act ook voor kleine bedrijven en zzp'ers?

Ja, de EU AI Act is in principe van toepassing op alle organisaties die AI-systemen gebruiken of ontwikkelen binnen de EU, ongeacht de bedrijfsgrootte. Voor kleine en middelgrote ondernemingen (kmo's) gelden in sommige gevallen lagere boeteplafonds en zijn er vereenvoudigde procedures, maar de basisverplichtingen zoals AI-geletterdheid en transparantie zijn ook voor hen van kracht. Als zzp'er of klein bedrijf is het verstandig om in kaart te brengen welke AI-tools je gebruikt en of deze als hoog-risico worden geclassificeerd.

Hoe bewijs ik als organisatie dat onze medewerkers voldoende AI-geletterd zijn?

Compliance aantonen doe je door leerinspanningen systematisch te documenteren: wie heeft welke training gevolgd, wanneer, en met welk resultaat. Dit betekent concreet dat je een leerregistratiesysteem nodig hebt dat trainingsdeelname en afronding bijhoudt, zoals een LMS met rapportagemogelijkheden. Zorg er ook voor dat de inhoud van de training aansluit bij de rol van de medewerker en de AI-tools die zij daadwerkelijk gebruiken, zodat je bij een audit kunt aantonen dat de training relevant en doelgericht was.

Wat moeten we doen als medewerkers nu al ongecontroleerd AI-tools gebruiken (shadow AI)?

Begin met een eerlijke inventarisatie: vraag medewerkers welke AI-tools zij gebruiken, ook buiten de officieel goedgekeurde systemen. Stel vervolgens een duidelijk AI-beleid op dat aangeeft welke tools zijn toegestaan, welke data niet mogen worden ingevoerd en hoe medewerkers veilig met AI kunnen werken. Combineer dit met training en open communicatie, zodat medewerkers begrijpen waarom de regels er zijn en minder geneigd zijn om buiten de officiële kanalen om te werken.

Zijn er ook verplichtingen voor AI-tools die we inkopen bij externe leveranciers?

Ja, als gebruiker van een AI-systeem dat door een externe partij is ontwikkeld, heb je alsnog eigen verplichtingen onder de EU AI Act. Je bent verantwoordelijk voor het correct inzetten van de tool, het waarborgen van menselijk toezicht bij hoog-risico toepassingen en het informeren van medewerkers over het gebruik ervan. Controleer bij aanschaf altijd of de leverancier de vereiste technische documentatie en conformiteitsverklaringen kan aanleveren, en leg afspraken over compliance vast in contracten of verwerkersovereenkomsten.

Hoe vaak moeten we onze AI-training en ons AI-beleid bijwerken?

Gezien de snelle ontwikkeling van AI-technologie en regelgeving is een jaarlijkse evaluatie een absolute minimum, maar voor actief gebruik van AI-tools is een halfjaarlijkse review aan te raden. Koppel updates aan concrete aanleidingen, zoals de introductie van een nieuwe AI-tool, een wetswijziging of een incident met AI-gebruik binnen de organisatie. Wijs een verantwoordelijke aan, bijvoorbeeld binnen HR of L&D, die de ontwikkelingen rondom de EU AI Act actief volgt en het beleid en de trainingsinhoud tijdig aanpast.

Wat is het verschil tussen de EU AI Act en de AVG als het gaat om AI-gebruik op de werkvloer?

De AVG (Algemene Verordening Gegevensbescherming) richt zich op de bescherming van persoonsgegevens en is al langer van kracht, terwijl de EU AI Act specifiek gaat over de risico's en verantwoord gebruik van AI-systemen als zodanig. In de praktijk overlappen ze elkaar: een AI-systeem dat medewerkers beoordeelt, valt onder beide wetten tegelijkertijd. Organisaties moeten dus zorgen dat hun AI-gebruik voldoet aan zowel de privacyregels van de AVG als de nieuwe verplichtingen van de AI Act, wat een geïntegreerde compliance-aanpak vraagt.

Waar begin ik als mijn organisatie nog helemaal niets heeft gedaan aan AI-compliance?

Start met drie concrete stappen: ten eerste een AI-audit om in kaart te brengen welke AI-tools er binnen de organisatie worden gebruikt en of deze als hoog-risico kwalificeren. Ten tweede het opstellen van een basaal AI-beleid dat richting geeft aan medewerkers over verantwoord gebruik. Ten derde het opzetten van een eerste AI-geletterdheidsronde voor alle medewerkers die met AI werken, zodat je direct voldoet aan de verplichting die al sinds februari 2025 van kracht is. Werk daarna stapsgewijs toe naar een volledig compliance-programma vóór augustus 2026.

Gerelateerde artikelen