GovCompass
EN
AI governance
GuideAccountability

EU AI Act tijdlijn: wat moet wanneer klaar zijn?

Door GovCompass.ai· Laatst gecontroleerd juni 2026· Afgestemd op de geconsolideerde EU AI Act, inclusief de Omnibus-wijzigingen van 2026.

De EU AI Act treedt gefaseerd in werking tussen 2025 en 2028: de Art. 5-verboden en Art. 4 AI-geletterdheid golden vanaf 2 februari 2025, de Art. 50-transparantieverplichtingen vanaf 2 augustus 2026, en de volledige hoog-risico verplichtingen voor Bijlage III-systemen vanaf 2 december 2027 na de Omnibus-wijzigingen.

Bijgewerkt: juni 2026, inclusief AI Omnibus Akkoord mei 2026

Inleiding: de gefaseerde inwerkingtreding

De EU AI Act (Verordening (EU) 2024/1689) is op 1 augustus 2024 in werking getreden, maar de verplichtingen gelden niet allemaal per dezelfde datum. De verordening hanteert een gefaseerde implementatie die rekening houdt met de complexiteitcomplexiteitHet governance-bemoeilijkende kenmerk waarbij risico schuilt in de interacties van veel componenten, leveranciers en omgevingen die niemand als geheel kan overzien, beantwoord met beoordeling op systeemniveau en end-to-end-testen. Zie risico, toeleveringsketen.Open full entry → van de vereiste aanpassingen en de politieke wens om innovatie niet onnodig af te remmen. Het AI Omnibus Akkoord van mei 2026 heeft de deadlines voor hoog-risicorisicoIn de termen van de EU AI Act de combinatie van de waarschijnlijkheid dat een schade optreedt en de ernst ervan als dat gebeurt. De schakel tussen een principe (via de schade die het zou schenden) en een control (de maatregel die het vermindert). Het benoemen van de schade en het inschatten van het risico is op grond van Art. 9 vereist voordat een maatregel wordt gekozen. Zie schade, control, restrisico.Open full entry → AI bovendien aanzienlijk uitgesteld, een wijziging die veel deployers ten onrechte als reden zien om compliance uit te stellen.

Dit artikel geeft een nauwkeurig overzicht van alle deadlines, de Omnibus-wijzigingen en wat er precies van deployers wordt verwacht per fase.

Fase 1: 2 februari 2025, verboden AI en AI-geletterdheid (nu van kracht)

Zes maanden na inwerkingtreding werden de eerste verplichtingen afdwingbaar:

Art. 5, Verboden AI-praktijken: De acht verboden zijn volledig van kracht. Subliminale manipulatie, exploitatie van kwetsbaarheden, social scoringsocial scoringMensen in de tijd en over contexten heen beoordelen, met nadelige of onevenredige behandeling als gevolg, een verboden AI-praktijk in de EU. Zie verboden praktijken.Open full entry → door overheden, real-time biometrische identificatie in openbare ruimten (zonder machtiging), emotieherkenningemotieherkenningEen AI-systeem dat de emoties van een persoon afleidt uit biometrische gegevens; het gebruik ervan op de werkvloer en in het onderwijs is onder de AI Act beperkt. Zie biometrische categorisering, verboden praktijken.Open full entry → op de werkplek en in het onderwijs, biometrische categoriseringbiometrische categoriseringMensen in categorieën indelen zoals etniciteit of politieke opvattingen op basis van hun biometrische gegevens; onder de AI Act beperkt of verboden. Zie verboden praktijken, emotieherkenning.Open full entry → op gevoelige kenmerken, deepfakedeepfakeDoor AI gegenereerde of gemanipuleerde audio, beeld of video die echte personen of gebeurtenissen overtuigend weergeeft die niet hebben plaatsgevonden; onderworpen aan etiketteringsplichten onder de transparantielaag van de EU AI Act. Zie generatieve AI, transparantie.Open full entry →-manipulatiescampagnes en predictive policing op persoonskenmerken, allemaal verboden. Geen overgangsperiode, geen uitzonderingen buiten de wet.

Art. 4, AI-geletterdheidAI-geletterdheidVoldoende begrip van de werking, mogelijkheden en risico's van AI voor de eigen rol, een expliciete verwachting voor medewerkers van aanbieders en gebruiksverantwoordelijken onder de EU AI Act. Zie aanbieder, gebruiksverantwoordelijke.Open full entry →: De verplichting voor providers en deployers om adequate AI-geletterdheid te waarborgen bij hun medewerkers is eveneens van kracht. Organisaties die nu nog geen trainingen hebben geïmplementeerd, zijn in overtreding.

Wat dit betekent voor deployers: Als u nu AI inzet en nog geen Art. 4-compliance heeft gerealiseerd, handelt u in strijd met de wet. Eis ook van uw AI-leveranciers dat zij de Art. 5-verboden naleven, gebruik van een verboden systeem is een deployer-risico.

Fase 2: 2 augustus 2025, GPAI-verplichtingen (nu van kracht)

De verplichtingen voor providers van General Purpose AI (GPAI)-modellen zijn van kracht. Dit betreft met name de grote model-providers (OpenAI, Google, Anthropic, Meta) die verplicht zijn transparantiedocumentatie, auteursrecht-beleid en, bij systemisch risico, aanvullende beveiligingstests te leveren.

Wat dit betekent voor deployers: Als u GPAI-modellen via API integreert in uw producten of diensten, kunt u van de providers verwachten dat zij hun GPAI-verplichtingen nakomen. Dit versterkt uw positie bij contractonderhandelingen: u heeft recht op de door Art. 53 vereiste technische documentatietechnische documentatieRegistraties die een aanbieder voor een hoog-risico-AI-systeem moet samenstellen en bewaren om conformiteit aan te tonen, met dekking van het ontwerp, de data, het testen, het risicobeheer en de monitoring. Zie aanbieder, bewijs, model card.Open full entry →.

Fase 3: 2 augustus 2026, transparantieverplichtingen en volledige toepasselijkheid

Let op: 2 augustus 2026 brengt de Art. 50-transparantieverplichtingen en de algemene toepasselijkheid van de niet-uitgestelde delen van de verordening. De hoog-risico verplichtingen voor standalone Bijlage IIIBijlage IIIDe lijst van de EU AI Act met hoog-risico-toepassingsgebieden: biometrie, kritieke infrastructuur, onderwijs, werk, essentiële diensten, rechtshandhaving, migratie, justitie. Zie conformiteitsbeoordeling, conformiteitsverklaring.Open full entry →-systemen, publiek én privaat, zijn door de Omnibus uitgesteld naar 2 december 2027 (zie fase 4). Er is geen aparte, vervroegde hoog-risico deadline voor de publieke sector.

Per 2 augustus 2026 gelden:

  • Art. 50 (transparantietransparantieOpenheid over het feit dát AI wordt gebruikt en hoe het in het algemeen werkt: openbaarmakingen, documentatie, kennisgevingen. Vormt een paar met uitlegbaarheid, die over individuele uitkomsten gaat. Zie uitlegbaarheid, principe.Open full entry →): chatbots moeten zich als AI identificeren; deepfakes en AI-gegenereerde content moeten worden gelabeld
  • GovernancegovernanceHet stelsel waarmee een organisatie zichzelf bestuurt: corporate governance, risicobeheer, compliance, verantwoordingslijnen, risicobereidheid en het besturingsmodel. Het bestaat over alles wat de organisatie doet, voor en los van AI. AI governance is ditzelfde stelsel, uitgebreid voor AI. Zie AI governance, governance design, executie.Open full entry →: lidstaten moeten hun nationale toezichtstructuren operationeel hebben
  • Volledige toepasselijkheid van de delen van de verordening die niet expliciet zijn uitgesteld

Wat dit betekent voor deployers: Zet uw transparantiemaatregelen (Art. 50) per 2 augustus 2026 op orde, ongeacht sector. De hoog-risico verplichtingen (Art. 26, FRIAFRIAFundamental Rights Impact Assessment, vereist van publieke organen en bepaalde private gebruiksverantwoordelijken voordat ze sommige hoog-risico-AI-systemen onder de EU AI Act gebruiken. Zie grondrechten-impactassessment, gebruiksverantwoordelijke.Open full entry →, registratie) volgen op 2 december 2027 voor alle standalone Bijlage III-systemen, publiek én privaat. Begin nu met uw AI-inventarisAI-inventarisEen register van alle AI-systemen die een organisatie bouwt, koopt of inbedt, met eigenaren en risicoklassen, de voorwaarde om er ook maar één te kunnen besturen. Zie risico, governance.Open full entry → en classificatie (Art. 6), want een nieuw systeem moet bij ingebruikname al compliant zijn.

Fase 4: 2 december 2027, standalone hoog-risico AI (Bijlage III), NIEUW

Het AI Omnibus Akkoord heeft de oorspronkelijke deadline van 2 augustus 2026 uitgesteld naar 2 december 2027 voor standalone hoog-risico AI-systemen onder Bijlage III (de acht kritieke domeinen: biometrie, infrastructuur, onderwijs, werkgelegenheid, essentiële diensten, rechtshandhaving, migratie, rechtsbedeling). Dit geldt voor alle sectoren, publiek én privaat, er is geen aparte vervroegde datum voor de overheid. Het Omnibus-akkoord is een voorlopig politiek akkoord (mei 2026); formele aanname en publicatie in het Publicatieblad worden verwacht in juli 2026, en 2 december 2027 geldt als planningsanker afhankelijk van die definitieve aanname.

Dit is de meest relevante deadline voor de meeste private deployers in Nederland. Systemen voor:

  • HR-werving en -selectie (Bijlage III, punt 4)
  • Kredietbeoordeling (punt 5.b)
  • Fraudedetectie met impact op individuen (punt 5)
  • Onderwijs-assessments (punt 3)

...vallen onder deze deadline.

Fout die deployers maken: Het uitstel tot december 2027 wordt soms geïnterpreteerd als "we hebben geen haast". Dat is onjuist. Systemen die nu al worden aangeschaft of ontwikkeld, moeten bij ingebruikname al voldoen aan de eisen. Als u in 2026 een nieuw HR-AI-systeemAI-systeemEen machinaal systeem dat voor expliciete of impliciete doelen uit invoer afleidt hoe het uitvoer genereert, voorspellingen, inhoud, aanbevelingen of beslissingen, die fysieke of virtuele omgevingen kunnen beïnvloeden. De OESO-achtige definitie die de EU AI Act volgt. Zie algoritme, machine learning.Open full entry → implementeert, moet dat systeem per implementatiedatum compliant zijn, niet per 2027.

Fase 5: 2 augustus 2028, hoog-risico AI in gereguleerde producten (Bijlage i), NIEUW

De deadline voor hoog-risico AI ingebouwd in gereguleerde producten (Bijlage I: medische hulpmiddelen, machines, voertuigen, speelgoed, liften, etc.) is uitgesteld naar 2 augustus 2028. Dit is de langste overgangsperiode in de hele verordening.

Relevant voor: ziekenhuizen die AI-diagnose-apparatuur inzetten (MDR-producten), industriële deployers met AI-gestuurde machines, vervoersbedrijven met geautomatiseerde voertuigsystemen.

Omnibus-wijzigingen: wat is er veranderd?

Het AI Omnibus Akkoord (mei 2026) heeft drie concrete wijzigingen aangebracht:

  1. Deadline Bijlage III: 2 augustus 2026 → 2 december 2027
  2. Deadline Bijlage I: 2 augustus 2027 → 2 augustus 2028
  3. Vereenvoudiging mkb: lichtere conformiteitsprocedures voor micro-ondernemingen (<10 medewerkers, <€2 mln)
  4. Art. 5 uitgebreid: nieuwe verboden op deepfake-campagnes (Art. 5.1.g) en predictive policing op persoonskenmerken (Art. 5.1.h)

Wat is NIET veranderd:

  • Art. 5-verboden (van kracht per 2 februari 2025)
  • Art. 4 AI-geletterdheid (van kracht per 2 februari 2025)
  • GPAI-verplichtingen (van kracht per 2 augustus 2025)
  • Art. 50 transparantieverplichtingen (2 augustus 2026)
  • De materiële inhoud van de hoog-risico verplichtingen zelf

Actieprogramma voor deployers per fase

Nu (juni 2026):

  • Controleer: voldoet u aan Art. 5 (verboden) en Art. 4 (AI-geletterdheid)?
  • Stel een AI-inventaris op van alle systemen die uw organisatie inzet
  • Classificeer elk systeem conform Art. 6

Voor 2 augustus 2026 (transparantie, alle sectoren):

  • Implementeer Art. 50-transparantie: AI-disclosure bij chatbots, labeling van deepfakes en AI-gegenereerde content
  • Breng in kaart welke ingezette systemen onder de transparantieplicht vallen

Voor 2 december 2027 (hoog-risico Bijlage III, alle sectoren):

  • Volledige Art. 26-implementatie
  • FRIA uitgevoerd (Art. 27) voor de verplichte categorieën
  • Registratie in de EU-database (Art. 49)
  • Conformiteitsverklaringen van alle providers ontvangen en bewaard
  • DPIADPIAData Protection Impact Assessment, vereist vóór verwerking met waarschijnlijk hoog risico (systematische profilering met aanzienlijke gevolgen, grootschalige bijzondere categorieën, publieke monitoring); AI-ontwikkeling roept het voortdurend op. Zie impactassessment, profilering.Open full entry →'s afgerond voor alle hoog-risico systemen met persoonsgegevens
  • Incidentresponse-process operationeel (Art. 73)

Veelgestelde vragen

V: De deadline is uitgesteld tot 2027. Mogen wij nu gewoon wachten?
A: Nee. Nieuwe systemen die u ná vandaag aanschaft of implementeert, moeten per implementatiedatum compliant zijn. Het uitstel geldt voor de handhavingsdeadline van bestaande systemen die al in gebruik zijn. Bovendien zijn Art. 5 en Art. 4 nu al van kracht en afdwingbaar.

V: Is de AI Liability Directive ook uitgesteld?
A: De AI Liability Directive is ingetrokken (oktober 2025) en zal niet worden aangenomen. De civiele aansprakelijkheid voor AI-schadeschadeDe concrete schade die een AI-systeem kan aanrichten en die een principe van verantwoorde AI beoogt te voorkomen: in de termen van de EU AI Act schade aan iemands gezondheid, veiligheid of grondrechten. Schade is de brug tussen een abstract principe en een bestuurbaar risico; governance wordt operationeel op het moment dat een organisatie de specifieke schades benoemt die ze wil voorkomen. Voor eerlijkheid is een schade dat een groep stelselmatig slechtere uitkomsten krijgt vanwege een kenmerk dat niet had mogen meetellen. Zie principe, risico.Open full entry → loopt via de bestaande nationale aansprakelijkheidsregels (onrechtmatige daad) en de Product Liability Directive.

Tijdlijn-overzicht

DatumVerplichtingStatus
1 aug 2024Verordening in werking getreden✓ Van kracht
2 feb 2025Art. 5 verboden + Art. 4 AI-geletterdheid✓ Van kracht
2 aug 2025GPAI-verplichtingen (Art. 51-55)✓ Van kracht
2 aug 2026Art. 50 transparantie + volledige toepasselijkheid⚠️ Nadert
2 dec 2027Hoog-risico Bijlage III, alle sectoren (Omnibus)🔜 Nieuw
2 aug 2028Hoog-risico in gereguleerde producten Bijlage I (Omnibus)🔜 Nieuw
WetsverwijzingenArt. 26Art. 4Art. 5Art. 50
Delen Deel op LinkedIn

Meer over Accountability

Art. 10 EU AI Act: data en datagovernance voor hoog-risico AI

Reference

Art. 10 vereist dat de trainings-, validatie- en testdata voor hoog-risico AI-systemen voldoet aan kwaliteitscriteria: relevant, voldoende representatief, en zo foutloos en volledig mogelijk voor het beoogde doel. Het vereist ook gedocumenteerde datagovernance over verzameling, voorbereiding, bias-onderzoek en het mitigeren van lacunes, en het staat de beperkte verwerking van bijzondere persoonsgegevens toe waar strikt noodzakelijk om bias te detecteren en corrigeren, onder waarborgen.

Art. 12 EU AI Act: registratie en logging voor hoog-risico AI

Reference

Art. 12 vereist dat hoog-risico AI-systemen technisch de automatische registratie van gebeurtenissen (logs) over hun levensduur mogelijk maken. De logging moet de traceerbaarheid van het functioneren van het systeem mogelijk maken op een niveau passend bij het beoogde doel, post-market monitoring ondersteunen, en helpen situaties te identificeren die tot risico of een substantiële wijziging kunnen leiden. Het is een ontwerpverplichting voor de provider die het systeem door constructie auditeerbaar maakt.

Art. 19 EU AI Act: het bewaren van de automatisch gegenereerde logs

Reference

Art. 19 verplicht providers van hoog-risico AI-systemen om de logs die het systeem automatisch genereert (onder Art. 12) te bewaren zolang ze die onder controle hebben, voor een periode passend bij het beoogde doel en minimaal zes maanden, tenzij andere wetgeving een langere termijn vereist. Het is de bewaar-tegenhanger van de Art. 12-logging-capaciteit, en werkt naast de deployer-bewaarplicht in Art. 26.6.

Art. 26.1, gebruik AI volgens de instructies van de aanbieder

Reference

Art. 26.1 EU AI Act verplicht deployers om hoog-risico AI-systemen uitsluitend in te zetten conform de gebruiksinstructies van de provider. De verplichting omvat drie componenten: het beschikken over de instructies (conform Art. 13.3), het actief naleven ervan, en het documenteren van dat naleven. Inzet buiten de instructies kan de aansprakelijkheid volledig naar de deployer verschuiven.